Уважаемый Николай Владимирович! Уважаемые члены Координационного совета! Позвольте поблагодарить за предоставленную возможность выступить с доклад
| Вид материала | Доклад |
СодержаниеГлавной целью Закона является О реестре операторов персональных данных |
- Позвольте поблагодарить Всех присутствующих за предоставленную мне возможность выступить, 74.1kb.
- Позвольте поприветствовать Вас, а также поблагодарить организаторов сегодняшнего мероприятия, 119.83kb.
- Атомная энергетика России: новый этап развития, 188.83kb.
- Доклад в Влгу на международной конференции 10. 2009, 207.93kb.
- Михаила Владимировича Шестакова фцб «Развитие территорий» Слайд 1 Уважаемый Михаил, 64.6kb.
- Уважаемый Радик Шавкятович! Уважаемые члены Экономического Совета! Уважаемые приглашенные!, 350.21kb.
- «Инвестиционная составляющая развития лесопромышленного комплекса Иркутской области», 33.76kb.
- Ю. Ю. Марченко Уважаемый Василий Алексеевич, уважаемые члены Совета, приглашенные., 51.01kb.
- В. В. Поголова на заседании Законодательного Собрания Кировской области 6 марта 2012, 161.15kb.
- Павлова Росздрава Маликов А. Я. Уважаемый председатель, уважаемые члены комиссии позвольте, 60.18kb.
Доклад «Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных»
Уважаемый Николай Владимирович!
Уважаемые члены Координационного совета!
Позвольте поблагодарить за предоставленную возможность выступить с докладом перед столь авторитетной аудиторией.
Несмотря на то, что проблемы защиты прав гражданина при обработке его персональных данных широко обсуждаются в последнее время в средствах массовой информации, их актуальность трудно переоценить…
Хотелось бы надеяться, что сегодняшнее обсуждение принесет ощутимые результаты.
В Европе, да и во всем мире, персональные данные субъектов защищаются уже давным-давно. В 2005 году Россией была ратифицирована Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», а 27 июля 2006-го года принят федеральный закон №152-ФЗ «О персональных данных», который вступил в силу в январе 2007 года.
Главной целью Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну, закрепленных в Конституции Российской Федерации.
1. Под персональными данными (ПДн) понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место его рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация (ИНН, паспортные данные, данные военного билета, страхового свидетельства, медицинского полиса и т.п.).
Любые действия с персональными данными (сбор, накопление, хранение, обновление, использование, передача) являются их обработкой.
2. Все государственные, муниципальные органы, юридические и физические лица, организующие и осуществляющие обработку персональных данных, являются операторами ПДн. По сути, любое юридическое лицо или индивидуальный предприниматель, оказывающий какие-либо услуги населению, обрабатывает персональные данные, поэтому является оператором персональных данных. К ним относятся государственные органы, школы, детские сады, страховые компании, кредитные и туристические агентства, больницы, банки, акционерные общества, индивидуальные предприниматели. Все они подпадают под действие федерального закона «О персональных данных». Следовательно, Закон "О персональных данных" касается практически всех организаций.
Закон обязывает операторов, осуществляющих обработку ПДн, направить в уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке ПДн. На основании этого уведомления оператор включается в единый государственный Реестр операторов персональных данных. Реестр призван сделать процесс работы с конфиденциальной информацией о персональных данных прозрачным для ее субъектов. Он находится в открытом доступе и существует для того, чтобы любой человек мог с его помощью понять, имеет ли право заниматься обработкой персональных данных та организация или структура, которая их запрашивает, в каком объеме и как она эти данные использует.
В соответствии с постановлением Правительства РФ от 16.03.2009 №228 уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор и его терорганы.
3. Основными задачами Роскомнадзора в области защиты прав субъектов ПДн являются:
- Рассмотрение жалоб и обращений граждан и юридических лиц по вопросам, связанным с обработкой персональных данных, а также принятие в пределах своих полномочий решений по результатам рассмотрения указанных жалоб и заявлений.
- Ведение реестра операторов.
- Осуществление мер, направленных на совершенствование защиты прав субъектов персональных данных.
- Контроль соблюдения 152-ФЗ и защита прав субъектов персональных данных.
Совместно с Роскомнадзором контроль осуществляют Федеральная служба по техническому и экспортному контролю (ФСТЭК), которая контролирует организацию защиты информации с использованием технических средств, а также Федеральная служба безопасности РФ (ФСБ), курирующая вопросы защиты информации с использованием средств шифрования и криптографии.
О реестре операторов персональных данных
Закон "О персональных данных" обязал всех операторов направить в уполномоченный орган уведомление не позднее 1 января 2008 года.
С этой даты прошло более двух лет. Однако, многие организации не спешат выполнять закон о персональных данных и подавать в Роскомнадзор уведомления об их обработке.
Во Владимирской области требуемые уведомления подали не более 1,5% от численности операторов.
Так, по сведениям Владимирстата на территории Владимирской области насчитывается более 77 тыс. потенциальных операторов ПДн.
Из них:
| Государственных органов управления | Муниципальных органов управления | Юридических лиц и ИП |
| 807 | 342 | 77553 |
Однако, по состоянию на 01.08.2010 в Управление поступило всего 1173 уведомления об обработке персональных данных,
в том числе:
| Государственных органов управления | Муниципальных органов управления | Юридических лиц и ИП |
| 18 | 137 | 1014 |
в том числе по районам:
| Александровского района – 40 | Меленковского района – 5 |
| Вязниковского района – 38 | Муромского района – 103 |
| Гусь-Хрустального района – 125 | Селивановского района – 45 |
| Гороховецкого района – 23 | Собинского района – 67 |
| Камешковского района – 16 | Судогодского района – 37 |
| Киржачского района – 17 | Суздальского района – 76 |
| Ковровского района – 61 | Ю-Польского района – 59 |
| Кольчугинского района – 32 | г. Владимира – 250 |
| Петушинского района – 27 | г. Радужного – 27 |
Сегодня далеко не все организации, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.
Сложились определенные заблуждения в данной области. Некоторые организации считают, что если не подать уведомление об обработке ПДн, то и с проверкой никто и не придет. Другое заблуждение – убежденность в том, что действие закона не распространится именно на "нашу" организацию. Соответственно, тоже можно ничего не делать. Сторонники такого подхода приводят разные аргументы. Например, что в организации не ведется автоматизированная обработка персональных данных, и все делается на бумаге.
Управлением проводится широкая информационно-публичная деятельность с целью разъяснения требований федерального закона №152-ФЗ:
- систематически размещаются объявления и статьи по тематике обработки персональных данных в печатных и электронных СМИ. Только за первое полугодие 2010 года статьи были опубликованы в 10 газетах районных и областного центра:
«Муромский край» (г. Муром).
«Вперед» (г. Петушки);
«Ковровская газета» (г. Ковров);
«Владимирская газета» (г. Владимир);
«Красное знамя (г. Киржач);
«Александровский голос труда» (г. Александров);
«Маяк» (г. Вязники);
«Коммунар» (г. Меленки);
«Новая жизнь» (г. Гороховец);
«Голос кольчугинца» (г. Кольчугино).
- Управление постоянно информирует потенциальных операторов о необходимости подачи Уведомления об обработке персональных данных в адрес Уполномоченного органа, рассылая им информационные письма.
- В августе с.г. Управление обратилось к главам администраций всех районов области с просьбой о размещении на их официальных сайтах информации о необходимости направления в Роскомнадзор уведомления об обработке ПДн. Все администрации откликнулись на нашу просьбу за исключением Меленковского, Собинского и Александровского районов.
Мы стучимся во все двери.
Однако, несмотря на проведенную значительную организационную и информационно-разъяснительную работу, количество представленных в Управление уведомлений об обработке персональных данных составляет весьма незначительную часть от прогнозной численности операторов.
В основном уведомления поступили из системы образования и здравоохранения. Ни одного уведомления, не поступило из кадровых агентств, нотариальных, адвокатских, риэлтерских контор и т.д. Из системы ЖКХ поступило лишь одно уведомление (от Управляющей компании №1 г. Юрьев-Польского).
Здесь мы рассчитываем на содействие структурных подразделений администрации области, территориальных органов федеральных органов исполнительной власти, органов местного самоуправления. Просим провести необходимую разъяснительную работу с руководителями подведомственных организаций, руководителями хозяйствующих субъектов, осуществляющих свою деятельность на подведомственной территории.
4. Кроме ведения реестра операторов Роскомнадзор уполномочен осуществлять государственный контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации.
Плановые проверки операторов проводятся Управлением с 2009 года. Проведенные проверки показали, что большинство операторов в той или иной степени нарушают законодательство в области обработки персональных данных.
Мы направляем усилия не столько на то, чтобы применить санкции, а стремимся по максимуму предварительно выявить существующие несоответствия требованиям закона, указать на них оператору и способствовать их устранению. Для предупреждения нарушений требований закона мы стремимся применять меры профилактического характера, проводим консультации, встречи с операторами, наши представители выступают с докладами и сообщениями на семинарах и конференциях.
Однако, к операторам, чьи действия или бездействие причиняют реальный вред интересам граждан, принимаются меры пресекательного характера. Если в результате проверки выявлены нарушения закона о защите персональных данных, то Управление Роскомнадзора вправе потребовать от оператора в трехдневный срок исправить все нарушения или уничтожить персональные данные. Добавьте репутационные риски. Ведь информация о проверке и выявленные нарушения будут обнародованы на общедоступном сайте Управления.
Стремление граждан отстаивать свои права ощутимо растет: если сравнивать статистику, то с начала 2010 года к нам уже обратились в пять граждан, а за 2008- 2009 годы ни одного.
В обращениях, направленных в наше Управление, граждане жаловались на жилищно-коммунальные организации, кредитные учреждения, средства массовой информации, которые незаконно передавали третьим лицам, опубликовывали, размещали в общественных местах списки, содержащие персональные данные.
И судя по всему, число жалоб, а, следовательно, и проверок операторов будет расти год от года.
По результатам проверок только за 2010 год выдано 9 предписаний об устранении выявленных нарушений, по двум проверкам материалы направлены в прокуратуру Владимирской области для принятия решения.
Основные нарушения, допускаемые операторами:
- несоответствие сведений, указанных в уведомлении об обработке персональных данных фактической деятельности (указаны не все цели обработки персональных данных, не перечислены категории субъектов персональных данных, которые обрабатываются, не соответствует способ обработки персональных данных, не указан класс информационной системы);
- несоответствие типовых форм документов, характера информации, в которых допускается включение персональных данных, требованиям законодательства Российской Федерации;
- несоблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
- обработка персональных данных, в том числе передача третьим лицам, без согласия субъекта персональных данных;
- операторы не уведомляют Роскомнадзор об уничтожении баз со сведениями при прекращении обработки или, напротив, хранят информацию дольше, чем предусмотрено целью ее сбора.
Заключение
Фактически закон «О персональных данных» требует от операторов построения современной системы защиты персональных данных. Поскольку в той или иной форме персональные данные имеются у всех организаций, этот закон можно воспринимать как требования государства по информационной защите любого вида деятельности и не следует игнорировать требования этого закона.
Еще раз хочется отметить: мы надеемся на Ваше содействие в реализации требований Федерального закона «О персональных данных», особенно в части формирования Реестра операторов, осуществляющих обработку персональных данных.