Закон «О персональных данных»

практика применения

г. Москва,2012г.

Мифы, заблуждения, типичные ошибки

Наша компания не обрабатывает ПД, а значит ФЗ-152 нас не касается

Регуляторы ничего не понимают в современной организации безопасности

Необходимо получить лицензию ФСТЭК и ФСБ для обработки ПД

Организация безопасности ИСПДн – это очень дорого Отраслевой стандарт не обязателен к исполнению

Федеральный закон №152-ФЗО персональных данных

Статья 3:Персональные данные – любая информация,

относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Обработка персональных данных

- Это любые действия с персональными данными (сбор, хранение, уничтожение и т.д.)

- Разрешается с согласия гражданина

- Разрешается после проведения организационно-технических мероприятий по защите информационных систем с персональными данными (ИСПДн)

Согласие

Согласие – в любой форме позволяющей подтвердить факт законного его получения (ст.9, ч.1)

Письменное согласие субъекта ПД на бумажном носителе (= электронный документ с ЭЦП)

необходимо лишь в особенных случаях

Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает оператору обработку избыточных персональных данных относительно к целям, заявленным при сборе персональных данных и не дольше , чем это требуют цели обработки.

Обязанность предоставить доказательство законности обработки ПД возложена на ОПЕРАТОРА

Контрольно-надзорные органы

Роскомнадзор России Федеральная служба по техническому

и экспортному контролю (ФСТЭК России)

ФСБ России

Перспективы

Приведение ИСПДн операторов в соответствие с требованиями законодательства РФ

Ужесточение ответственности оператора за нарушения Закона

Изменения (возможные) в Закон

Либерализация требований по организации технической защиты ИСПДн.

Ужесточение ответственности

Изменения в Кодекс об Административных правонарушениях:

увеличение срока давности за нарушения законодательства в области персональных данных

Увеличение размеров штрафов

Изменения в Уголовный Кодекс Уголовная ответственность руководителя предприятия за

незаконную обработку персональных данных

Резюме: изменения законодательства не учитывают последствия незаконной обработки персональных данных и ущерб причинённый гражданину незаконными действиями оператора

Наши действия

Изменения в федеральное законодательство в области персональных данных с учётом сложившейся европейской практики:

европейская модель при которой разрешается обработка персональных данных (как задача максимум):

- ввести в российское закнодательство 2-х принципов обработки персональных данных (opt-out и opt-in)

Либерализовать (упростить) требования по организации технической защиты ИСПДн.

Создание отраслевого стандарта по безопасной обработке персональных данных в целях продвижения и продажи товаров, работ и услуг.

Отраслевой стандартОбщее содержание отраслевых ИС:- Фамилия, имя, отчество- Адрес для получения почты и др. контактная информация- Дата рождения- Пол- Иная информация не характеризующая субъекта ПД как личность

Резюме: А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные

(идентификационные) персональные данные;Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать

гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.).В) ИСПДн не нуждаются в специальных технических мерах защиты

(криптография и т.п.) и должны классифицироваться по классификации ФСТЭК как К3

Отраслевой стандарт

- Это рамочные нормативные документы для обеспечения информационной безопасности организаций дистанционной торговли.

-Это не только рамочные нормативы для компаний дистанционной торговли, но и для сервисных компаний, являющиеся обработчиками ИСПДн (согласно европейским нормам), но причисленные согласно российскому законодательству также к операторам

Отраслевой стандарт:1. Универсальная отраслевая модель угроз2. Требования к безопасности отраслевых ИСПДн3. Отраслевая методика проверки соответствия требованиям безопасности

ИСПДН4. Методика реализации требований безопасности отраслевых ИСПДн5. Типовой отраслевой продукт (коробочное решение) с минимальной

адаптацией для отраслевых предприятий, вкл набор организационно-технических мероприятий и средств для организации обработки ПД в информационных системах с учётом требований создаваемого отраслевого стандарта.

Приглашаем к сотрудничеству!