По результатам проверок Роскомнадзора видно, что численность правонарушений в сфере защиты личных данных возрастает, и, следовательно, увеличивается количество штрафов предписанных операторам.

Содержание:

1. Распространенные нарушения
2. Уточненные формулировки закона
3. Принципы обработки персональных данных
4. На каких основаниях могут передаваться ПНд
5. Меры по обеспечению выполнения обязанностей
6. Перечень мер для обеспечения безопасности
7. Ответственность оператора
8. Ряд законодательных изменений

Ниже перечислены самые распространенные нарушения операторов по отношению к персональным данным (ПДн).

1. Сведения, которые указаны в документах об обработке ПДн не соответствуют.
2. Не дано согласия субъекта ПД на обработку ПДн.

Рассмотрим новые пункты, внесенные в закон о защите персональных данных. Ниже перечислены уточненные формулировки профессиональных терминов.

1. Обработка ПДн (автоматизированная) - это обработка персональных данных вычислительными машинами. Вычислительные машины (СВТ) – элементы систем для обработки данных, которые в свою очередь способны работать самостоятельно или являться составляющими других систем.  СВТ различают на технические устройства и программы. Также под закон попадает обработка данных, которая осуществляется без средств автоматизации.
2. Персональные данные - абсолютно любая информация, которая прямо или косвенно относится к физическому лицу (то есть не только реквизиты физического лица).
3. Оператор - это госорган, юридическое или физическое лицо, муниципальный орган, который  организует и (или) проводит обработку ПДн, а также определяет для чего именно проводится обработка ПДн.
4. Работа с ПДн (обработка) - это любые действия (операции), произведенные с персональными данными.
5. Распространение личных данных – действия, впоследствии которых открываются персональные данные другим лицам, не ограниченным по численности.
6. Предоставление личных данных – действия, в результате которых открываются персональные данные другим лицам, ограниченным по численности.
7. Обезличивание личных данных – это не односторонний процесс, в ходе которого, пользуясь дополнительной информацией можно понять принадлежность каких-либо данных к конкретному субъекту персональных данных.
8. Информационная система личных данных – совокупность информационных технологий и  различных технических средств, с помощью которых обеспечивается обработка ПДн и пдн, содержащихся в базах данных.
9. Полномочия о принятии законов, касающихся сферы защиты персональных данных переданы Банку России и местным органам власти.
10. Угроза для безопасности ПДн – сочетание каких-либо условий и различных факторов, которые создают опасность несанкционированного, случайного доступа к ПДн, вследствии  чего могут быть уничтожены, изменены, блокированы и прочее ПДн, а также другие неправомерные действия при обработке в ИСПДн;
11. Порог (уровень защищенности) ПДн – своеобразная черта, по которой можно судить о «качестве» безопасности ПДн при работе с ними.

Принципы обработки персональных данных.

1. Обработка должна осуществляться по закону и справедливой основе.
2. Обрабатываемые ПДн должны быть конкретны.
3. Обрабатываемые ПДн должны быть краткими.
4. Оператор должен удалять или уточнять неполные или неточные данные.

Ниже перечислены пункты, в которых рассматривается передача ПДн оператора другому лицу.

1. Оператор вправе передать обработку ПДн другому лицу только с согласия субъекта ПДн и только на основании заключенного договора.
2. На лицо, которому поручили осуществление обработки ПДн, возлагаются  установленные законы обработки ПДн. В поручении оператора должно излагаться, какие именно действия должны совершаться лицом. Отметить стоит то, что субъект ПДн должен быть проинформирован, что работой с его ПДн будет заниматься другое лицо.
3. Однако за действия лица перед субъектом ПДн, которому была поручена обработка, несет ответственность оператор ПДн. А лицо несет ответственность за свои действия перед оператором ПДн.

Согласие субъекта ПДн.

Дать разрешение на обработку ПДн может не только субъект ПДн, но и его представитель.

Состав и перечень мер для того, чтобы обеспечить выполнение обязанностей.

1. Оператор должен назначить ответственное лицо за обработку ПДн.
2. Должны иметься документы, из которых будет ясно, как именно оператор будет производить обработку ПДн, к тому же к ним должен быть неограничен доступ.
3. Оператор обязан применять правовые, технические и организационные меры, для того чтобы обеспечить безопасность ПДн.
4. Осуществление внутреннего мониторинга, в котором стоит определить соответствует ли обработка ПДн порядку его проведения.
5. Оценить вред, который может быть причинен субъектам ПДн.
6. Ознакомить сотрудников оператора с положениями об организации работы с ПДн.

Заниматься разработкой обязательных мер для гос. операторов  поручено Правительству РФ.

Ниже перечислены меры, с помощью которых обеспечивается безопасность ПДн.

1. Определить угрозы безопасности ПДн при их обработке в системах ПДн.
2. Обеспечить безопасность ПДн путем организационных и технических мер при работе с ними в информационных системах ПДн.
3. Оценить соответствие средств защиты информации.
4. Определить эффективность мер, которые принимаются для того, чтобы обеспечить безопасность персональных данных до ввода в использование информационной системы ПДн.
5. Учитывать машинные носители ПДн.
6. Вовремя обнаружить несанкционированный доступ к ПДн.
7. Принять меры по восстановлению ПДн, модифицированных или уничтоженных из-за несанкционированного доступа к ним.
8. Создавать правила доступа к ПДн, а также вести регистрацию и читывать все действия, совершаемые с ПДн в ИСПДн.
9. Должен проводиться контроль над принимаемыми мерами по безопасности ПДн и уровнем защищенности ИСПДн.

Ответственность оператора.

1. Лица ответственные за какую-либо обработку данных должны быть представлены операторами в уполномоченный орган по защите прав субъектов ПДн не позже 1 января 2013 года.
2. При изменении сведений, а также о прекращении обработки данных нужно обязательно уведомить территориальный орган Роскомнадзора в течение 10 рабочих дней с даты прекращения работы с персональными данными.
3. Оператор обязан назначить лицо, ответственное за обработку данных.

Лицо, которое назначено ответственным за обработку ПДн обязано выполнять следующие пункты:

1. Проводить внутренние проверки, касающиеся соблюдения закона  о ПДн, а также защиты ПДн.
2. Держать в курсе изменений положений законодательства РФ о ПДн, а также требований о защите ПДн своих работников.
3. Организовать прием обращений субъектов ПДн или их представителей, а также осуществлять контроль над такими обращениями или запросами.

Отметим еще ряд изменений:

1. Срок для сообщения оператором субъекту ПДн о наличии ПДн, которые относятся к этому субъекту, увеличен на 20 рабочих дней. В этот же срок оператор имеет право подготовить обоснованный ответ для отказа в предоставлении таких сведений.
2. Оператор должен в течение 7 дней внести изменения в неполные, неточные или неактуальные сведения и сообщить об этом субъекту ПДн (его представителю);
3. Оператор должен уничтожить сведения, которые получены незаконно, или являются лишними для заявленной цели обработки по сообщению субъектом ПДн, при том сделать это в срок до 7 рабочих дней.
4. Оператор должен осуществить блокирование неправомерно обрабатываемых ПДн в случае если устанавливается факт неправомерной обработки ПДн по запросу субъектов ПДн.
5. Информация по запросу должна быть изложена в течение 30 дней с момента получения запроса.
6. Увеличен срок для уничтожения ПДн/прекращения их обработки с согласия субъекта ПДн на 17 рабочих дней.