Новости законодательства

Опубликован отчет о деятельности Роскомнадзора за 2009 год

На официальном Интернет-портале Роскомнадзора размещен отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2009 год.

В течение 2009 года было проведено 432 проверки, из которых 284 плановых и 148 неплановых. В результате Операторам было выдано 557 предписаний об устранении выявленных нарушений законодательства.

В отчете представлен анализ по типам Операторов, где чаще других поступают обращения от субъектов персональных данных. К таким Операторам относятся операторы связи, предприятия ЖКХ, СМИ, кредитные (банковские) учреждения и органы государственной власти.

Список наиболее часто встречающихся нарушений, указанных в отчете, отражает основные направления, по которым проводятся проверки, и является подсказкой для Операторов, чтобы устранить существующие несоответствия в своей деятельности.

Роскомнадзор продолжает борьбу с незаконным размещением персональных данных в интернет

Как было опубликовано ранее, в 2009 году усилиями Роскомнадзора совместно с правоохранительными органами была блокирована деятельность интернет-ресурсов www.vslomaj.com, www.radarix.com, где незаконно размещались персональные данные граждан.

В настоящее время Роскомнадзор через суд требует уничтожить размещенную на страницах четырех интернет-сайтов информацию о персональных данных граждан, которая была размещена без согласия их владельцев, что является нарушением законодательства российской Федерации о персональных данных.

Подробнее на сайте Роскомнадзора.

ЦБ РФ и АРБ разработали новую версию Стандарта Банка России с учетом требований по защите ПДн

На сайте Ассоциации Российских Банков размещен пресс-релиз о том, что: «Центральный банк Российской Федерации совместно с Ассоциацией российских банков (при участии АРБР) разработали отраслевые документы по приведению деятельности организаций банковской системы РФ в соответствие с требованиями законодательства в области персональных данных».

Новая версия Стандарта Банка России (комплекс документов БР ИББС) разработана с учетом требований законодательства в области персональных данных и согласована с Регуляторами. Предполагается, если Банк принимает обязательность выполнения СТО БР ИББС (так как стандарт является рекомендуемым, а не обязательным документом), то автоматически выполняются требования по защите персональных данных.

Мы видим, что проведена большая работа по адаптации СТО БР ИББС под требования законодательства по персональным данным с учетом банковской специфики. Получился очень качественный и проработанный документ и его, несомненно, можно применять в кредитно-финансовой сфере.

Однако, открытым остается один вопрос: чем будут руководствоваться Регуляторы в ходе проведения проверок - адаптированным СТО БР ИББС или разработанными ранее нормативно-методическими документами?

Мнение Министра связи и массовых коммуникаций о проблемах защиты персональных данных.

Министр связи и массовых коммуникаций Игорь Щеголев побывал на "Деловом завтраке" в редакции «Российской газеты» и ответил на вопросы журналистов и читателей. Были затронуты различные вопросы развития современного информационного общества, в том числе о проблеме защиты персональных данных.

Министр высказал свою точку зрения о правовом обеспечении защиты персональных данных, инсайдерской угрозе и рассказал о мерах защиты информации при создании электронного правительства: «Организуя электронное правительство, мы стремимся сделать так, чтобы все данные не оказались в одной большой базе, откуда их можно было бы разом извлечь, подобрав даже самый сложный ключ. Мы все-таки стремимся к тому, чтобы за сохранность данных отвечали те ведомства, которые эти базы данных ведут».

Кроме того, Игорь Щеголев отметил, что обмен данными осуществляется в строгом соответствии с установленными регламентами, ведется работа над современными способами защиты информации, рассматривается возможность деления данных на категории по степени критичности их утраты и др.

Полный текст интервью размещен на сайте Минкомсвязи

Минкомсвязь РФ одобрило концепцию защиты ПДн в информационных системах операторов связи

Концепция защиты персональных данных в информационных системах персональных данных операторов связи, разработанная компанией ReignVox по поручению Инфокоммуникационного союза в целях реализации требований Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных», прошла все согласования и готова к применению.

Алексей Солдатов, Заместитель министра связи и массовых коммуникаций РФ, подводя итоги заседания, рекомендовал разработчикам Концепции «рассмотреть возможность её доработки в будущем таким образом, чтобы её можно было распространить на всю отрасль», в которую помимо сферы связи входят массовые коммуникации.

Подробнее о заседании научно-технического совета при министерстве можно узнать на сайте минкомсвязи.

Планируется обновление нормативной базы ФСБ РФ

6-7 апреля 2010 года в Учебно-методическом информационном центре НАПФ состоялся круглый стол по теме «Защита персональных данных на финансовом и пенсионном рынке». Обсуждались вопросы практики применения положений и исполнения требований закона «О персональных данных», риски неисполнения или ненадлежащего исполнения требований и другие актуальные вопросы.

Особое внимание привлекли выступления представителей Регуляторов. Представитель Роскомнадзора поделился практическими рекомендациями по исполнению требований ФЗ-152, практикой проведения проверок и подвел итоги деятельности Консультативного Совета при Роскомнадзоре. Представитель ФСТЭК отметил особенности обеспечения безопасности ПДн при их обработке в ИСПДн.

Большой интерес участников вызвало выступление представителя ФСБ РФ Тачкова Юрия Владимировича о планах по совершенствованию нормативной базы ФСБ РФ по вопросу обеспечения безопасности ПДн. В настоящее время в 8-ом центре ФСБ РФ проходит экспертизу проект документа, в котором более детально расписаны обновленные требования по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн. Данный документ будет содержать требования к обоснованию необходимости использования СКЗИ, этапам работ, правилам формирования моделей угроз, контролю установки СКЗИ и др.

Подробнее о программе мероприятия можно узнать на сайте организатора.

Результаты проверок в отношении региональных операторов персональных данных: выявлены нарушения и выданы соответствующие предписания

Несмотря на возникшие в последнее время дискуссии в связи с нововведениями в нормативно-методической базе Регуляторов, Роскомнадзор продолжает плановые проверки операторов персональных данных, в результате которых выявляются нарушения и выдаются предписания об их устранении.

В качестве примеров можно привести результаты недавних проверок:

• Управлением Роскомнадзора по Приморскому краю в г. Уссурийске проведена плановая проверка соответствия деятельности Межрайонной инспекции Федеральной налоговой службы № 9 по Приморскому краю по обработке персональных данных требованиям законодательства Российской Федерации. Выявлены следующие нарушения:
  • В Уведомлении об обработке ПДн указаны не все категории ПДн;
  • Форма согласия на обработку ПДн не соответствует требованиям ФЗ-152;
  • Не разработан порядок обработки ПДн работников и их права в этой области.
• Управление Роскомнадзора по Республике Карелия провело плановую проверку ГУ « Центр занятости Прионежского района» на предмет соответствия обработки персональных данных требованиям законодательства Российской Федерации. Нарушения:
  • В текстах договоров отсутствует существенное условие об обеспечении конфиденциальности ПДн в случае, когда оператор поручает их обработку другому лицу.

Приведенные примеры свидетельствуют о том, что операторы ПДн зачастую формально подходят к выполнению требований закона «О персональных данных», частично выполняя эти требования. Регуляторы, в свою очередь, с этим не согласны и их претензии вполне обоснованны.

Изменения в методических документах ФСТЭК

В последнее время произошли серьезные изменения в перечне методических документов, регламентирующих требования по защите персональных данных, а именно:

• 5 февраля 2010 г. был издан приказ ФСТЭК № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46);
• 5 марта 2010 года ФСТЭК утвердил решение, в соответствии с которым стало возможным «не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.».

Практические выводы из изменений в документах ФСТЭК:

Два предыдущих документа ФСТЭК отменены. Теперь при создании системы защиты ПДн необходимо руководствоваться Приказом №58 ФСТЭК, в котором содержатся требования по обеспечению безопасности ПДн. Регистрация же документа в Минюсте придает ему неоспоримое преимущество перед предыдущими РД. Несмотря на послабление в требованиях, что не может не радовать операторов ПДн, многие вопросы остаются открытыми и, будем надеяться, что в ближайшее время будут выпущены дополнительные разъяснения по спорным вопросам.

Минюст России зарегистрировал Административный регламент проведения Роскомнадзором проверок соблюдения законодательства о персональных данных

28 января 2010 года Министерство юстиции Российской Федерации зарегистрировало «Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Данный регламент определяет сроки и последовательность действий (административных процедур) Роскомнадзора и его территориальных органов в сфере защиты прав субъектов персональных данных, порядок взаимодействия с государственными и муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных.

Текст документа размещен на сайте ведомства

Роскомнадзор планирует завершить формирование Реестра операторов персональных данных в текущем году

Начальник Управления по защите прав субъектов персональных данных Роскомнадзора Лариса Васильева выступила 29 января на 12-м национальном форуме информационной безопасности «Информационная безопасность России в условиях глобального информационного общества» (ИНФОФОРУМ-12), где рассказала об итогах работы ведомства за 2009 год и поделилась планами на 2010 год.

В 2009 году Управление провело 432 проверки в отношении операторов, осуществляющих обработку персональных данных, из них 284 были плановыми и 148 - внеплановыми. По результатам проверок выдано 557 предписаний об устранении выявленных нарушений. Нарушителями закона «О персональных данных» чаще всего оказывались кредитные организации, страховые компании, операторы связи, организации жилищно-коммунального хозяйства.

В 37 случаях операторы, осуществляющие обработку персональных данных, но не уведомившие Роскомнадзор, были привлечены к административной ответственности. Как подчеркнула Л.Васильева, «в 2010 году с учетом активизации механизмов по привлечению к административной ответственности операторов, не представивших уведомление об обработке персональных данных в Уполномоченный орган, мы намерены завершить формирование Реестра операторов, осуществляющих обработку персональных данных».

Полный текст новости на сайте ведомства

Срок выполнения требований закона «О персональных данных» продлен до 01.01.2011 года

В конце уходящего 2009 года законодатели преподнесли операторам персональных данных приятный сюрприз, продлив на один год срок, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных".

Законопроект «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» был внесен в Государственную Думу РФ, рассмотрен в трех чтениях, одобрен Советом Федерации РФ, подписан Президентом РФ, опубликован в «Российской газете» и вступил в силу 29.12.2009 года.

Суть изменений:

1. в части 1 статьи 19 слова «, в том числе использовать шифровальные (криптографические) средства,» исключить
2. часть 3 статьи 25 изложить в следующей редакции:
   «3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года».

Таким образом, исключены требования об использовании криптографических средств защиты персональных данных и продлен на один год срок, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных".

Наблюдается некоторое ослабление требований (в части криптографии), однако это не означает отмену закона, и выполнять требования по защите ПДн придется в любом случае, а операторы ПДн лишь получают некоторый запас времени для планирования работ по обеспечению защиты ПДн. Операторы ПДн, которые не успеют выполнить требования закона до 01.01.2011 года, рискуют испытать на себе жесткость контролирующих органов, т.к. аргументов, объясняющих отсутствие защиты ПДн, уже не останется.

Все методические документы ФСТЭК в открытом доступе.

Решением ФСТЭК России от 16 ноября 2009 г была снята пометка «для служебного пользования» с 2-х оставшихся методических документов и теперь все «четверокнижие» размещено на официальном сайте ведомства в разделе Специальные нормативные документы.

Методические документы ФСБ РФ уже давно размещены в открытом доступе на сайте Роскомнадзора.

Таким образом, вся нормативная база, регламентирующая защиту персональных данных, доступна для всех пользователей, что, несомненно, повысит осведомленность операторов персональных данных и позволит более эффективно проводить работы по обеспечению защиты персональных данных.

Роскомнадзор в очередной раз подтвердил свою позицию о нецелесообразности переноса сроков реализации закона «О персональных данных».

6 ноября у заместителя Министра связи и массовых коммуникаций Российской Федерации Алексея Солдатова состоялось совещание по вопросам гармонизации законодательства в сфере персональных данных. Обсуждались предложения в проект федерального закона «О внесении изменений в Федеральный закон «О персональных данных», в том числе о переносе срока реализации настоящего Закона, который истекает 01.01.2010 года .

Заместитель руководителя Роскомнадзора Роман Шередин, принимавший участие в совещании, выразил готовность Службы к активному обсуждению предложений, направленных на улучшение законодательного регулирования сферы персональных данных, однако подчеркнул неизменность позиции ведомства о нецелесообразности переноса сроков реализации закона «О персональных данных».

Полный текст новости на портале о персональных данных Роскомнадзора

Вчера, 20 октября, прошли Парламентские слушания по «Актуальным вопросам развития и применения законодательства о защите прав граждан при обработке персональных данных»

20 октября 2009 года в Государственной Думе РФ состоялись Парламентские слушания по «Актуальным вопросам развития и применения законодательства о защите прав граждан при обработке персональных данных». В слушаниях приняли участие представители Комитетов Государственной Думы по государственному строительству и конституционному законодательству, по безопасности, по финансовому рынку, а также Министерства юстиции РФ, ФСТЭК России, ФСБ России, Ассоциации российских банков, Российского союза автостраховщиков, Национальной страховой гильдии, Ассоциации региональных операторов связи, Ассоциации предприятий компьютерных и информационных технологий.

В докладах участников слушаний затрагивались вопросы гармонизации российского законодательства, в частности, говорилось о необходимости скорейшего внесения изменений в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» и пересмотра документов, разработанных ФСТЭК России и ФСБ России в части снижения требований, предъявляемых к технической защите информационных систем персональных данных.

Участники представили конкретные предложения по гармонизации нормативно-правовой базы по защите персональных данных, в том числе о необходимости создания отраслевых стандартов. В качестве примера в предложении Инфокоммуникационного союза был приведен проект по «Разработке концепции защиты персональных данных в информационных системах персональных данных операторов связи (шифр «Тритон»), который реализуется в настоящее время компанией Рэйнвокс. Выдержка из документа

Наиболее острые обсуждения вызвал вопрос, касающийся переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных». Участники слушаний предлагали перенести установленный срок – 01.01.2010 г. на один год, мотивируя это решение неготовностью государственных органов к исполнению закона, необходимостью гармонизации нормативно-правовой базы и др.

Заместитель руководителя Роскомнадзора Роман Шередин, выступая перед участниками слушаний, подчеркнул, что не считает перенос срока необходимой мерой, которая поможет решить стоящие сегодня перед операторами персональных данных проблемы. «Мы понимаем всю неоднозначность сложившейся ситуации, связанной, прежде всего, с организационной сложностью, и финансовой обременительностью имеющейся методологии защиты персональных данных. При этом мы понимаем и всю ответственность Уполномоченного органа, призванного защищать права граждан – субъектов персональных данных. Учитывая это, мы настаиваем на нецелесообразности переноса сроков, установленных законом. И настаиваем на скорейшем принятии тех законопроектов и подзаконных актов, которые позволят в полной мере обеспечить законные интересы и права граждан, предъявляющих свои персональные данные как в государственные органы, так и в коммерческие структуры». (Подробнее о позиции Роскомнадзора на официальном сайте ведомства)

Обновленные методические документы ФСТЭК в открытом доступе

На сайте ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК) в разделе «Специальные нормативные документы» размещены два из четырех нормативно-методических документов в области персональных данных:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Указанные документы претерпели незначительные изменения по сравнению с первоначальной редакцией, а факт их появления в открытом доступе свидетельствует о том, что это финальная версия документов, готовых к использованию при создании системы защиты персональных данных.

Роскомнадзор - уполномоченный орган по защите прав субъектов персональных данных - открыл в сети Интернет «Портал персональных данных»

На Интернет-портале размещается информация по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных – новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д. Также через Интернет-портал осуществляется доступ к реестру операторов, осуществляющих обработку персональных данных.

Подробнее на сайте Роскомнадзора

Руководитель Роскомнадзора Сергей Ситников 14 сентября подписал приказ «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных».

Консультативный совет – консультативно-совещательный орган, основными задачами которого, в частности, являются:

• гармонизация законодательства Российской Федерации в области защиты персональных данных с учетом общественного мнения и опыта правоприменительной практики;
• содействие распространению положительного опыта по организации защиты прав субъектов персональных данных;
• содействие формированию позитивного общественного мнения, способствующего созданию и развитию эффективной системы защиты прав субъектов персональных данных
• создание условий для повышения правового уровня и активной гражданской позиции общества.

Текст новости на сайте Роскомнадзора

В дополнение к плану проверок на 2009 год Роскомнадзор опубликовал план проверок на 2010 год, в том числе по проверкам соблюдения обязательных требований в сфере обработки персональных данных.

Роскомнадзор опубликовал план проверок на 2010 год, в том числе по проверкам соблюдения обязательных требований в сфере обработки персональных данных. В соответствии с планом проверкам будут подвержены различные операторы персональных данных, относящихся к следующим отраслям: телекоммуникации, страховые компании, кредитно-финансовые организации, жилищно-коммунальные и другие.

План проверок на сайте Роскомнадзора

Министр связи и массовых коммуникаций Российской Федерации Игорь Щёголев дал интервью радиостанции «Эхо Москвы», в котором затронул вопросы и проблемы защиты персональных данных в России.

По словам Министра связи и массовых коммуникаций Российской Федерации Игоря Щёголева, важнейшим аспектом в создании электронного правительства является неприкосновенность и сохранность персональных данных граждан.

В интервью радиостанции «Эхо Москвы» Игорь Щёголев рассказал, что незаконное хищение и продажа персональных данных граждан Российской Федерации - «это большая беда, целая индустрия и, конечно же, одна из серьезных недоработок государства». Министр отметил, что «наибольшая часть утечек личных данных происходит в результате действий сотрудников в самих компаниях, которые их обрабатывают». В решении этой серьезной проблемы «мы делаем выводы из ошибок, которые допускались в других странах и стараемся перенимать опыт», заявил Игорь Щёголев.

По словам Министра в этой связи «мы готовим стандарты, которые будут обязывать все системы, где обрабатываются персональные данные, оснащать системой, защищающей от потокового скачивания». «Хочу обратить внимание, что закон о защите персональных данных был принят не так давно, и только с 2008 года фактически началась практика его применения. В этом году был подготовлен первый доклад и там делаются определенные выводы», - заметил Министр. По его мнению, количество обращений российских граждан в суды по такого рода вопросам пока не велико, и связано, в первую очередь, с незнанием граждан о появлении «нового инструмента, позволяющего отстаивать свои права».

Персональные данные: быть или не быть переносу сроков?

На сайте Comnews опубликовано интервью с представителями Минкомсвязи, Роскомнадзора и Инфокоммуникационного союза. Тема дискуссии – перенос сроков реализации закона «О персональных данных».

До января 2010 года осталось менее полугода и операторы персональных данных предложили перенести срок реализации закона, так как большинство из них не успевают привести информационные системы в соответствие с требованиями этого документа к 1 января 2010 г. Представители Минкомсвязи и ФСТЭК высказались против переноса сроков и считают, что надо решать проблему, а не переносить сроки. Причем, если представители ФСТЭК высказываются категорично против, то в Минкомсвязи еще надеются, что можно будет вернуться к этому вопросу позже, если действительно не будет найдено решение проблемы.

Александр Крупнов, Президент Инфокоммуникационного союза, высказал свое беспокойство по этому вопросу:«Основная проблема в том, что если бы к настоящему времени была выработана методика для проверки соответствия требованиям защиты персональных данных, многих вопросов можно было бы избежать».

Полную версию статьи можно прочитать на сайте comnews.ru

Отчет Роскомнадзора о деятельности в первом полугодии 2009 года

На сайте Роскомнадзора опубликован отчет о деятельности Федеральной Службы во втором квартале 2009 года, где также отражена деятельность по защите прав субъектов персональных данных в первом полугодии текущего года.

За отчетный период территориальными органами Роскомнадзора было проведено 205 проверок в отношении операторов, осуществляющих обработку персональных данных (далее – Оператор), из них 119 плановых и 86 внеплановых проверок. По результатам проведенных проверок сотрудниками территориальных органов Роскомнадзора выдано 293 предписания Операторам об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 27 протоколов об административных правонарушениях.

Посмотреть весь отчет 

Посетить сайт Роскомнадзора

Комментарии руководителя Роскомнадзора Ситникова С.К. — об основных приоритетах и направлениях деятельности вверенного ему ведомства

Руководитель Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Сергей Константинович Ситников в интервью журналу «БОСС» (Бизнес. Организация. Стратегия. Системы) №07 2009 г. дал комментарии — об основных приоритетах и направлениях деятельности вверенного ему ведомства.

В ходе беседы был затронут вопрос о работе ведомства в качестве уполномоченного органа по защите прав субъектов персональных данных: о проводимых проверках соответствия обработки персональных данных требованиям законодательства; о корректировке подходов к контрольно-надзорной деятельности в связи с вступлением в силу закона №294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля"и другие аспекты деятельности.

Полный текст статьи на сайте Роскомнадзора

С 1 июля 2009 года вступил в силу Федеральный закон Российской Федерации от 26 декабря 2008 г. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Данный закон регулирует отношения в области организации и осуществления государственного контроля (надзора), муниципального контроля и защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля.

Текст закона http://www.rg.ru/2008/12/30/prava-kontrol-dok.html

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год

Роскомнадзор, в функции которого входит контроль соблюдения требований закона о персональных данных, разместил на своем сайте «Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год».

Отчет содержит итоги деятельности: по обеспечению государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных; по рассмотрению обращений граждан (субъектов персональных данных), итоги судебно-претензионной работы Уполномоченного органа; по ведению реестра операторов, осуществляющих обработку персональных данных и др.

Посмотреть весь отчет

Посетить сайт Роскомнадзора

Роскомнадзор опубликовал доклад об итогах работы службы за 2008 год

Роскомнадзор опубликовал доклад об итогах работы службы за 2008 год. Публичный доклад со-держит описание деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), в функции которой входит также контроль и надзор за соответствием обработки персональных данных.

Ниже приведены выдержки из доклада, в которых отражены итоги проверок операторов персо-нальных данных в 2008 году (Полный текст доклада на сайте Роскомнадзора 

«Обеспечение контроля и надзора за соответствием обработки персональных данных тре-бованиям федерального закона.

В рамках выполнения функций по государственному контролю и надзору за соответствием обра-ботки персональных данных требованиям законодательства Российской Федерации в области персональных данных Роскомнадзором в 2008 году проведено 76 мероприятий по контролю и надзору, в том числе 36 плановых и 40 внеплановых мероприятий. По результатам проверок вы-писано 19 предписаний об устранении выявленных нарушений Федерального закона «О персо-нальных данных», 5 материалов направлено в органы прокуратуры; 11 – в судебные органы.

Выявленные нарушения классифицированы по следующим статьям Кодекса Российской Феде-рации об административных правонарушениях:

• ст. 13.11. – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
• ст. 19.7. – непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществле-ния этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или искаженном виде.

В рамках межведомственного сотрудничества между Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой по техниче-скому и экспортному контролю, Федеральной службой безопасности Российской Федерации дос-тигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных в 2009 году».

«Рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения

Выполнение данной задачи направлено на защиту конституционных прав и свобод человека и гражданина при обработке его персональных данных, повышение степени свободы и защищенно-сти граждан Российской Федерации, предупреждение и ограничение случаев вторжения в частную жизнь граждан, укрепление правовой защищенности и безопасности личности.

С начала возложения на Роскомнадзор полномочий по защите прав субъектов персональных данных поступило 146 обращений: из них даны ответы заявителям – 60, направлены в правоохра-нительные органы – 5, органы прокуратуры – 24, в судебные органы – 22, на момент подготовки Публичного доклада находилось на рассмотрении – 35.

В результате взаимодействия с правоохранительными органами приостановлена деятельность интернет-ресурсов www.nomer.org.ru и www.vslomaj.com, предоставляющих услуги доступа к пер-сональным данным граждан Российской Федерации.

В 2008 году прошли первые судебные процессы по искам в области защиты прав субъектов пер-сональных данных. Операторам персональных данных дан четкий и однозначный сигнал: требова-ния закона обязательны для всех.

Судебными инстанциями из 22 административных дел семь рассмотрены в пользу субъектов персональных данных, в шести случаях вынесены решения об отказе в исковых требованиях, де-вять административных дел на конец года находились в судебном производстве.

Операторы, осуществляющие обработку персональных данных с нарушениями требований Федерального закона «О персональных данных», привлечены к административной ответственности с наложением штрафов на общую сумму 14 500 рублей.

В качестве положительного опыта можно привести рассмотрение искового заявления территори-ального Управления по Приморскому краю по обращению гр. Жданова А. А., которым обжалова-лись действия Сбербанка Российской Федерации. Фрунзенский районный суд Приморского края обязал Сбербанк уничтожить персональные данные заявителя, незаконно внесенные в информа-ционную систему «СТОП-ЛИСТ».

Чаще всего субъекты персональных данных обращаются по фактам нарушений Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:

• главы 2 статьи 5 «Принципы обработки персональных данных»;
• статьи 6 «Условия обработки персональных данных»;
• статьи 9 «Согласие субъекта персональных данных на обработку своих персональных дан-ных».

Изложенные в обращениях факты нарушения федерального законодательства в ходе рассмот-рения подтвердились в большинстве случаев.

Анализ категорий операторов, осуществляющих обработку персональных данных, на действия которых чаще всего поступают обращения от субъектов персональных данных, позволяет утвер-ждать, что «лидерами» являются:

• кредитные учреждения – 34;
• жилищно-коммунальные организации – 21;
• операторы связи – 10;
• страховые компании – 9»

Россвязькомнадзор переименован в Роскомнадзор

Постановление Правительства РФ от 16 марта 2009 г. N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» утверждает Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, где определяются ее полномочия и новое название «Роскомнадзор». Подробнее на сайте Роскомнадзора.

Изменения в приказе Россвязькомнадзора №8

Приказ «о внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. №8 Об утверждении образца формы уведомления об обработке персональных данных» вносит некоторые поправки в радел «Рекомендации по заполнению образца формы уведомления об обработке персональных данных».

Методические документы ФСБ РФ в открытом доступе

Методические документы ФСБ РФ, регламентирующих меры по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных, доступны на сайте Россвязькомнадзора

Планируемые изменения в нормативных актах

В соответствии с Проектом Федерального закона "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» изменениям будет подвергнут ряд нормативно-правовых актов 

Постановление Правительства РФ №687

Постановление Правительства РФ от 15.09.2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Документ раскрывает понятие обработки персональных данных без использования средств автоматизации (неавтоматизированная обработка) и устанавливает правила такой обработки.

Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций №8

Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) от 17 июля 2008 г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных»  Приказ определяет форму уведомления и порядок ее заполнения операторами персональных данных. Уведомление об обработке (о намерении осуществлять обработку) персональных данных направляется в уполномоченный орган по защите прав субъектов персональных данных (Россвязькомнадзор).

Постановление Правительства РФ №512

Постановление Правительства РФ от 06.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» 

Постановление Правительства РФ №419

Постановление Правительства №419 от 2 июня 2008 года «О Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор)»  В соответствии с положениями документа Россвязькомнадзор выполняет функции контроля и надзора за соответствием обработки персональных данных требованиям законодательства.

Методические документы регуляторов

В соответствии с положениями закона «О персональных данных» и Постановлением Правительства РФ №781 уполномоченные государственные органы (Регуляторы) ФСТЭК России и ФСБ РФ разработали методические документы, регламентирующие методы и способы защиты персональных данных в пределах своих полномочий.

Методические документы ФСТЭК России:

• «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн» от 15.02.2008 г

Методические документы ФСБ России:

• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622

Приказ ФСТЭК, ФСБ, Мининформсвязи №55/86/20

Совместный приказ ФСТЭК, ФСБ, Мининформсвязи от 13.02.2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»  дает определение категорий персональных данных и характеристик информационных систем персональных данных, а также устанавливает порядок проведения классификации информационных систем персональных данных.

Постановление Правительства РФ №781

Постановление Правительства №781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Документ принят с целью обеспечения выполнения требований закона «О персональных данных» и определяет требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; определяет федеральные органы (ФСБ, ФСТЭК), которые устанавливают методы и способы по обеспечению безопасности персональных данных в пределах своих полномочий.

Федеральный закон № 152 «О персональных данных»

В целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в соответствии с Конституцией РФ и Конвенцией Совета Европы был принят Федеральный закон № 152 «О персональных данных»  ФЗ-152 (далее – Закон) от 27.07.2006 г. Закон вступил в силу 26 января 2007 года и отражает принципы и условия обработки персональных данных, определяет права субъектов и обязанности операторов персональных данных, устанавливает полномочия контролирующих органов и ответственность за нарушения требований настоящего Федерального закона.