Мифы обработки персональных данных и их безопасность /...
-
Upload
ontico -
Category
Engineering
-
view
160 -
download
3
Transcript of Мифы обработки персональных данных и их безопасность /...
Мифы обработки персональных данных
Их безопасность
Ярошевский Станислав
152-ФЗ, 195-ФЗПриказ ФСТЭК от 11 февраля 2013 г. N 17Приказ ФСТЭК от 18 февраля 2013 г. N 21
195-ФЗОБ АДМИНИСТРАТИВНЫХ
ПРАВОНАРУШЕНИЯХ
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
Штраф: от 4 000 до 5 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
Штраф: от 4 000 до 5 000 рублей
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.
Штраф: от 5 000 до 10 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
Штраф: от 4 000 до 5 000 рублей
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.
Штраф: от 5 000 до 10 000 рублей
Статья 13.12.1 Использование несертифицированных информационных систем, баз и банковданных.
Штраф: от 20 000 до 25 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
Основные понятия
Обработка персональных данныхЛюбое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Охранник на проходной - Доставка груза покупателю
Основные понятия
Обработка персональных данныхЛюбое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Охранник на проходной - Доставка груза покупателю
Автоматизированная обработка персональных данныхОбработка персональных данных с помощью средств вычислительной техники.
Интернет магазин - Оказание медицинских услуг
Основные понятия
Обработка персональных данныхЛюбое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.
Охранник на проходной - Доставка груза покупателю
Автоматизированная обработка персональных данныхОбработка персональных данных с помощью средств вычислительной техники.
Интернет магазин - Оказание медицинских услуг
Персональные данные (ПД)Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
ФИО, паспортные данные, мобильный телефон, адрес регистрации
Основные понятия
Общие выдержки из закона 152-ФЗ
Классы персональных данных
Класс 4Обезличенные и (или) общедоступные персональные данные.
Класс 3Персональные данные, позволяющие идентифицировать субъекта персональных данных.
Классы персональных данных
Класс 4Обезличенные и (или) общедоступные персональные данные.
Класс 3Персональные данные, позволяющие идентифицировать субъекта персональных данных.
Класс 2Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Класс 1Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Классы персональных данных
Что такое персональныеданные?
Что такое персональные данные?
Является объектом ПД:● Фамилия, Имя, Отчество, дата рождения, место прописки;● Номер и серия паспорта;● Страховой номер индивидуального лицевого счета (СНИЛС);● Идентификационный номер налогоплательщика (ИНН);● Банковский счет или номер банковской карты;● Адрес места жительства ИП;● Фамилия и Инициалы в сочетании с дополнительные сведениями;● Фотография человека который являлся объектом съемки;
Что такое персональные данные?
Является объектом ПД:● Фамилия, Имя, Отчество, дата рождения, место прописки;● Номер и серия паспорта;● Страховой номер индивидуального лицевого счета (СНИЛС);● Идентификационный номер налогоплательщика (ИНН);● Банковский счет или номер банковской карты;● Адрес места жительства ИП;● Фамилия и Инициалы в сочетании с дополнительные сведениями;● Фотография человека который являлся объектом съемки;
Не является объектом ПД по отдельности:● Фамилия и Имя, Фамилия и Инициалы, Имя и Отчество;● Мобильный телефон;
Что такое персональные данные?
Является объектом ПД:● Фамилия, Имя, Отчество, дата рождения, место прописки;● Номер и серия паспорта;● Страховой номер индивидуального лицевого счета (СНИЛС);● Идентификационный номер налогоплательщика (ИНН);● Банковский счет или номер банковской карты;● Адрес места жительства ИП;● Фамилия и Инициалы в сочетании с дополнительные сведениями;● Фотография человека который являлся объектом съемки;
Не является объектом ПД по отдельности:● Фамилия и Имя, Фамилия и Инициалы, Имя и Отчество;● Мобильный телефон;● Адрес проживания;● Адрес электронной почты;● Дата рождения;● Фотография человека позировавшего за плату;
От теории к практике
МИФ 1.Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:● Обработка в соответствии с трудовым законодательством● Обработка без средств автоматизации● Включающие только фамилии, имена и отчества● Для однократного пропуска на территорию● Для исполнения договора
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:● Обработка в соответствии с трудовым законодательством● Обработка без средств автоматизации● Включающие только фамилии, имена и отчества● Для однократного пропуска на территорию● Для исполнения договора
Требуется уведомление:
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:● Обработка в соответствии с трудовым законодательством● Обработка без средств автоматизации● Включающие только фамилии, имена и отчества● Для однократного пропуска на территорию● Для исполнения договора
Требуется уведомление:● Передача данных третьим лицам● Иное использование персональных данных
МИФ 2.Получить согласие об
обработке ПД очень сложно
МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется● Оператор — согласие требуется
МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется● Оператор — согласие требуется
Получаем согласие на обработку ПД
МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется● Оператор — согласие требуется
Получаем согласие на обработку ПД● Письменное согласие● Публичная оферта
МИФ 3.Обмен информацией,
содержащей ПД - это сложно
Важные составляющие:● Юридический отдел● Отдел информационных технологий● Выбор программного решения
МИФ 3. Обмен информацией, содержащейперсональные данные - это сложно
МИФ 4.Сложно соответствовать 3
категории обработки ПД
Приказы ФСТЭК 17 и 21:● Прописать модели угроз● Состав мер по обеспечению безопасности● Документация для Роспотребнадзора● Декларирование на соответствие категории 3
МИФ 4. Сложно соответствовать 3 категорииобработки ПД
Приказы ФСТЭК 17 и 21:● Прописать модели угроз● Состав мер по обеспечению безопасности● Документация для Роспотребнадзора● Декларирование на соответствие категории 3
База правового применения на данный момент мала
МИФ 4. Сложно соответствовать 3 категорииобработки ПД