«Требования законодательства РФ в области защиты персональных данных»

1. Управление Роскомнадзора
по Сибирскому федеральному округу
ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА РФ В ОБЛАСТИ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
КОНТРОЛЬ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:
ПРОВЕДЕНИЕ УПОЛНОМОЧЕННЫМИ
ГОСУДАРСТВЕННЫМИ ОРГАНАМИ ПРОВЕРОК
ОПЕРАТОРОВ, ВЕДУЩИХ ОБРАБОТКУ
ПЕРСОНАЛЬНЫХ ДАННЫХ

2. Направления деятельности РоскомнадзораНаправления деятельности Роскомнадзора
Функции
Рассмотрение
обращений
субъектов
персональных
данных
Государственный
надзор и контроль за
обработкой
персональных
данных
Обеспечение контроля и надзора за соответствием
обработки ПД требованиям ФЗ
Обеспечение работы Консультативного совета при
Роскомнадзоре.
Подготовка ежегодных отчетов по результатам
осуществления контроля и надзора перед
Президентом Российской Федерации,
Правительством Российской Федерации и
Федеральным Собранием Российской Федерации.
Рассмотрение обращений субъектов персональных
данных о соответствии содержания персональных
данных и способов их обработки целям их обработки и
принятие соответствующих решений
Ведение реестра
операторов
Ведение реестра операторов, осуществляющих
обработку персональных данных; проверка
сведений содержащихся в уведомлении об
обработке персональных данных

3. 1. Конвенция Совета Европы о защите физических лиц при
автоматизированной обработке данных от 28.01.1981;
2. Федеральный закон от 19.12. 2005 года «О ратификации Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке данных»;
3. Конституция Российской Федерации;
4. Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных»
(в ред. от 21.07.2014 N 216-ФЗ );
5. Трудовой Кодекс Российской Федерации.
6. Постановление Правительства Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
7. Постановление Правительства Российской Федерации от 21.03.2012 № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных данных»
и принятыми в соответствии с ним нормативными правовыми актами, операторами,
являющимися государственными или муниципальными органами»;

4. 8. Постановление Правительства Российской Федерации от 6 июля 2008 г.
№512 «Об утверждении требований к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных»;
9. Постановление Правительства Российской Федерации от 01 ноября 2012 года №1119
«Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных» (исполнение проверяет Федеральная
служба по техническому и экспортному контролю (ФСТЭК России));
10. Приказ Минкомсвязи от 14.11.2011 № 312 «Об утверждении
Административного регламента исполнения Федеральной службой по надзору в
сфере связи, информационных технологий и массовых коммуникаций функции
по осуществлению государственного контроля (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской
Федерации в области персональных данных»;
11. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований
и методов по обезличиванию персональных данных»
12. Приказ Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня
иностранных государств, не являющихся сторонами Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке персональных
данных и обеспечивающих адекватную защиту прав субъектов персональных
данных»

5. http://rkn.gov.ru - официальный сайт Федеральной службы по надзору
по сфере связи, информационных технологий и
массовых коммуникаций (Роскомнадзора).
Представлены нормативные правовые акты, официальные
документы и аналитические публикации по вопросу защиты
прав граждан при обработке персональных данных

6. http://pd.rkn.gov.ru – «Портал персональных данных».
На портале размещается информация по всему спектру деятельности
Роскомнадзора в сфере защиты прав субъектов персональных данных.
Осуществляется доступ к реестру операторов, осуществляющих
обработку персональных данных. Кроме того, «Портал персональных
данных» предоставляет возможность гражданам – субъектам
персональных данных получать максимум информации для
отстаивания своих интересов и гражданских прав.
«».

7.  обработке персональных данных физическими лицами
исключительно для личных и семейных нужд, если при этом не
нарушаются права субъектов персональных данных;
 организации хранения, комплектования, учета и использования
содержащих персональные данные документов Архивного фонда
Российской Федерации и других архивных документов в
соответствии с законодательством об архивном деле в Российской
Федерации;
 обработке персональных данных, отнесенных в установленном
порядке к сведениям, составляющим государственную тайну;
 предоставлении уполномоченными органами информации о
деятельности судов в Российской Федерации в соответствии с
Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об
обеспечении доступа к информации о деятельности судов в
Российской Федерации".

8. Федеральным законом регулируются отношения,
связанные с обработкой персональных данных,
осуществляемой операторами с использованием
средств автоматизации, в том числе в
информационно-телекоммуникационных сетях, или
без использования таких средств, если обработка
персональных данных без использования таких
средств соответствует характеру действий
(операций), совершаемых с персональными данными
с использованием средств автоматизации, то есть
позволяет осуществлять в соответствии с заданным
алгоритмом поиск персональных данных,
зафиксированных на материальном носителе и
содержащихся в картотеках или иных
систематизированных собраниях персональных
данных, и (или) доступ к таким персональным данным.
СФЕРА ДЕЙСТВИЯ ЗАКОНА О ПЕРСОНАЛЬНЫХ ДАННЫХ

9. и биологические
Персональные данныеПерсональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому
физическому лицу (субъекту персональных
данных)

10. ОператорОператор - государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно
или совместно с другими лицами организующие и
(или) осуществляющие обработку персональных
данных, а также определяющие цели обработки
персональных данных, состав персональных
данных, подлежащих обработке, действия
(операции), совершаемые с персональными
данными;
Обработка ПДОбработка ПД - любое действие (операция) или совокупность
действий (операций), совершаемых
с использованием средств автоматизации или без
использования таких средств с персональными
данными, включая сбор, систематизацию,
накопление, хранение, уточнение (обновление,
запись, изменение), извлечение, использование,
передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление,

11. Распространение ПДРаспространение ПД - действия, направленные на раскрытие персональных
данных неопределенному кругу лиц;
Предоставление ПДПредоставление ПД - действия, направленные на раскрытие персональных
данных определенному лицу или определенному
кругу лиц;
Блокирование ПДБлокирование ПД - временное прекращение обработки персональных
данных (за исключением случаев, если обработка
необходима для уточнения персональных данных);
Уничтожение ПДУничтожение ПД - действия, в результате которых становится
невозможным восстановить содержание
персональных данных в информационной системе
персональных данных и (или)
в результате которых уничтожаются материальные
носители персональных данных;
Обезличивание ПДОбезличивание ПД - действия, в результате которых становится
невозможным без использования дополнительной
информации определить принадлежность
персональных данных конкретному субъекту
персональных данных.

12. 1. Обработка персональных данных должна осуществляться на
законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться
достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с
целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих
персональные данные, обработка которых осуществляется в целях,
несовместимых между собой.
4. Обработке подлежат только персональные данные, которые
отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных
должны соответствовать заявленным целям обработки.
Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.

13. 6. При обработке персональных данных должны быть обеспечены
точность персональных данных, их достаточность, а в необходимых
случаях и актуальность по отношению к целям обработки персональных
данных.
Оператор должен принимать необходимые меры либо обеспечивать их
принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем
этого требуют цели обработки персональных данных, если срок хранения
персональных данных не установлен федеральным законом, договором,
стороной которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо
обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом.

14. 1. цель обработки персональных данных;
2. категории персональных данных;
3. категории субъектов, персональные данные которых обрабатываются;
4. правовое основание обработки персональных данных;
5. перечень действий с персональными данными, общее описание
используемых оператором способов обработки персональных данных;
6. описание мер, предусмотренных статьями 18.1 и 19 настоящего
Федерального закона, в том числе сведения о наличии шифровальных
(криптографических) средств и наименования этих средств;
7. фамилия, имя, отчество физического лица или наименование
юридического лица, ответственных за организацию обработки
персональных данных, и номера их контактных телефонов, почтовые
адреса и адреса электронной почты;
8. дата начала обработки персональных данных;
9. срок или условие прекращения обработки персональных данных;
10. сведения о наличии или об отсутствии трансграничной передачи
персональных данных в процессе их обработки;
11. наименование (фамилия, имя, отчество), адрес оператора;
12. сведения об обеспечении безопасности персональных данных в
соответствии с требованиями к защите персональных данных,
установленными Правительством Российской Федерации.

15. 1) обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных законодательством
Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления
правосудия, исполнения судебного акта, акта другого органа или должностного
лица, подлежащих исполнению в соответствии с законодательством Российской
Федерации об исполнительном производстве (далее - исполнение судебного
акта);
4) обработка персональных данных необходима для исполнения полномочий
федеральных органов исполнительной власти, органов государственных
внебюджетных фондов, исполнительных органов государственной власти
субъектов Российской Федерации, органов местного самоуправления и функций
организаций, участвующих в предоставлении соответственно государственных и
муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010
года N 210-ФЗ "Об организации предоставления государственных и
муниципальных услуг", включая регистрацию субъекта персональных данных
на едином портале государственных и муниципальных услуг и (или)
региональных порталах государственных и муниципальных услуг;
Обработка ПД допускается в следующих случаях:

16. 5) обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем по которому
является субъект персональных данных, а также для заключения договора по
инициативе субъекта персональных данных или договора, по которому субъект
персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта персональных данных, если
получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и
законных интересов оператора или третьих лиц, в том числе в случаях,
предусмотренных Федеральным законом "О защите прав и законных интересов
физических лиц при осуществлении деятельности по возврату просроченной
задолженности и о внесении изменений в Федеральный закон "О
микрофинансовой деятельности и микрофинансовых организациях", либо для
достижения общественно значимых целей при условии, что при этом не
нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления
профессиональной деятельности журналиста и (или) законной деятельности
средства массовой информации либо научной, литературной или иной
творческой деятельности при условии, что при этом не нарушаются права и
законные интересы субъекта персональных данных;
Обработка ПД допускается в следующих случаях:

17.  9) обработка персональных данных осуществляется в
статистических или иных исследовательских целях, за
исключением целей, указанных в статье 15 настоящего
Федерального закона, при условии обязательного
обезличивания персональных данных;
 10) осуществляется обработка персональных данных, доступ
неограниченного круга лиц к которым предоставлен субъектом
персональных данных либо по его просьбе (далее -
персональные данные, сделанные общедоступными субъектом
персональных данных);
 11) осуществляется обработка персональных данных,
подлежащих опубликованию или обязательному раскрытию в
соответствии с федеральным законом.
Обработка ПД допускается в следующих случаях:

18. Поручение оператора на обработку
персональных данных другому лицу
Оператор вправе поручить обработку персональных данных другому
лицу с согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора, в
том числе государственного или муниципального контракта, либо путем
принятия государственным или муниципальным органом соответствующего
акта (далее - поручение оператора).
Лицо, осуществляющее обработку персональных данных по поручению
оператора, обязано соблюдать принципы и правила обработки персональных
данных, предусмотренные настоящим Федеральным законом.
В поручении оператора должны быть определены перечень действий
(операций) с персональными данными, которые будут совершаться лицом,
осуществляющим обработку персональных данных, и цели обработки,
должна быть установлена обязанность такого лица соблюдать
конфиденциальность персональных данных и обеспечивать безопасность
персональных данных при их обработке, а также должны быть указаны
требования к защите обрабатываемых персональных данных в соответствии
со статьей 19 настоящего Федерального закона.

19. Обязательное для соблюдения оператором или
иным получившим доступ к персональным данным
лицом требование не раскрывать и не
распространять персональные данные без
согласия субъекта персональных данных или
наличия иного, предусмотренного федеральным
законом основания.
Конфиденциальность персональных данных

20. 1. Включение в общедоступные источники персональных данных (в
том числе справочники, адресные книги);
2. Обработка специальной категории персональных данных;
3. Обработка биометрических персональных данных;
4. Трансграничная передача персональных данных на территории
иностранных государств, не обеспечивающих адекватной защиты прав
субъектов персональных данных;
5. При принятии решения на основании исключительно
автоматизированной обработки ПД, порождающего юридические
последствия в отношении субъекта ПД или иным образом затрагивающее
его права и законные интересы.

21. 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер
основного документа, удостоверяющего его личность, сведения о дате выдачи
указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных,
номер основного документа, удостоверяющего его личность, сведения о дате выдачи
указанного документа и выдавшем его органе, реквизиты доверенности или иного
документа, подтверждающего полномочия этого представителя (при получении
согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего
согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие
субъекта персональных данных;

22. 6) наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению
оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение
которых дается согласие, общее описание используемых оператором
способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта
персональных данных, а также способ его отзыва, если иное не
установлено федеральным законом;
9) подпись субъекта персональных данных.

23. Перечень иностранных государств,
не являющихся сторонами Конвенции Совета Европы о защите физических
лиц при автоматизированной обработке персональных данных и
обеспечивающих адекватную защиту прав субъектов персональных данных
 Австралия - Австралийский союз
 Аргентинская Республика
 Государство Израиль
 Канада
 Королевство Марокко
 Малайзия
 Мексиканские Соединенные Штаты
 Монголия
 Новая Зеландия
 Республика Ангола
 Республика Бенин
 Республика Кабо-Верде
 Республика Корея
 Республика Перу
 Республика Сенегал
 Тунисская Республика
 Республика Чили

24. Меры, направленные на обеспечение выполнения оператором
обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения
выполнения обязанностей, предусмотренных настоящим Федеральным законом и
принятыми в соответствии с ним нормативными правовыми актами. Оператор
самостоятельно определяет состав и перечень мер, необходимых и достаточных для
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными правовыми актами, если иное
не предусмотрено настоящим Федеральным законом или другими федеральными законами.
К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за
организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов,
определяющих политику оператора в отношении обработки персональных данных,
локальных актов по вопросам обработки персональных данных, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и выявление нарушений
законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных в соответствии со статьей 19 настоящего
Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки
персональных данных настоящему Федеральному закону и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите персональных данных, политике
оператора в отношении обработки персональных данных, локальным актам оператора;

25. Меры, направленные на обеспечение выполнения оператором
обязанностей, предусмотренных настоящим Федеральным законом
5) оценка вреда, который может быть причинен субъектам персональных данных в
случае нарушения настоящего Федерального закона, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения обязанностей,
предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской Федерации о
персональных данных, в том числе требованиями к защите персональных данных,
документами, определяющими политику оператора в отношении обработки персональных
данных, локальными актами по вопросам обработки персональных данных, и (или)
обучение указанных работников.
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный
доступ к документу, определяющему его политику в отношении обработки персональных
данных, к сведениям о реализуемых требованиях к защите персональных данных.
Оператор, осуществляющий сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его политику в
отношении обработки персональных данных, и сведения о реализуемых требованиях к
защите персональных данных, а также обеспечить возможность доступа к указанному
документу с использованием средств соответствующей информационно-
телекоммуникационной сети.
3. Правительство Российской Федерации устанавливает перечень мер, направленных
на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами.

26. Меры по обеспечению безопасности персональных
данных при их обработке
Оператор при обработке персональных данных обязан
принимать необходимые правовые, организационные и
технические меры или обеспечивать их принятие для
защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления,
распространения персональных данных, а также от иных
неправомерных действий в отношении персональных
данных (ч. 1 ст.19 Федерального закона 152-ФЗ).

27. Меры по обеспечению выполнения
Федерального закона «О персональных данных»,
установленные постановлением Правительства РФ
от 21.03.2012 № 211
 назначить ответственного за организацию обработки персональных
данных в государственном или муниципальном органе из числа
служащих данного органа;
 утвердить актом руководителя государственного или муниципального
органа следующие документы:
 правила обработки персональных данных, устанавливающие
процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в сфере
персональных данных, а также определяющие для каждой цели
обработки персональных данных содержание обрабатываемых
персональных данных, категории субъектов, персональные данные
которых обрабатываются, сроки их обработки и хранения, порядок
уничтожения при достижении целей обработки или при наступлении
иных законных оснований;
 правила рассмотрения запросов субъектов персональных данных или
их представителей;

28. Меры по обеспечению выполнения
Федерального закона «О персональных данных»,
установленные Постановлением Правительства РФ
от 21.03.2012 № 211
 правила осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите персональных
данных, установленным Федеральным законом "О персональных
данных", принятыми в соответствии с ним нормативными правовыми
актами и локальными актами оператора;
 правила работы с обезличенными данными;
 перечень информационных систем персональных данных;
 перечни персональных данных, обрабатываемых в государственном
или муниципальном органе в связи с реализацией трудовых
отношений, а также в связи с оказанием государственных или
муниципальных услуг и осуществлением государственных или
муниципальных функций;
 перечень должностей служащих государственного или
муниципального органа, ответственных за проведение мероприятий
по обезличиванию обрабатываемых персональных данных;

29. Меры по обеспечению выполнения
Федерального закона «О персональных данных»,
установленные постановлением Правительства РФ
от 21.03.2012 № 211
 перечень должностей служащих государственного или
муниципального органа, замещение которых предусматривает
осуществление обработки персональных данных либо осуществление
доступа к персональным данным;
 должностную инструкцию ответственного за организацию обработки
персональных данных в государственном или муниципальном органе;
 типовое обязательство служащего государственного или
муниципального органа, непосредственно осуществляющего
обработку персональных данных, в случае расторжения с ним
государственного или муниципального контракта прекратить
обработку персональных данных, ставших известными ему в связи с
исполнением должностных обязанностей;
 типовую форму согласия на обработку персональных данных
служащих государственного или муниципального органа, иных
субъектов персональных данных, а также типовая форма разъяснения
субъекту персональных данных юридических последствий отказа
предоставить свои персональные данные;

30. Меры по обеспечению выполнения
Федерального закона «О персональных данных»,
установленные постановлением Правительства РФ
от 21.03.2012 № 211
порядок доступа служащих государственного или муниципального
органа в помещения, в которых ведется обработка персональных данных;
при эксплуатации информационных систем персональных данных в
случае, если государственный или муниципальный орган является
оператором таких информационных систем, принимают правовые,
организационные и технические меры по обеспечению безопасности
персональных данных при их обработке, предусмотренные
соответствующими нормативными правовыми актами, для выполнения
установленных Правительством Российской Федерации требований к
защите персональных данных при их обработке, исполнение которых
обеспечивает установленные уровни защищенности персональных
данных;
при обработке персональных данных, осуществляемой без
использования средств автоматизации, выполнить требования,
установленные постановлением Правительства Российской Федерации от
15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования
средств автоматизации";

31. Меры по обеспечению выполнения
Федерального закона «О персональных данных»,
установленные постановлением Правительства РФ
от 21.03.2012 № 211
 в целях осуществления внутреннего контроля соответствия обработки
персональных данных установленным требованиям организовать
проведение периодических проверок условий обработки персональных
данных в государственном или муниципальном органе. Проверки
осуществляются ответственным за организацию обработки персональных
данных в государственном или муниципальном органе либо комиссией,
образуемой руководителем государственного или муниципального органа;
 осуществить ознакомление служащих государственного или
муниципального органа, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской
Федерации о персональных данных (в том числе с требованиями к защите
персональных данных), локальными актами по вопросам обработки
персональных данных и (или) организуют обучение указанных служащих;
 уведомить уполномоченный орган по защите прав субъектов персональных
данных об обработке (намерении осуществлять обработку) персональных
данных, за исключением случаев, установленных Федеральным законом "О
персональных данных";

32. Меры по обеспечению выполнения
Федерального закона «О персональных данных»,
установленные постановлением Правительства РФ
от 21.03.2012 № 211
 согласно требованиям и методам, установленным уполномоченным
органом по защите прав субъектов персональных данных,
осуществляют обезличивание персональных данных, обрабатываемых
в информационных системах персональных данных, в том числе
созданных и функционирующих в рамках реализации федеральных
целевых программ.
 опубликовать на официальном сайте муниципального органа
политику в отношении обработки персональных данных в течение 10
дней после их утверждения.

33. Типовые нарушения операторов
законодательства
в сфере персональных данных
1. Несоответствие содержания письменного согласия субъекта персональных данных
(работников и служащих) на обработку персональных данных требованиям ч. 4 ст. 9 Закона
о персональных данных, а именно, отсутствие в согласии: наименования и адреса оператора,
получающего согласие субъекта персональных данных; общего описания используемых оператором
способов обработки персональных данных; срока, в течение которого действует согласие субъекта
персональных данных, а также способа его отзыва.
2. Непринятие оператором, являющимся муниципальным органом, мер по утверждению
документов, регламентирующих обработку персональных данных, а именно: непринятие мер
по утверждению Правил обработки персональных данных, в том числе, в информационных
системах, определяющих для каждой цели обработки персональных данных содержание
обрабатываемых персональных данных, категории субъектов, персональные данные которых
обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей
обработки или при наступлении иных законных оснований. (нарушен подп. «б» п. 1 Перечня мер,
направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами, утвержденного
постановлением Правительства Российской Федерации от 21.03.2012 № 211 (далее – ПП № 211).
3. Несоблюдение оператором установленных требований по ознакомлению служащих,
непосредственно осуществляющих обработку персональных данных, с локальными актами
оператора по вопросам обработки персональных данных, а также по ознакомлению
работников и их представителей с документами работодателя, устанавливающими порядок
хранения и использования персональных данных работников (нарушен подп. «е» п. 1 ПП №
211 и п. 8 ст. 86 ТК РФ).

34. Типовые нарушения операторами
законодательства в сфере персональных
данных
4. Несоблюдение оператором установленных требований обработки персональных
данных после достижения цели обработки. В ходе проведения проверки установлено
отсутствие у муниципального органа документов, подтверждающих прекращение обработки
персональных данных и их уничтожение после достижения государственным органом цели
обработки персональных данных (нарушена ч. 4 ст. 21 Закона о персональных данных).
5. Отсутствие у муниципального органа документов, определяющих места хранения
материальных носителей в отношении каждой категории персональных, а также перечня лиц,
осуществляющих обработку персональных данных либо имеющих к ним доступ (нарушен п. 13
«Положения об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации», утвержденного постановлением Правительства
Российской Федерации от 15.09.2008 № 687).
6. Представление в уполномоченный орган уведомления об обработке персональных
данных, содержащего неполные и (или) недостоверные сведения (нарушена ч. 3 ст. 22 Закона
о персональных данных).
7. Обработка сведений о судимости работников, замещающих должности, не являющиеся
должностями муниципальной службы, а также обработка персональных данных близких
родственников работников (сведений о месте жительства, о месте работы), без получения
соответствующего согласия и при отсутствии иных оснований, предусмотренных Федеральным
законом о персональных данных (нарушены ч. 1 ст. 6 и ч. 3 ст. 10 Закона о персональных
данных).

36. Руководитель Управления Роскомнадзора
по Сибирскому федеральному округу
Зиненко Игорь Алексеевич
630099, г. Новосибирск,
ул.Советская, д. 33
Тел./факс: (383) 227-14-41 (секретарь)
(383) 227-12-19 (отдел)
(383) 218-26-33 (вопросы по уведомлениям)
E-mail: rsockanc54@rkn.gov.ru
Официальный сайт: http://54.rkn.gov.ru

37. Спасибо за внимание