3. Федеральный закон №152-ФЗ
О персональных данных
Статья 3:
Персональные данные – любая информация,
относящаяся к прямо или косвенно
определенному или определяемому
физическому лицу (субъекту персональных
данных)
4. Обработка
персональных данных
- Это любые действия с
персональными данными
(сбор, хранение, уничтожение
и т.д.)
- Разрешается с согласия
гражданина
- Разрешается после
проведения организационно-
технических мероприятий по
защите информационных
систем с персональными
данными (ИСПДн)
5. Согласие
Согласие – в любой форме позволяющей подтвердить факт
законного его получения (ст.9, ч.1)
Письменное согласие субъекта ПД на бумажном носителе
(= электронный документ с ЭЦП)
необходимо лишь в особенных случаях
Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает
оператору обработку избыточных персональных данных
относительно к целям, заявленным при сборе
персональных данных и не дольше , чем это требуют цели
обработки.
Обязанность предоставить доказательство законности
обработки ПД возложена на ОПЕРАТОРА
7. Перспективы
Ещё «вчера»:
Приведение ИСПДн операторов в
соответствие с требованиями
законодательства РФ
Уже «завтра»:
Ужесточение ответственности оператора за
нарушения Закона
Изменения в Закон (возможные и ожидаемые)
Либерализация требований по организации
технической защиты ИСПДн.
8. Наказание
Как есть сегодня:
КоАП: Срок давности 3 месяца
Штраф - для граждан – 500 руб.
- для должностных лиц – 1.000 руб.
- для юридических лиц – до 10.000 руб.
УК РФ: штраф до 200.000 руб.
или обязательные работы до 180 час.,
или исправительные работы до 1 года
или арест на срок до 4 месяцев.
9. Ужесточение
ответственности
Изменения в Кодекс об Административных
правонарушениях:
увеличение срока давности за нарушения
законодательства в области персональных данных
Увеличение размеров штрафов
Изменения в Уголовный Кодекс
Уголовная ответственность руководителя предприятия за
незаконную обработку персональных данных
Резюме: изменения законодательства не учитывают
последствия незаконной обработки персональных данных и
ущерб причинённый гражданину незаконными действиями
оператора
10. Инициативы
Роскомнадзора
Как может быть:
Проект федерального закона «О внесении изменений в Кодекс
Российской Федерации об административных
правонарушениях» (доработанный), направленный на
совершенствование законодательства Российской Федерации
в сфере защиты прав субъектов персональных данных
(разработчик акта: Роскомнадзор)
Публичное обсуждение с 12 по 25 сентября
на сайте Минэкономразвития (Департамент оценки
регулирующего воздействия):
http://www.economy.gov.ru/minec/about/structure/depregulatinginfluence/doc2
11. Наши действия
Изменения в федеральное законодательство в области
персональных данных с учётом сложившейся
европейской практики:
внедрить европейскую модель при которой
- идентификационные данные разрешается обработывать
при отсутствии возражений
- «чувствительные» данные обработываются только с
согласия (как задача максимум)
Либерализовать (упростить) требования по организации
технической защиты ИСПДн.
Создание отраслевого стандарта по безопасной
обработке персональных данных в целях продвижения
и продажи товаров, работ и услуг.
12. Отраслевой стандарт
Общее содержание отраслевых ИС:
- Фамилия, имя, отчество
- Адрес для получения почты и др. контактная информация
- Дата рождения
- Пол
- Иная информация не характеризующая субъекта ПД как личность
Резюме:
А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные
(идентификационные) персональные данные;
Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать
гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.).
В) ИСПДн не нуждаются в специальных технических мерах защиты
(криптография и т.п.) и должны классифицироваться по классификации
ФСТЭК как К3
13. Отраслевой стандарт
- Это рамочные нормативные документы для обеспечения информационной
безопасности организаций дистанционной торговли.
-Это не только рамочные нормативы для компаний дистанционной торговли,
но и для сервисных компаний, являющиеся обработчиками ИСПДн
(согласно европейским нормам), но причисленные согласно российскому
законодательству также к операторам
Отраслевой стандарт:
1. Универсальная отраслевая модель угроз
2. Требования к безопасности отраслевых ИСПДн
3. Отраслевая методика проверки соответствия требованиям безопасности
ИСПДН
4. Методика реализации требований безопасности отраслевых ИСПДн
5. Типовой отраслевой продукт (коробочное решение) с минимальной
адаптацией для отраслевых предприятий, вкл набор организационно-
технических мероприятий и средств для организации обработки ПД в
информационных системах с учётом требований создаваемого
отраслевого стандарта.
14. Мифы, заблуждения,
типичные ошибки
Отраслевой стандарт не обязателен к исполнению
Регуляторы ничего не понимают в современной
организации безопасности
Необходимо получить лицензию ФСТЭК и ФСБ для
обработки ПД
Организация безопасности ИСПДн – это очень дорого
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;