За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (НЮС)
1. Мифы обработки
персональных данных
Их безопасность
Ярошевский Станислав
152-ФЗ, 195-ФЗ
Приказ ФСТЭК от 11 февраля 2013 г. N 17
Приказ ФСТЭК от 18 февраля 2013 г. N 21
3. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
4. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом,
получившим доступ к такой информации в связи с исполнением служебных или профессиональных
обязанностей.
Штраф: от 4 000 до 5 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
5. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом,
получившим доступ к такой информации в связи с исполнением служебных или профессиональных
обязанностей.
Штраф: от 4 000 до 5 000 рублей
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или
распространения информации о гражданах.
Штраф: от 5 000 до 10 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
6. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 рублей
Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом,
получившим доступ к такой информации в связи с исполнением служебных или профессиональных
обязанностей.
Штраф: от 4 000 до 5 000 рублей
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или
распространения информации о гражданах.
Штраф: от 5 000 до 10 000 рублей
Статья 13.12.1 Использование несертифицированных информационных систем, баз и банков
данных.
Штраф: от 20 000 до 25 000 рублей
195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
8. Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием
средств автоматизации или без использования таких средств с персональными данными.
Охранник на проходной - Доставка груза покупателю
Основные понятия
9. Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием
средств автоматизации или без использования таких средств с персональными данными.
Охранник на проходной - Доставка груза покупателю
Автоматизированная обработка персональных данных
Обработка персональных данных с помощью средств вычислительной техники.
Интернет магазин - Оказание медицинских услуг
Основные понятия
10. Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием
средств автоматизации или без использования таких средств с персональными данными.
Охранник на проходной - Доставка груза покупателю
Автоматизированная обработка персональных данных
Обработка персональных данных с помощью средств вычислительной техники.
Интернет магазин - Оказание медицинских услуг
Персональные данные (ПД)
Любая информация, относящаяся к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных)
ФИО, паспортные данные, мобильный телефон, адрес регистрации
Основные понятия
Общие выдержки из закона 152-ФЗ
12. Класс 4
Обезличенные и (или) общедоступные персональные данные.
Класс 3
Персональные данные, позволяющие идентифицировать субъекта персональных данных.
Классы персональных данных
13. Класс 4
Обезличенные и (или) общедоступные персональные данные.
Класс 3
Персональные данные, позволяющие идентифицировать субъекта персональных данных.
Класс 2
Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем
дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Класс 1
Персональные данные, касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Классы персональных данных
15. Что такое персональные данные?
Является объектом ПД:
● Фамилия, Имя, Отчество, дата рождения, место прописки;
● Номер и серия паспорта;
● Страховой номер индивидуального лицевого счета (СНИЛС);
● Идентификационный номер налогоплательщика (ИНН);
● Банковский счет или номер банковской карты;
● Адрес места жительства ИП;
● Фамилия и Инициалы в сочетании с дополнительные сведениями;
● Фотография человека который являлся объектом съемки;
16. Что такое персональные данные?
Является объектом ПД:
● Фамилия, Имя, Отчество, дата рождения, место прописки;
● Номер и серия паспорта;
● Страховой номер индивидуального лицевого счета (СНИЛС);
● Идентификационный номер налогоплательщика (ИНН);
● Банковский счет или номер банковской карты;
● Адрес места жительства ИП;
● Фамилия и Инициалы в сочетании с дополнительные сведениями;
● Фотография человека который являлся объектом съемки;
Не является объектом ПД по отдельности:
● Фамилия и Имя, Фамилия и Инициалы, Имя и Отчество;
● Мобильный телефон;
17. Что такое персональные данные?
Является объектом ПД:
● Фамилия, Имя, Отчество, дата рождения, место прописки;
● Номер и серия паспорта;
● Страховой номер индивидуального лицевого счета (СНИЛС);
● Идентификационный номер налогоплательщика (ИНН);
● Банковский счет или номер банковской карты;
● Адрес места жительства ИП;
● Фамилия и Инициалы в сочетании с дополнительные сведениями;
● Фотография человека который являлся объектом съемки;
Не является объектом ПД по отдельности:
● Фамилия и Имя, Фамилия и Инициалы, Имя и Отчество;
● Мобильный телефон;
● Адрес проживания;
● Адрес электронной почты;
● Дата рождения;
● Фотография человека позировавшего за плату;
20. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган"
уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
21. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган"
уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:
22. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган"
уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:
● Обработка в соответствии с трудовым законодательством
● Обработка без средств автоматизации
● Включающие только фамилии, имена и отчества
● Для однократного пропуска на территорию
● Для исполнения договора
23. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган"
уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:
● Обработка в соответствии с трудовым законодательством
● Обработка без средств автоматизации
● Включающие только фамилии, имена и отчества
● Для однократного пропуска на территорию
● Для исполнения договора
Требуется уведомление:
24. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган"
уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона).
Как и для каких целей Вы обрабатываете ПД?
Уведомление не требуется:
● Обработка в соответствии с трудовым законодательством
● Обработка без средств автоматизации
● Включающие только фамилии, имена и отчества
● Для однократного пропуска на территорию
● Для исполнения договора
Требуется уведомление:
● Передача данных третьим лицам
● Иное использование персональных данных
26. МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется
● Оператор — согласие требуется
27. МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется
● Оператор — согласие требуется
Получаем согласие на обработку ПД
28. МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется
● Оператор — согласие требуется
Получаем согласие на обработку ПД
● Письменное согласие
● Публичная оферта
30. Важные составляющие:
● Юридический отдел
● Отдел информационных технологий
● Выбор программного решения
МИФ 3. Обмен информацией, содержащей
персональные данные - это сложно
32. Приказы ФСТЭК 17 и 21:
● Прописать модели угроз
● Состав мер по обеспечению безопасности
● Документация для Роспотребнадзора
● Декларирование на соответствие категории 3
МИФ 4. Сложно соответствовать 3 категории
обработки ПД
33. Приказы ФСТЭК 17 и 21:
● Прописать модели угроз
● Состав мер по обеспечению безопасности
● Документация для Роспотребнадзора
● Декларирование на соответствие категории 3
База правового применения на данный момент мала
МИФ 4. Сложно соответствовать 3 категории
обработки ПД