Vbяценко 20 21 сентября

Vbяценко 20 21 сентября

• 1.
  Закон «О персональных данных» практика применения г. Москва, 2012г.
• 2.
  Мифы, заблуждения, типичные ошибки Наша компания не обрабатывает ПД, а значит ФЗ-152 нас не касается !
• 3.
  Федеральный закон №152-ФЗ Оперсональных данных Статья 3: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
• 4.
  Обработка персональных данных - Этолюбые действия с персональными данными (сбор, хранение, уничтожение и т.д.) - Разрешается с согласия гражданина - Разрешается после проведения организационно- технических мероприятий по защите информационных систем с персональными данными (ИСПДн)
• 5.
  Согласие Согласие – влюбой форме позволяющей подтвердить факт законного его получения (ст.9, ч.1) Письменное согласие субъекта ПД на бумажном носителе (= электронный документ с ЭЦП) необходимо лишь в особенных случаях Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает оператору обработку избыточных персональных данных относительно к целям, заявленным при сборе персональных данных и не дольше , чем это требуют цели обработки. Обязанность предоставить доказательство законности обработки ПД возложена на ОПЕРАТОРА
• 6.
  Контрольно-надзорные органы  Роскомнадзор России  Федеральная служба по техническому и экспортному контролю (ФСТЭК России)  ФСБ России
• 7.
  Перспективы Ещё «вчера»:  ПриведениеИСПДн операторов в соответствие с требованиями законодательства РФ Уже «завтра»:  Ужесточение ответственности оператора за нарушения Закона  Изменения в Закон (возможные и ожидаемые)  Либерализация требований по организации технической защиты ИСПДн.
• 8.
  Наказание Как есть сегодня: КоАП:Срок давности 3 месяца Штраф - для граждан – 500 руб. - для должностных лиц – 1.000 руб. - для юридических лиц – до 10.000 руб. УК РФ: штраф до 200.000 руб. или обязательные работы до 180 час., или исправительные работы до 1 года или арест на срок до 4 месяцев.
• 9.
  Ужесточение ответственности Изменения в Кодексоб Административных правонарушениях:  увеличение срока давности за нарушения законодательства в области персональных данных  Увеличение размеров штрафов Изменения в Уголовный Кодекс  Уголовная ответственность руководителя предприятия за незаконную обработку персональных данных Резюме: изменения законодательства не учитывают последствия незаконной обработки персональных данных и ущерб причинённый гражданину незаконными действиями оператора
• 10.
  Инициативы Роскомнадзора Как может быть: Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (доработанный), направленный на совершенствование законодательства Российской Федерации в сфере защиты прав субъектов персональных данных (разработчик акта: Роскомнадзор) Публичное обсуждение с 12 по 25 сентября на сайте Минэкономразвития (Департамент оценки регулирующего воздействия): http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc2
• 11.
  Наши действия Изменения вфедеральное законодательство в области персональных данных с учётом сложившейся европейской практики:  внедрить европейскую модель при которой - идентификационные данные разрешается обработывать при отсутствии возражений - «чувствительные» данные обработываются только с согласия (как задача максимум)  Либерализовать (упростить) требования по организации технической защиты ИСПДн. Создание отраслевого стандарта по безопасной обработке персональных данных в целях продвижения и продажи товаров, работ и услуг.
• 12.
  Отраслевой стандарт Общее содержаниеотраслевых ИС: - Фамилия, имя, отчество - Адрес для получения почты и др. контактная информация - Дата рождения - Пол - Иная информация не характеризующая субъекта ПД как личность Резюме: А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные (идентификационные) персональные данные; Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.). В) ИСПДн не нуждаются в специальных технических мерах защиты (криптография и т.п.) и должны классифицироваться по классификации ФСТЭК как К3
• 13.
  Отраслевой стандарт - Эторамочные нормативные документы для обеспечения информационной безопасности организаций дистанционной торговли. -Это не только рамочные нормативы для компаний дистанционной торговли, но и для сервисных компаний, являющиеся обработчиками ИСПДн (согласно европейским нормам), но причисленные согласно российскому законодательству также к операторам Отраслевой стандарт: 1. Универсальная отраслевая модель угроз 2. Требования к безопасности отраслевых ИСПДн 3. Отраслевая методика проверки соответствия требованиям безопасности ИСПДН 4. Методика реализации требований безопасности отраслевых ИСПДн 5. Типовой отраслевой продукт (коробочное решение) с минимальной адаптацией для отраслевых предприятий, вкл набор организационно- технических мероприятий и средств для организации обработки ПД в информационных системах с учётом требований создаваемого отраслевого стандарта.
• 14.
  Мифы, заблуждения, типичные ошибки  Отраслевой стандарт не обязателен к исполнению  Регуляторы ничего не понимают в современной организации безопасности  Необходимо получить лицензию ФСТЭК и ФСБ для обработки ПД  Организация безопасности ИСПДн – это очень дорого
• 15.
  Приглашаем к сотрудничеству!