eRetailForum 2012: Михаил Яценко. Закон "О персональных данных" практика применения
Upcoming SlideShare
Loading in...5
×
 

eRetailForum 2012: Михаил Яценко. Закон "О персональных данных" практика применения

on

  • 569 views

eRetailForum 2012: Михаил Яценко. Закон "О персональных данных" практика применения

eRetailForum 2012: Михаил Яценко. Закон "О персональных данных" практика применения

Statistics

Views

Total Views
569
Views on SlideShare
409
Embed Views
160

Actions

Likes
2
Downloads
1
Comments
0

2 Embeds 160

http://www.shopolog.ru 121
http://m.shopolog.ru 39

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

eRetailForum 2012: Михаил Яценко. Закон "О персональных данных" практика применения  eRetailForum 2012: Михаил Яценко. Закон "О персональных данных" практика применения Presentation Transcript

  • Закон «О персональных данных» практика применения г. Москва, 2012г.
  • Мифы, заблуждения, типичные ошибки  Наша компания не обрабатывает ПД, а значит ФЗ-152 нас не касается  Регуляторы ничего не понимают в современной организации безопасности  Необходимо получить лицензию ФСТЭК и ФСБ для обработки ПД  Организация безопасности ИСПДн – это очень дорого  Отраслевой стандарт не обязателен к исполнению
  • Федеральный закон №152-ФЗ О персональных данных Статья 3: Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
  • Обработка персональных данных - Это любые действия с персональными данными (сбор, хранение, уничтожение и т.д.) - Разрешается с согласия гражданина - Разрешается после проведения организационно- технических мероприятий по защите информационных систем с персональными данными (ИСПДн)
  • Согласие Согласие – в любой форме позволяющей подтвердить факт законного его получения (ст.9, ч.1) Письменное согласие субъекта ПД на бумажном носителе (= электронный документ с ЭЦП) необходимо лишь в особенных случаях Статья 5 ФЗ -152 (Принципы обработки ПД) запрещает оператору обработку избыточных персональных данных относительно к целям, заявленным при сборе персональных данных и не дольше , чем это требуют цели обработки. Обязанность предоставить доказательство законности обработки ПД возложена на ОПЕРАТОРА
  • Контрольно-надзорные органы  Роскомнадзор России  Федеральная служба по техническому и экспортному контролю (ФСТЭК России)  ФСБ России
  • Перспективы  Приведение ИСПДн операторов в соответствие с требованиями законодательства РФ  Ужесточение ответственности оператора за нарушения Закона  Изменения (возможные) в Закон  Либерализация требований по организации технической защиты ИСПДн.
  • Ужесточение ответственности Изменения в Кодекс об Административных правонарушениях:  увеличение срока давности за нарушения законодательства в области персональных данных  Увеличение размеров штрафов Изменения в Уголовный Кодекс  Уголовная ответственность руководителя предприятия за незаконную обработку персональных данных Резюме: изменения законодательства не учитывают последствия незаконной обработки персональных данных и ущерб причинённый гражданину незаконными действиями оператора
  • Наши действия Изменения в федеральное законодательство в области персональных данных с учётом сложившейся европейской практики:  европейская модель при которой разрешается обработка персональных данных (как задача максимум): - ввести в российское закнодательство 2-х принципов обработки персональных данных (opt-out и opt-in)  Либерализовать (упростить) требования по организации технической защиты ИСПДн. Создание отраслевого стандарта по безопасной обработке персональных данных в целях продвижения и продажи товаров, работ и услуг.
  • Отраслевой стандарт Общее содержание отраслевых ИС: - Фамилия, имя, отчество - Адрес для получения почты и др. контактная информация - Дата рождения - Пол - Иная информация не характеризующая субъекта ПД как личность Резюме: А) ИСПДн, обрабатываемые компаниями ДТ, содержат только основные (идентификационные) персональные данные; Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют характеризовать гражданина и не затрагивают его частную жизнь (семейную тайну и т.п.). В) ИСПДн не нуждаются в специальных технических мерах защиты (криптография и т.п.) и должны классифицироваться по классификации ФСТЭК как К3
  • Отраслевой стандарт - Это рамочные нормативные документы для обеспечения информационной безопасности организаций дистанционной торговли. -Это не только рамочные нормативы для компаний дистанционной торговли, но и для сервисных компаний, являющиеся обработчиками ИСПДн (согласно европейским нормам), но причисленные согласно российскому законодательству также к операторам Отраслевой стандарт: 1. Универсальная отраслевая модель угроз 2. Требования к безопасности отраслевых ИСПДн 3. Отраслевая методика проверки соответствия требованиям безопасности ИСПДН 4. Методика реализации требований безопасности отраслевых ИСПДн 5. Типовой отраслевой продукт (коробочное решение) с минимальной адаптацией для отраслевых предприятий, вкл набор организационно- технических мероприятий и средств для организации обработки ПД в информационных системах с учётом требований создаваемого отраслевого стандарта.
  • Приглашаем к сотрудничеству!