eRetailForum 2012: Михаил Яценко. Закон "О персональных данных"...
-
date post
14-Sep-2014 -
Category
Business
-
view
567 -
download
1
description
Transcript of eRetailForum 2012: Михаил Яценко. Закон "О персональных данных"...
Закон «О персональных данных»
практика применения
г. Москва,2012г.
Мифы, заблуждения, типичные ошибки
Наша компания не обрабатывает ПД, а значит ФЗ-152 нас не касается
Регуляторы ничего не понимают в современной организации безопасности
Необходимо получить лицензию ФСТЭК и ФСБ для обработки ПД
Организация безопасности ИСПДн – это очень дорого Отраслевой стандарт не обязателен к исполнению
Федеральный закон №152-ФЗО персональных данных
Статья 3:Персональные данные – любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Обработка персональных данных
- Это любые действия с персональными данными (сбор, хранение, уничтожение и т.д.)
- Разрешается с согласия гражданина
- Разрешается после проведения организационно-технических мероприятий по защите информационных систем с персональными данными (ИСПДн)
Согласие
Согласие – в любой форме позволяющей подтвердить факт законного его получения (ст.9, ч.1)
Письменное согласие субъекта ПД на бумажном носителе (= электронный документ с ЭЦП)
необходимо лишь в особенных случаях
Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает оператору обработку избыточных персональных данных относительно к целям, заявленным при сборе персональных данных и не дольше , чем это требуют цели обработки.
Обязанность предоставить доказательство законности обработки ПД возложена на ОПЕРАТОРА
Контрольно-надзорные органы
Роскомнадзор России Федеральная служба по техническому
и экспортному контролю (ФСТЭК России)
ФСБ России
Перспективы
Приведение ИСПДн операторов в соответствие с требованиями законодательства РФ
Ужесточение ответственности оператора за нарушения Закона
Изменения (возможные) в Закон
Либерализация требований по организации технической защиты ИСПДн.
Ужесточение ответственности
Изменения в Кодекс об Административных правонарушениях:
увеличение срока давности за нарушения законодательства в области персональных данных
Увеличение размеров штрафов
Изменения в Уголовный Кодекс Уголовная ответственность руководителя предприятия за
незаконную обработку персональных данных
Резюме: изменения законодательства не учитывают последствия незаконной обработки персональных данных и ущерб причинённый гражданину незаконными действиями оператора
Наши действия
Изменения в федеральное законодательство в области персональных данных с учётом сложившейся европейской практики:
европейская модель при которой разрешается обработка персональных данных (как задача максимум):
- ввести в российское закнодательство 2-х принципов обработки персональных данных (opt-out и opt-in)
Либерализовать (упростить) требования по организации технической защиты ИСПДн.
Создание отраслевого стандарта по безопасной обработке персональных данных в целях продвижения и продажи товаров, работ и услуг.
Отраслевой стандартОбщее содержание отраслевых ИС:- Фамилия, имя, отчество- Адрес для получения почты и др. контактная информация- Дата рождения- Пол- Иная информация не характеризующая субъекта ПД как личность
Резюме: А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные
(идентификационные) персональные данные;Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать
гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.).В) ИСПДн не нуждаются в специальных технических мерах защиты
(криптография и т.п.) и должны классифицироваться по классификации ФСТЭК как К3
Отраслевой стандарт
- Это рамочные нормативные документы для обеспечения информационной безопасности организаций дистанционной торговли.
-Это не только рамочные нормативы для компаний дистанционной торговли, но и для сервисных компаний, являющиеся обработчиками ИСПДн (согласно европейским нормам), но причисленные согласно российскому законодательству также к операторам
Отраслевой стандарт:1. Универсальная отраслевая модель угроз2. Требования к безопасности отраслевых ИСПДн3. Отраслевая методика проверки соответствия требованиям безопасности
ИСПДН4. Методика реализации требований безопасности отраслевых ИСПДн5. Типовой отраслевой продукт (коробочное решение) с минимальной
адаптацией для отраслевых предприятий, вкл набор организационно-технических мероприятий и средств для организации обработки ПД в информационных системах с учётом требований создаваемого отраслевого стандарта.
Приглашаем к сотрудничеству!