яценко 20 21 сентября
Post on 19-Oct-2014
3.338 views
DESCRIPTION
TRANSCRIPT
Закон «О персональных данных»
практика применения
г. Москва,2012г.
Мифы, заблуждения, типичные ошибки
Наша компания не обрабатывает ПД, а значит ФЗ-152 нас не касается !
Федеральный закон №152-ФЗО персональных данных
Статья 3:Персональные данные – любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Обработка персональных данных
- Это любые действия с персональными данными (сбор, хранение, уничтожение и т.д.)
- Разрешается с согласия гражданина
- Разрешается после проведения организационно-технических мероприятий по защите информационных систем с персональными данными (ИСПДн)
Согласие
Согласие – в любой форме позволяющей подтвердить факт законного его получения (ст.9, ч.1)
Письменное согласие субъекта ПД на бумажном носителе (= электронный документ с ЭЦП)
необходимо лишь в особенных случаях
Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает оператору обработку избыточных персональных данных относительно к целям, заявленным при сборе персональных данных и не дольше , чем это требуют цели обработки.
Обязанность предоставить доказательство законности обработки ПД возложена на ОПЕРАТОРА
Контрольно-надзорные органы
Роскомнадзор России Федеральная служба по техническому
и экспортному контролю (ФСТЭК России)
ФСБ России
Перспективы
Ещё «вчера»: Приведение ИСПДн операторов в
соответствие с требованиями законодательства РФ
Уже «завтра»: Ужесточение ответственности оператора за
нарушения Закона Изменения в Закон (возможные и ожидаемые) Либерализация требований по организации
технической защиты ИСПДн.
Наказание
Как есть сегодня:
КоАП: Срок давности 3 месяцаШтраф - для граждан – 500 руб.
- для должностных лиц – 1.000 руб.- для юридических лиц – до 10.000 руб.
УК РФ: штраф до 200.000 руб. или обязательные работы до 180 час., или исправительные работы до 1 годаили арест на срок до 4 месяцев.
Ужесточение ответственности
Изменения в Кодекс об Административных правонарушениях:
увеличение срока давности за нарушения законодательства в области персональных данных
Увеличение размеров штрафов
Изменения в Уголовный Кодекс Уголовная ответственность руководителя предприятия за
незаконную обработку персональных данных
Резюме: изменения законодательства не учитывают последствия незаконной обработки персональных данных и ущерб причинённый гражданину незаконными действиями оператора
ИнициативыРоскомнадзора
Как может быть:Проект федерального закона «О внесении изменений в Кодекс
Российской Федерации об административных правонарушениях» (доработанный), направленный на совершенствование законодательства Российской Федерации в сфере защиты прав субъектов персональных данных (разработчик акта: Роскомнадзор)
Публичное обсуждение с 12 по 25 сентября на сайте Минэкономразвития (Департамент оценки
регулирующего воздействия):
http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc20120912_03
Наши действия
Изменения в федеральное законодательство в области персональных данных с учётом сложившейся европейской практики:
внедрить европейскую модель при которой - идентификационные данные разрешается обработывать при отсутствии возражений- «чувствительные» данные обработываются только с согласия (как задача максимум)
Либерализовать (упростить) требования по организации технической защиты ИСПДн.
Создание отраслевого стандарта по безопасной обработке персональных данных в целях продвижения и продажи товаров, работ и услуг.
Отраслевой стандартОбщее содержание отраслевых ИС:- Фамилия, имя, отчество- Адрес для получения почты и др. контактная информация- Дата рождения- Пол- Иная информация не характеризующая субъекта ПД как личность
Резюме: А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные
(идентификационные) персональные данные;Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать
гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.).В) ИСПДн не нуждаются в специальных технических мерах защиты
(криптография и т.п.) и должны классифицироваться по классификации ФСТЭК как К3
Отраслевой стандарт
- Это рамочные нормативные документы для обеспечения информационной безопасности организаций дистанционной торговли.
-Это не только рамочные нормативы для компаний дистанционной торговли, но и для сервисных компаний, являющиеся обработчиками ИСПДн (согласно европейским нормам), но причисленные согласно российскому законодательству также к операторам
Отраслевой стандарт:1. Универсальная отраслевая модель угроз2. Требования к безопасности отраслевых ИСПДн3. Отраслевая методика проверки соответствия требованиям безопасности
ИСПДН4. Методика реализации требований безопасности отраслевых ИСПДн5. Типовой отраслевой продукт (коробочное решение) с минимальной
адаптацией для отраслевых предприятий, вкл набор организационно-технических мероприятий и средств для организации обработки ПД в информационных системах с учётом требований создаваемого отраслевого стандарта.
Мифы, заблуждения, типичные ошибки
Отраслевой стандарт не обязателен к исполнению Регуляторы ничего не понимают в современной
организации безопасности Необходимо получить лицензию ФСТЭК и ФСБ для
обработки ПД Организация безопасности ИСПДн – это очень дорого
Приглашаем к сотрудничеству!