информационная система персональных данных – информационная система, ответственных за организацию обработки персональных данных​.

Обследование информационных систем персональных данных

Семь шагов к созданию системы защиты персональных данных в организации.

 

1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации. Этот шаг оформляется приказом по предприятию  «Об организации работ по обеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов,  в которых:

— назначается ответственный сотрудник предприятия за осуществление мероприятий,  по защите персональных данных;

— дается указание о разработке локальной документации, относящейся к защите персональных данных;

— создается комиссия по защите и обработке персональных данных в организации;

— утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.

2 шаг – проведение обследования информационных систем персональных данных организации.

Главный смысл проведения обследования —  принятие решения  о том, является ли организация оператором персональных данных или нет.  Если принято решение, что организация является оператором по обработке персональных данных, то проводится процедура  определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:

— отчет об обследовании информационных систем персональных данных,;

— Приказ «О создании комиссии по классификации информационных систем персональных данных»;

— Акт классификации типовой информационной системы персональных данных

-и,  как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».

3 шаг – направление Уведомления об обработке (о намерении осуществлять обработку) персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт — Петербургу и Ленинградской области (или соответствующей территории). Бланк  Уведомления можно скачать на сайте Управления или получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно по почте, электронного вида недостаточно. При заполнении имеет смысл  пользоваться Рекомендациями по  заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

4 шаг —  разработка, утверждение   и применение документов под названиями:  «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн».

5 шаг – внедрение системы защиты персональных данных. С точки зрения организационных мероприятий этот шаг включает в себя:

— составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!);

— создание  и утверждение  Перечня персональных данных, обрабатываемых в организации;

-создание и утверждение Положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим Положением и еще, как минимум, двумя документами к ним — Обязательством об обеспечении конфиденциальности персональных данных сотрудниками предприятия, Приказом о выделении помещений для обработки персональных данных;

 — создание и утверждение документа с названием «Описание системы защиты персональных данных при  их обработке в информационных системах персональных данных в организации. К  описанию необходимо приложить:

— инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;

— инструкцию администратору безопасности информационных систем персональных данных организации;

—  инструкцию  по резервному копированию и восстановлению  данных в информационных системах персональных данных предприятия;

— положение  о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.

6 шаг – необходимо определиться с техническими средствами защиты персональных данных. Технические средства защиты персональных данных  бывают от:

— несанкционированного доступа;

— антивирусные средства;

-межсетевые экраны;

— криптографические  средства.

Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки средства необходимо правильно настроить! Документами,  подтверждающими реализацию шестого шага, являются:

— перечень средств защиты персональных данных;

— журнал учета и хранения носителей персональных данных;

— акт установки средств защиты информации;

-утвержденная форма акта списания и уничтожения электронных носителей информации;

— утвержденная форма акта уничтожения документов;

— подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).

7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».

Если Вы сделали все эти шаги и завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то  требования Закона Российской Федерации  от 27.07.2006 № 152 – ФЗ «О персональных данных» Вы, в основном, выполняете. Важно помнить, что когда Вы приобретаете новой оборудование (железо), ставите новые программы, расширяетесь о плане площадей в офисе или структурно – нужно не забывать вносить изменения  в весь комплекс вышеперечисленных документов.

За дополнительной информацией, образцами типовых документов и  нормативной базой можно обращаться в ООО «ТрэвелЭкспо»(www.travelexpo.ru) и  исполнительную дирекцию СЗРО РСТ.

 

Исполнительная дирекция

СЗРО РСТ

                                 

ВИДЕО ПО ТЕМЕ: РусКрипто’2020

Оператор персональных данных (согласно закону РФ от 27 июля г. N ФЗ «О Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может.

Персональные данные: средства защиты

Государственное бюджетное учреждение здравоохранения Республики Карелия «Детская стоматологическая поликлиника»

запись исключена из реестра 14.03.2019

Номер 10-0120561
Основание внесения оператора в реестр Приказ № 487 от 21.07.2010
Статус оператора исключен
Наименование оператора Государственное бюджетное учреждение здравоохранения Республики Карелия «Детская стоматологическая поликлиника»
ИНН 1001122902
Адрес местонахождения 185003, Карелия Респ, Петрозаводск г, Калинина ул, д. 51а 
Дата регистрации уведомления 15.07.2010
Субъекты РФ, на территории которых происходит обработка персональных данных Республика Карелия
Цель обработки персональных данных Обеспечение детского населения специализированной стоматологической помощью
Правовое основание обработки персональных данных Конституцией Российской Федерации Основами законодательства Российской Федерации об охране здоровья граждан (утвержденными ВС РФ 22 июля 1993 года № 5487-1) Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» ст.ст. 85-90 Трудового кодекса Российской Федерации «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 года № 687, Лицензией № ЛО-10-01-000926 от 14 июля 2015г. Уставом (утвержден приказам Министерства здравоохранения Республики Карелия №53 12 января 2012)
описание мер, предусмотренных ст. 18.1 и 19 Закона а) разработаны организационно-распорядительные, функциональные, планирующие документы: Политика обработки персональных данных; Концепция информационной безопасности информационных систем персональных данных; положение по обработке и защите персональных данных; положение по разграничению доступа к персональным данным; положение по резервированию и восстановлению персональных данных; перечень персональных данных, подлежащих защите; выделена информационная система персональных данных и проведена ее классификация; определены угрозы безопасности персональных данных при их обработке информационной системе персональных данных и разработана частная модель угроз безопасности для выделенной информационной системы персональных данных; определены Перечень помещений, предназначенных для обработки персональных данных; установлены правила доступа к персональным данным, разработана Матрица доступа пользователей к персональным данным и ресурсам информационной системы персональных данных; определен порядок реагирования и принятия мер по фактам несанкционированного доступа к персональным данным; проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 года № ФЗ-152 «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. Приказом руководителя учреждения назначен администратор информационной системы персональных данных и администратор безопасности информационных систем персональных данных, им определены обязанности и разработаны инструкции по обеспечению безопасности информации; определен круг лиц, имеющих право обработки персональных данных, разработаны инструкции пользователям по защите персональных данных, антивирусной защите, действиям в кризисных ситуациях; б) Приказом руководителя учреждения назначен ответственный за организацию обработки персональных данных Савилов Вячеслав Васильевич – заместитель главного врача по медицинской части. в) Для информационной системы «ДСП», в которой обрабатывается персональные данные сотрудников установлен 3 уровень защищенности персональных данных; г) Меры, применяемые для защиты персональных данных от несанкционированного физического доступа к информации, содержащей персональные данные и к ее носителям: организационные меры: разработан Перечень должностных лиц имеющих право доступа к персональным данным; технические меры: — в информационной системе «ДСП» реализована система разграничения доступа к обрабатываемой информации в соответствии с функциональными обязанностями сотрудников учреждения; установлена защита от вредоносного программно-математического воздействия с использованием средства антивирусной защиты DR.WEB, Межсетевого экрана VipNet client 3.2, криптографического шлюза VipNet Coordinator HW 1000.
ФИО физического лица или наименование юридического лица, ответственных за обработку персональных данных Савилов Вячеслав Васильевич
номера их контактных телефонов, почтовые адреса и адреса электронной почты 89052999187
Республика Карелия, г. Петрозаводск, ул. Калинина, д.51а
[email protected]
Дата начала обработки персональных данных 24.12.1962
Срок или условие прекращения обработки персональных данных 30.11.-0001
Дата и основание внесения записи в реестр Приказ № 39 от 14.03.2019
Дата и основание исключения записи из реестра Приказ № 39 от 14.03.2019

Список информационных систем и их параметры

№1
категории персональных данных фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,адрес,семейное положение,социальное положение,образование,состояние здоровья;
категории субъектов, персональные данные которых обрабатываются субъектам, состоящим в трудовых отношениях с юридическим лицом; гражданам обратившимся за медицинской стоматологической помощью.
перечень действий с персональными данными сбора, систематизации, накопления, хранения, уточнения,использования, распространения (в том числе передачи), обезличивания, уничтожения.
обработка персональных данных автоматизированная,с передачей по внутренней сети юридического лица,без передачи по сети Интернет
трансграничная передача нет
сведения о местонахождении баз данных Россия
№2
категории персональных данных фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,адрес,семейное положение,социальное положение,состояние здоровья;
категории субъектов, персональные данные которых обрабатываются субъектам, состоящим в трудовых отношениях с юридическим лицом; гражданам обратившимся за медицинской стоматологической помощью.
перечень действий с персональными данными сбора, систематизации, накопления, хранения, уточнения,использования, распространения (в том числе передачи), обезличивания, уничтожения.
обработка персональных данных с передачей по внутренней сети юридического лица,без передачи по сети Интернет,смешанная
трансграничная передача нет
сведения о местонахождении баз данных Россия

ВИДЕО ПО ТЕМЕ: Правила обработки персональных данных в медицинских организациях

Уровень защищенности персональных данных — это комплексный показатель, угрозы безопасности информационных систем персональных данных. вид обработки по форме отношений между субъектами и организацией.

Защита персональных данных

Приказ министерства образования Ставропольского края от 16 апреля  2018 г. № 592-пр » О назначении ответственных за обеспечение безопасности и обработку персональных данных министерства образования Ставропольского края»

Приказ министерства образования Ставропольского края от 16 марта 2018 г. № 335-пр «Об организации мероприятий по выполнению требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов»

Приказ министерства образования и молодежной политики Ставропольского края от 06 июня 2014 г. №567-пр  «Об утверждении Перечня документов, регулирующх порядок и условия обработки персональных данных в министерстве образования и молодежной политики Ставропольского края»

Организационные меры защиты персональных данных включают в себя комплекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных.

Шаг 1. Создать специальную комиссию по защите персональных данных или назначить ответственного за обеспечение информационной безопасности.

В зависимости от величины организации целесообразно назначить либо одного человека, ответственного за обеспечение информационной безопасности, либо создать специальную комиссию по защите персональных данных. В качестве председателя комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений организации обрабатывающих персональные данные, так как они знают структуру обрабатываемых персональных данных, задачи проводимой обработки, а также сотрудников организации, ведущих обработку персональных данных. В качестве лиц, обладающих специальным образованием в области защиты информации и необходимыми познаниями, в состав комиссии следует включить сотрудников организации, имеющей лицензию на техническую защиту конфиденциальной информации, если таковые имеются в штате организации.

Шаг 2. Произвести инвентаризацию информационной системы, обрабатывающей персональные данные.

Часто проведение этого этапа предпроектного обследования считают неразумным или нерациональным, но для построения сбалансированной системы защиты информации он необходим. На этом этапе составляется перечень всех информационных и аппаратных ресурсов организации. Данный перечень будет использоваться в дальнейшем для проведения категорирования, переконфигурирования локальной сети, выработки рекомендаций по построению системы защиты.

Выявляется топология локальной сети, ее архитектура и технологические связи внутренней сети, а также основные информационные потоки.

Также на данном этапе осуществляется определение физической и логической структуры будущей системы защиты информационной системы персональных данных. Устанавливается наличие средств защиты и существующей системы разграничения доступа к информационным ресурсам. Также изучаются имеющиеся сертификаты на средства защиты информации и выясняется необходимость сертификации уже установленных программных и программно-аппаратных комплексов защиты информации.

По итогам данного этапа составляется акт инвентаризации информационных ресурсов.

Шаг 3. Пересмотреть договоры с субъектами и контрагентами

Пересмотреть договоры с работниками и клиентами. Необходимо выяснить, содержаться ли в них пункты, касающиеся обработки и защиты персональных данных. В случае отсутствия подготовить дополнительные соглашения, ознакомить сотрудников и контрагентов. Подписать их.

Шаг 4. Сформировать перечень персональных данных.

В первую очередь, необходимо установить перечень персональных данных (далее ПДн) физических лиц, которые обрабатываются в учреждении. Если кадровый учет и бухгалтерия есть в любом учреждении, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные  посетителей, партнеров, контрагентов и т.п.

Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

Шаг 5. Составить и направить в Управление Роскомнадзора «Уведомление об обработке персональных данных».

Начав деятельность, организация обязана подать уведомление о начале обработки персональных данных в Управление Роскомнадзора. На основании уведомления организация регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Уведомление должно быть направлено в письменной форме и подписано руководителем или направлено в электронной форме и подписано электронной цифровой подписью.

Одной из самых распространенных ошибок операторов, не желающих выполнять требования Закона, является ссылка на начало п. 2 ст. 22 Закона:

Операторы ссылаются на оформление договорных отношений с субъектами и размышляют так: «Уведомление подавать не обязательно, значит, работы по созданию системы защиты персональных данных проводить излишне».

«Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных…»

Ссылаясь на этот пункт статьи, забывают о том, что персональные данные сами отправляют в Управление Федеральной налоговой службы, Управление Пенсионного фонда России, в страховые компании, в аутсорсинговые компании и т.д., то есть третьим лицам.

Завершается п. 2 ст. 22 Закона словами:

«… если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных»

Таким образом, все юридические лица обязаны подавать уведомление в Управление Роскомнадзора субъекта Федерации и создавать систему защиты персональных данных.

Шаг 6. Получить согласие субъектов на обработку их персональных данных.

Необходимо разработать «Согласие субъекта на обработку персональных данных», в котором обязательными полями будут перечень персональных данных, цель их обработки, а также методы и способы обработки персональных данных и получить подписи каждого субъекта, персональные данные которого обрабатывает Ваша организация.

Шаг 7. Документально регламентировать работу с персональными данными.

Разработать документы, регламентирующие работу с персональными данными.

Шаг 8. Ограничить доступ своих сотрудников и пользователей информационных систем к персональным данным.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании «Перечня лиц, допущенных персональным данным».

Шаг 9. Сформировать модель угроз персональным данным.

Частная модель угроз организации – оператора составляется в соответствии с руководящим документом ФСТЭК России от 14.02.2008 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Поскольку данный документ имеет гриф «для служебного пользования», то получить его можно, отправив запрос в территориальное Управление ФСТЭК с просьбой о предоставлении комплекта документов по защите персональных данных.

Квалифицированное составление частной модели угроз имеет важное значение для организации — оператора. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор оборудования, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

Шаг 10. Классифицировать ИСПДн согласно приказа ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации ИСПДн».

На основании закона «О персональных данных» любая информационная система персональных данных должна быть классифицирована. Процесс классификации — это процесс отнесения информационной системы персональных данных к одному из четырех классов, определенных Приказом Мининформсвязи/ФСТЭК/ФСБ от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Класс присваивается в зависимости от количества субъектов, персональные данные которых обрабатываются в ИСПДн, а также с учетом категории обрабатываемых данных. Категории персональных данных установлены приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Шаг 11. Получить лицензию ФСТЭК на техническую защиту конфиденциальной информации (в случае самостоятельной установки программно-аппаратных средств защиты информации) или воспользоваться услугами сторонней организации, имеющей данную лицензию.

После изучения вопроса и понимания того, что выполнять работы необходимо, каждый руководитель задает себе следующий вопрос: можно ли самостоятельно выполнить требования законодательства или лучше воспользоваться услугами специализированной организации?

С учетом временных ограничений (срок завершения работ – 01.01.2011 года) проведение работ собственными силами может растянуться на длительный период, превышающий установленные законом сроки. Соответственно, возникают риски предъявления претензий со стороны регуляторов за неисполнение требований законодательства.

Шаг 12. Организовать эксплуатацию ИСПДн и контролировать безопасность обработки персональных данных путем проведения ежегодного аудита информационной безопасности.

Необходимо контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией. Проводить разбирательство и составлять заключения по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.

Шаг 13. Обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

Для того, чтобы организация могла выполнять требования законодательства по защите персональных данных, мало разработать организационно-распорядительные и эксплуатационные документы и купить технические средства защиты информации. Очень важно на постоянной основе проводить обучение сотрудников новым средствам защиты информации, которые они используют в силу выполнения своих должностных обязанностей, а также правилам работы с этими средствами.

1. Согласие на обработку ПД и обязательство о неразглашении ПД.

2. Приказ о введении режима обработки ПДн

3. Приказ о создании комиссии для классификации ИСПДн

4. Приказ о назначении ответственных за безопасность ПДн

5. Описание технологических процессов

6. Перечень информационных систем персональных данных

7. Перечень ПДн

8. Приказ и Перечень общедоступных сведений

9. Приказ о назначении ответственных лиц за ПДн и список ответственных лиц

10. Частная модель угроз

11. Акт Классификации ИСПДн

12. Уведомление об обработке персональных данных

13. Требования по обеспечению безопасности персональных данных

14. Перечень подразделений и сотрудников, допущенных к работе с ПДн

15. Положение о разграничении прав доступа к обрабатываемым персональным данным

16. Инструкция Администратора безопасности

17. Инструкция пользователя ИСПДн

18. Инструкция парольной защиты

19. Инструкция по антивирусному контролю

20. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации

21. Положение по обработке и защите персональных данных

22. Журнал учета носителей ПДн

23. Журнал учёта обращений субъектов ПДн о выполнении их законных прав

24. Протокол оценки соответствия ИСПДн требованиям

25. Акт декларирования соответствия ИСПДн требованиям безопасности информации.

Приказ министерства образования и молодежной политики Ставропольского края от «06» мая 2014 г. № 406-пр «О внесении изменений в приказ министерства образования Ставропольского края от 26 апреля 2013 г. № 335-пр»

Приказ министерства образования Ставропольского края от «26» апреля 2013 г. №335-пр «О проведении мероприятий по выполнению требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов»

Правилаобработки персональных данных в министерстве образования Ставропольского края (приложение 1)

Правила рассмотрения запросов субъектов персональных данных или их представителей министерством образования Ставропольского края (приложение 2)

Правила работы с обезличенными данными в министерстве образования Ставропольского края (приложение 3)

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами министерства образования ставропольского края (приложение 4)

Порядок доступа служащих министерства образования Ставропольского края в помещения, в которых ведется обработка персональных данных (приложение 5)

Инструкция по организации парольной защиты в министерстве образования Ставропольского края (приложение 6)

Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение 7)

Типовую форму согласия на обработку персональных данных в министерстве образования Ставропольского края иных субъектов персональных данных (приложение 8)

Типовое обязательство работника министерства образования Ставропольского края, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение 9)

Перечень информационных систем персональных данных (приложение 10)

Перечень должностей государственных гражданских служащих и работников министерства образования Ставропольского края, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение 11)

Перечень должностей государственных гражданских служащих и работников министерства образования Ставропольского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 12)

Перечень программного обеспечения, разрешенного к использованию в министерстве образования Ставропольского края (приложение 13)

Перечни персональных данных, обрабатываемых в министерстве образования и молодежной политики Ставропольского края в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций (приложение 14)

Должностная инструкция ответственного за организацию обработки персональных данных в министерстве образования и молодежной политики Ставропольского края (приложение 15)

9. Ответственность за неисполнение законодательства по защите персональных данных

Статья

Нарушение

Ответственность

КоАП

Статья 5.39.
Отказ в предоставлении гражданину информации.

Неправомерный отказ в предоставлении гражданину информации об обработке его персональных данных.

Штраф:

на должностных лиц — 500 до 1.000руб.

Статья 13.11.
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Штраф:
на должностных лиц — 500 до 1.000 руб.;
на юридических лиц — 5.000 до 10.000 руб.

Статья 13.12.
Нарушение правил защиты информации

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации.

Штраф:

на должностных лиц — от 1.000 до 2.000 руб.;
на юридических лиц — от 10.000 до 20.000 руб.

Статья 13.14.
Разглашение информации с ограниченным доступом

Разглашение персональных данных.

Штраф:

на граждан — от 500 до 1.000 руб.;
на должностных лиц — от 4.000 до 5.000 руб.

Статья 19.5.
Невыполнение в срок законного предписания

1. Невыполнение в установленный срок законного предписания Роскомнадзора.

Штраф:

на должностных лиц — от 1.000 до 2.000 руб.;
на юридических лиц — от 10.000 до 20.000 руб.

2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа.

Штраф:

на должностных лиц — от 5.000 до 10.000 руб.;
на юридических лиц — от 200.000 до 500.000 руб.

Статья 19.7.
Непредставление сведений (информации)

Непредставление Уведомления в Управление Роскомнадзора по Челябинской области.

Штраф:

на должностных лиц — от 300 до 500 руб.;
на юридических лиц — от 3.000 до 5.000 руб.

Уголовный Кодекс

Статья 137.
Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение персональных данных либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Штраф до 300.000 руб. или в размере заработной платы или иного дохода

осужденного за период до 2 лет, либо лишение права занимать определенные

должности или заниматься определенной деятельностью на срок до 5 лет.

Статья 272.
Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации (в т.ч. персональных данных).

Штраф до 200.000 руб.,

либо лишение свободы до 2-х лет.

Трудовой Кодекс

Статья 81.
Расторжение трудового договора по инициативе работодателя.

Разглашение персональных данных другого работника.

Расторжение трудового договора по инициативе работодателя.

Статья 90.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Нарушение норм, регулирующих получение, обработку и защиту персональных данных.

Дисциплинарная, материальная, административная, уголовная ответственность в соответствии с федеральным законодательством.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Шаблон акта классификации ИСПДн

ФСТЭК план проверок

Аттестат соответствия государственной информационной системы «Единая информационная система для предоставления государственных и муниципальных услуг в сфере образования»

вв

ИСПДн — информационная система персональных данных Все учреждения и организации системы здравоохранения, социальной сферы, труда и.