Мифы, проблемы и решения вопросов работы с...
TRANSCRIPT
Мифы, проблемы и решения вопросов работы c персональными данными на сайтах
Максим Лагутин, b-152.ru / sitesecure.ru
МАКСИМ ЛАГУТИН
6 лет опыта по защите персональных данных
3 года в web-security
топ-эксперт Института Развития Интернета
куратор кафедры «Информационная
безопасность» в МАМИ
ЦЕЛЬ МОЕГО ДОКЛАДАДать необходимое понимание ситуации с практикой применения закона.
Чтобы вы понимали основные риски и ориентировались в дальнейших действиях.
ЗНАКОМЬТЕСЬ - ЭТО ЛЕОНИД
Он знает, что его компания и сайт соответствуют закону №152-ФЗ «О персональных данных»
Точнее знал…
ЗНАКОМЬТЕСЬ - ЭТО ЛЕОНИД
Он знает, что его компания и сайт соответствуют закону №152-ФЗ «О персональных данных»
… ПОКА НЕ УВИДЕЛ ЭТОТ ДОКУМЕНТ
РАЗВЕНЧАНИЕ МИФОВ
МИФ №1
МЫ НЕ ОБРАБАТЫВАЕМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ?- ФИО - контактные данные - паспортные данные - ИНН - гражданство - адрес - сведения об аккаунтах в социальных сетях - места работы и занимаемые должности и т.д.
КОМУ ОНИ МОГУТ ПРИНАДЛЕЖАТЬ?Работникам Родственникам работников Кандидатам на вакантную должность Физическим лицам, работающим по договору ГПХ Представителям контрагентов Клиентам, являющимся физическими лицамиОбратившимся через форму обратной связи и т.д.
МИФ №1
МЫ НЕ ОБРАБАТЫВАЕМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
О П Р О В Е Р Г Н
У Т
МИФ №2
Мы не подали Уведомление в Роскомнадзор, поэтому не являемся операторами
персональных данных и не попадаем под закон
КОГО КАСАЕТСЯ ЗАКОН?Юр.лиц, ИП, бюджетных организаций, обрабатывающи персональные данные и ставящие цели их обработки.
Таких называют операторами персональных данных.
ЧТО ТРЕБУЕТ ЗАКОН?Если кратко, то: - подготовить документы по персональным данным
Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц
ЧТО ТРЕБУЕТ ЗАКОН?
ЧТО ТРЕБУЕТ ЗАКОН?Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России
ЧТО ТРЕБУЕТ ЗАКОН?Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных
Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных - принять меры защиты
ЧТО ТРЕБУЕТ ЗАКОН?
Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных - принять меры защиты - подать Уведомление в Роскомнадзор
ЧТО ТРЕБУЕТ ЗАКОН?
ЧТО ТРЕБУЕТ ЗАКОН?Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных - принять меры защиты - подать Уведомление в Роскомнадзор - законно обрабатывать персональные данные
ЧУТЬ НЕ ЗАБЫЛ
Издать Политику в отношении обработки персональных данных и её опубликовать в общем доступе на сайте и разместить в офисах организации
МИФ №2
Мы не подавали Уведомление в Роскомнадзор, поэтому не
являемся операторами персональных данных и не
попадаем под законО П Р О В Е Р Г Н
У Т
МИФ №3
Кому мы нужны? Мы маленькие, проверки к нам
не придут
КТО ПРОВЕРЯЕТ?
Роскомнадзор — документы, процессы, информационные системы
КТО ПРОВЕРЯЕТ?
Роскомнадзор — документы, процессы, информационные системы
ФСТЭК — техническую защиту
КТО ПРОВЕРЯЕТ?
Роскомнадзор — документы, процессы, информационные системы
ФСТЭК — техническую защиту
ФСБ — применение криптографии
КТО ПРОВЕРЯЕТ?
Роскомнадзор — документы, процессы, информационные системы
ФСТЭК — техническую защиту
ФСБ — применение криптографии
КАК ПРОВЕРЯЮТ?
Плановые и внеплановые проверки
Меры систематического контроля
КАК ПРОВЕРЯЮТ?
Плановые и внеплановые проверки
Меры систематического контроля
Массовая проверка компаний по сегментам. Попасть может каждый
ОСНОВНЫЕ РИСКИ
Штрафы - от 3.000 и до 300.000 рублей
Запрет занимать руководящие должности
Блокировка сайта
ГРЯДУЩИЕ РИСКИ
МИФ №3
Кому мы нужны? Мы маленькие, проверки к нам
не придутО П Р О В Е Р
Г Н У Т
МИФ №4
Мы легально собираем персональные данные на
сайте, человек ставит галочку, что согласен на обработку
своих данных
ФОРМА СОГЛАСИЯ КУРИЛЬЩИКА
Даю согласие на обработку своих персональных данных
ФОРМА ЗДОРОВОГО ЧЕЛОВЕКА
СОГЛАСИЕ
МИФ №4
Мы легально собираем персональные данные на
сайте, человек ставит галочку, что согласен на обработку
своих данныхО П Р О В Е Р Г Н
У Т
МИФ №5
Хостинг должен защищать персональные данные,
которые обрабатываются на нашем сайте
ПОЧЕМУ ЖЕ?
Хостинг должен защищать персональные данные, если вы ему их поручили на обработку
ПОЧЕМУ ЖЕ?
Хостинг должен защищать персональные данные, если вы ему их поручили на обработку
Вы же не говорите защищать персональные данные арендодателю?
ПОЧЕМУ ЖЕ?
Хостинг = инфтраструктура
Он не может знать и контролировать то, какие персональные данные вы обрабатываете на сайте, он просто предоставляет ресурсы.
МИФ №5
Хостинг должен защищать персональные данные,
которые обрабатываются на нашем сайте
О П Р О В Е Р Г Н
У Т
ЛЕОНИД РАД, ЧТО ПОМОГ ВАМ
С ЧЕГО НАЧАТЬ?
1. Просчитайте свои риски
С ЧЕГО НАЧАТЬ?
1. Просчитайте свои риски
Стоимость защиты информации не должна превышать стоимость информации
С ЧЕГО НАЧАТЬ?
2. Перенесите свой сайт и другие системы в Россию
С ЧЕГО НАЧАТЬ?
3. Подготовьте и разместите на сайте публичную оферту согласия на обработку и Политику в отношении обработки персональных данных
С ЧЕГО НАЧАТЬ?
4. Разработайте необходимый пакет внутренних документов
С ЧЕГО НАЧАТЬ?
4. Разработайте необходимый пакет внутренних документов
Сейчас это сделать просто — поисковые системы и веб-сервисы дают такую возможность
ПОЛЕЗНЫЕ ССЫЛКИ
b-152.ru/docs — список и описание всех внутренних документов по защите персональных данных pd-info.ru — ответы на вопросы по обработке персональных данных http://pd.rkn.gov.ru/law/p132/ — законодательство РФ по персональным данным https://b-152-events.timepad.ru/event/331515/ — публичный вебинар про хранение персональных данных в РФ