Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Когда и почему  невозможно ненарушить 152-ФЗ…          Емельянников         Михаил Юрьевич,       Управляющий партнер
2
Что выросло, то выросло…                       3
Кто должен организовывать    выполнение закона?КАЖДЫЙ оператор должен: • Назначить ответственное   лицо за обработку   пер...
Кто должен организовывать    выполнение закона?КАЖДЫЙ оператор должен: • Назначить ответственное   лицо за обработку   пер...
Кто должен организовывать    выполнение закона?КАЖДЫЙ оператор должен: • Назначить ответственное   лицо за обработку   пер...
Среднестатистическийзаконопослушный оператор                                                          Туроператоры        ...
А вот не надо нагнетать!        Не надо?                           8
А вот не надо нагнетать!        Не надо?                           9
В соответствии с перечнем документов, установленным приказом опроведении внеплановой документарной проверки ГБУК ККДБ им.б...
Уведомление об обработке                       11
Врача! Помогите!                   12
Врача! Помогите!Обработка специальных категорийперсональных данных допускается вслучаях, если … обработкаперсональных данн...
Врача! Помогите!Вправе ли физическое лицо представлятьперсональные данные своих близкихродственников?Предоставление физиче...
2. Обработка персональных данных работников банка       Персональные данные            работникаСтатья 86.4) работодатель ...
А кто у нас муж?Предупреждать надо!                      16
Персональные данные    родственников работника                                 Унифицированная форма № Т-2                ...
Персональные данные    родственников работника                                                                            ...
Методические рекомендации для организациизащиты информации при обработке персональных    данных в учреждениях здравоохране...
А вот не надо нагнетать!             Не надо?6. «НОЧУ Институт экономики, права и гуманитарных специальностей»,осуществляя...
Вы с внучкой к врачу?  А доверенность у Вас есть?Бабушка: Я с внучкой пришла в детскую консультацию на прием. Врач мне ска...
Бронирование авиабилетов как злостное нарушение закона                          22
Бронирование авиабилетов как злостное нарушение законаДопущенные нарушения:1. Отсутствие подтверждаемого согласия субъекта...
ФЗ-152 и интернет-коммерцияПри заполнении вэб-формы заявки на покупку товара на сайте …сети «Интернет» критерием, свидетел...
ФЗ-152 и интернет-коммерция                         25
ФЗ-152 и интернет-коммерция                         26
Продажа через Интернет как  злостное нарушение законаДопущенные нарушения:1. Отсутствие подтверждаемого согласия субъекта ...
Денежные переводы без    открытия счета                        28
Денежные переводы без       открытия счетаОписание действийотправителя:Отправка денежногоперевода сыну,поиздержавшемуся на...
Денежный перевод как злостное нарушение законаДопущенные нарушения:1. Предоставление персональных данных   неопределенному...
Кто они, эти загадочные             люди?Обработка персональныхданных осуществляется вмедико-профилактическихцелях, в целя...
Ответ непростПри проведении проверки МУ «Междуреченскаяцентральная районная больница» выявлены нарушениятребований законод...
Проблемы телемедициныТрансграничная передачаперсональных данныхпациента в страны снеадекватной защитойтребует полученияпис...
Электронная почта– это тоже ИСПДн                    34
Электронная почта         – это тоже ИСПДнВсе системы электронной почты – К1 (пока, УЗ-1 вперспективе), потому что:  • неи...
Фотография и    биометрические данные  Письмо Роскомнадзора от 05.04.2010 №     ПК- 05728 (ответ на запрос ЗАО            ...
Фотография и    биометрические данные Постановление Правительства РФ от 04.03.2010 г. № 125     «О перечне персональных да...
Биометрические персональные данныеОписанный Вами пример - это не автоматическая идентификация.Для того, чтобы она таковой ...
3. В соответствии с перечнем документов,установленным п.10 приказа о проведениивнеплановой документарной проверки от 01.08...
Биометрические персональные данныеПрокуратура г.Йошкар-Олы совместно с Управлением Роскомнадзорапо Республики Марий Эл про...
Персональные данные,сделанные общедоступными                      41
Согласие субъекта в         письменной форме в  Согласие в письменной форме должно включать в себя,частности:   1) фамилию...
И, наконец, проблемы          технические  Обеспечениебезопасностиперсональных данныхдостигается, в частности,обеспечением...
Основания для изменений• Практика реализации ФЗ-152  позволяет сделать вывод о  недостижении цели его  принятия и создает ...
Основания для изменений                          45
Что надо исключить?Все!В первую очередь отказаться от:1. Технического и технологического регулирования.2. Обязательности в...
Что надо оставить?1. Обязанность использовать персональные данные не во   вред субъекту.2. Обязанность компенсировать субъ...
Что надо изменить?1. Обеспечить баланс интересов субъекта, оператора и   государства.2. Исходить из соотнесения вреда и ст...
http://emeliyannikov.blogspot.com/                               49
Спасибо!Вопросы?      Емельянников     Михаил Юрьевич   Управляющий партнер     +7 (916) 659 3474    mezp11@gmail.com
Upcoming SlideShare
Loading in …5
×

Когда и почему невозможно не нарушить 152-ФЗ…

1,943 views

Published on

Published in: Technology
  • Be the first to comment

Когда и почему невозможно не нарушить 152-ФЗ…

  1. 1. Когда и почему невозможно ненарушить 152-ФЗ… Емельянников Михаил Юрьевич, Управляющий партнер
  2. 2. 2
  3. 3. Что выросло, то выросло… 3
  4. 4. Кто должен организовывать выполнение закона?КАЖДЫЙ оператор должен: • Назначить ответственное лицо за обработку персональных данных • Издать политику • Принять правовые, организационные и технические меры • Разработать локальные акты • Оценить вред субъекту и соотнести с защитой ОНА?! • Обучить работников 4
  5. 5. Кто должен организовывать выполнение закона?КАЖДЫЙ оператор должен: • Назначить ответственное лицо за обработку персональных данных • Издать политику • Принять правовые, организационные и технические меры • Разработать локальные акты • Оценить вред субъекту и соотнести с защитой • Обучить работников ОНА?! 5
  6. 6. Кто должен организовывать выполнение закона?КАЖДЫЙ оператор должен: • Назначить ответственное лицо за обработку персональных данных • Издать политику • Принять правовые, организационные и технические меры • Разработать локальные акты • Оценить вред субъекту и соотнести с защитой • Обучить работников ОНА?! 6
  7. 7. Среднестатистическийзаконопослушный оператор Туроператоры Кредитные учреждения 524 1500 Средние и высшие учебные заведения 2212 Операторы связи 28801 Учреждения ЖКХ (ТСЖ) 6291 12724 Учреждения здравоохранения и 23665 социального развития Общеобразовательные школы 29010 Дошкольные учреждения 0 5000 10000 15000 20000 25000 30000 7
  8. 8. А вот не надо нагнетать! Не надо? 8
  9. 9. А вот не надо нагнетать! Не надо? 9
  10. 10. В соответствии с перечнем документов, установленным приказом опроведении внеплановой документарной проверки ГБУК ККДБ им.братьев Игнатовых, не было представлено письменное согласие гр.П. (законного представителя В., 2004 года рождения) на обработкубиометрических персональных данных В., обработка которыхосуществляется ГБУК ККДБ им. братьев Игнатовых путем еефотографирования и последующего создания фото базычитателей для прохода в зал выдачи книг ГБУК ККДБ им. братьевИгнатовых, что свидетельствует об его отсутствии и являетсянарушением требований ч. 1 ст. 11 Федерального закона от27.07.2006 № 152-ФЗ «О персональных данных». 10
  11. 11. Уведомление об обработке 11
  12. 12. Врача! Помогите! 12
  13. 13. Врача! Помогите!Обработка специальных категорийперсональных данных допускается вслучаях, если … обработкаперсональных данных необходима длязащиты жизни, здоровья … субъектаперсональных … и получение согласиясубъекта персональных данныхневозможноЕсли персданные получены не отсубъекта персональных данных,оператор до начала обработки такихданных обязан предоставить субъектуследующую информацию:1) наименование и адрес оператора;2) цель обработки персданных и ееправовое основание;3) предполагаемые пользователиперсональных данных;4) установленные настоящим ФЗ правасубъекта; 135) источник получения персданных.
  14. 14. Врача! Помогите!Вправе ли физическое лицо представлятьперсональные данные своих близкихродственников?Предоставление физическим лицом оператору персональных данныхблизких родственников возможно только при наличии письменногосогласия указанных лиц либо в случаях, установленныхфедеральными законами. 14
  15. 15. 2. Обработка персональных данных работников банка Персональные данные работникаСтатья 86.4) работодатель не имеетправа получать иобрабатывать персональныеданные работника о…частной жизни. В случаях,непосредственно связанных свопросами трудовыхотношений, … работодательвправе получать иобрабатывать данные очастной жизни работникатолько с его письменногосогласия. 15
  16. 16. А кто у нас муж?Предупреждать надо! 16
  17. 17. Персональные данные родственников работника Унифицированная форма № Т-2 Утверждена Постановлением Госкомстата России от 05.01.2004 № 1 ЛИЧНАЯ КАРТОЧКА РАБОТНИКА10. Состав семьи:Степень родства Фамилия, имя, отчество Год (ближайшие рождения родственники) 1 2 3 17
  18. 18. Персональные данные родственников работника Приложение 1 к Инструкции Банка России от 02.04.2010г. года N 135-И "О порядке принятия Банком России решения о государственной регистрации кредитных организаций и выдаче лицензий на осуществление банковских операций" Образец Анкета кандидата на должность руководителя, главного бухгалтера, заместителя главного бухгалтера кредитной организации, руководителя, заместителя руководителя, главного бухгалтера, заместителя главного бухгалтера филиала кредитной организации15.Сведения о близких родственниках кандидата (с указаниемфамилий, имен, отчеств (если последние имеются), дат и местрождения) (1) ________________Я, ________________________________________________________________________ (фамилия, имя, отчество кандидата)заверяю, что мои ответы на вопросы анкеты являются достоверными и полными. Спроверкой Банком России (адрес Банка России: г. Москва, ул.Неглинная, 12, 107016)достоверности анкеты и прилагаемых к ней документов, а также содержащихся ванкете и документах персональных данных согласен (согласна). 18
  19. 19. Методические рекомендации для организациизащиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утверждены Директорам Департаментаинформатизации Минздравсоцразвития 23.12.2009 г.) Персональные данные сотрудников Учреждения включают: • Телефонный номер; • Семейное положение и состав семьи (муж/жена, дети); • Информация о знании иностранных языков; • Форма допуска; • Оклад; • Данные о трудовом договоре; • Сведения о воинском учете ИНН; • Данные об аттестации работников. 19
  20. 20. А вот не надо нагнетать! Не надо?6. «НОЧУ Институт экономики, права и гуманитарных специальностей»,осуществляя обработку персональных данных близких родственниковсотрудников, в личной карточке работников (ФИО, год рождения, семейноеположение), не предоставило документы, подтверждающие информированиесубъекта персональных данных (близких родственников работника)о наименовании оператора, цели обработки персональных данных и ееправовом основании, предполагаемых пользователях персональных данных,правах субъекта персональных данных, что является нарушением ч. 3 ст. 18Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных». 20
  21. 21. Вы с внучкой к врачу? А доверенность у Вас есть?Бабушка: Я с внучкой пришла в детскую консультацию на прием. Врач мне сказала, чтовышел какой-то новый закон, и вы не имеете права приводить ребенка в больницу, если увас на руках нет от родителей разрешения, заверенного нотариусом, что вам доверяютсвоего ребенка.Главврач: Представлять интересы несовершеннолетнего пациента от 0 до 14 лет влечебно-профилактическом учреждении могут только законные представители ребенка,которым допустима передача информации о состоянии здоровья ребенка. Законнымипредставителями являются родители, усыновители, опекуны или попечители. Бабушка неявляется законным представителем, и не имеет права представительства пациента и наполучение информации без документального согласия законного представителя. 21
  22. 22. Бронирование авиабилетов как злостное нарушение закона 22
  23. 23. Бронирование авиабилетов как злостное нарушение законаДопущенные нарушения:1. Отсутствие подтверждаемого согласия субъекта персональных данных и/или доказательств наличия договора с субъектом.2. Отсутствие согласия лиц, чьи персональные данные представлены не субъектом, а иными лицами.3. Неуведомление лиц, чьи персональные данные получены не от них, о начале обработки персональных данных.4. Трансграничная передача персональных данных, возможно – в страну с неадекватной защитой, без письменного согласия субъекта. 23
  24. 24. ФЗ-152 и интернет-коммерцияПри заполнении вэб-формы заявки на покупку товара на сайте …сети «Интернет» критерием, свидетельствующим о полученииоператором согласия субъекта персональных данных на обработкуего персональных данных, является файл электронной цифровойподписи.Кроме того, оператор вправе ввести в вэб-форму заявкиобязательные для заполнения дополнительные поля,устанавливающие условие согласия субъекта персональных данныхна обработку его персональных данных, при условии последующегопроведения мероприятий по проверке достоверностипредставленных персональных данных.В остальных случаях согласие на обработку персональных данных,равно как и его отзыв, может оформляться только в письменнойформе. 24
  25. 25. ФЗ-152 и интернет-коммерция 25
  26. 26. ФЗ-152 и интернет-коммерция 26
  27. 27. Продажа через Интернет как злостное нарушение законаДопущенные нарушения:1. Отсутствие подтверждаемого согласия субъекта персональных данных и/или доказательств наличия договора с субъектом.2. Отсутствие согласия лиц, чьи персональные данные представлены не субъектом, а иными лицами.3. Обработка специальных категорий персональных данных при отсутствии оснований.4. Неуведомление лиц, чьи персональные данные получены не от них, о начале обработки персональных данных.5. Трансграничная передача персональных данных в страну с неадекватной защитой, без письменного согласия субъекта. 27
  28. 28. Денежные переводы без открытия счета 28
  29. 29. Денежные переводы без открытия счетаОписание действийотправителя:Отправка денежногоперевода сыну,поиздержавшемуся начерноморском курорте наУкраине.В наличии: ФИО и номерсотового телефона сына 29
  30. 30. Денежный перевод как злостное нарушение законаДопущенные нарушения:1. Предоставление персональных данных неопределенному кругу лиц.2. Отсутствие согласия получателя перевода.3. Неуведомление отправителя и получателя перевода о начале обработки персональных данных.4. Трансграничная передача персональных данных в страны с неадекватной защитой без письменного согласия получателя. 30
  31. 31. Кто они, эти загадочные люди?Обработка персональныхданных осуществляется вмедико-профилактическихцелях, в целях установлениямедицинского диагноза,оказания медицинских и медико-социальных услуг при условии,что обработка персональныхданных осуществляется лицом,профессиональнозанимающимся медицинскойдеятельностью и обязанным всоответствии сзаконодательствомРоссийской Федерациисохранять врачебную тайну. 31
  32. 32. Ответ непростПри проведении проверки МУ «Междуреченскаяцентральная районная больница» выявлены нарушениятребований законодательства РФ о персональныхданныхПри проведении плановой выездной проверки в отношении МУ«Междуреченская ЦРБ» сотрудниками Управления Роскомнадзорапо Вологодской области были выявлены нарушения:- пп.1,4 ст.6, части 1 ст.10 ФЗ «О персональных данных»;- п.6, 13, 15 Положения «Об особенностях обработки персональныхданных, осуществляемых без использования средствавтоматизации» (Постановление Правительства РФ №687 от15.09.2008);- ст.87 Трудового кодекса Российской Федерации.По фактам выявленных нарушений МУ «Междуреченская ЦРБ»выдано 7 предписаний об устранении выявленных нарушений.Материалы проверки направлены в органы прокуратуры дляпривлечения виновных лиц к ответственности и принятия мерпрокурорского реагирования. 32
  33. 33. Проблемы телемедициныТрансграничная передачаперсональных данныхпациента в страны снеадекватной защитойтребует полученияписьменного согласияпациента. 33
  34. 34. Электронная почта– это тоже ИСПДн 34
  35. 35. Электронная почта – это тоже ИСПДнВсе системы электронной почты – К1 (пока, УЗ-1 вперспективе), потому что: • неизвестно количество субъектов, чьи персональные данные обрабатываются; • неизвестна категория обрабатываемых персональных данных («приболел, гриппую, насморк, заеду на следующей неделе»).ИСПДн всегда защищается неправильно: • осуществляется передача персональных данных по незащищенным каналам связи без использования СКЗИ; • необходимо применение СЗИ, сертифицированных на отсутствие НДВ (К1!); • обязательно применение сертифицированных МЭ и IDS/IPS. 35
  36. 36. Фотография и биометрические данные Письмо Роскомнадзора от 05.04.2010 № ПК- 05728 (ответ на запрос ЗАО «Коммерцбанк»)Фотография, на которой запечатлен человек, можетявляться носителем биометрических персональныхданных при соответствии требованиям, установленнымГОСТ Р ИСО/МЭК 19794-5-2006.Указанный стандарт устанавливает требования кформату записи изображения лица, предназначенномудля хранения изображения лица в записи биометрическихданных (раздел 5.1. «Общие положения»). Такая записьявляется биометрическими данными, совместимыми сЕдиной структурой форматов обмена биометрическимиданными (ЕСФОБД – предназначена для обменабиометрическими данными и обеспечивает стандартнуюзапись любого биометрического образца). 36
  37. 37. Фотография и биометрические данные Постановление Правительства РФ от 04.03.2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»1. Номер документа.2. Фамилия и имя владельца документа.3. Гражданство владельца документа.4. Дата рождения владельца документа.5. Пол владельца документа.6. Цветное цифровое фотографическое изображение лица владельца документа (биометрические персональные данные владельца документа). 37
  38. 38. Биометрические персональные данныеОписанный Вами пример - это не автоматическая идентификация.Для того, чтобы она таковой стала, на рабочем месте сотрудника банканужно поставить систему распознавания лиц, в которую, нужнозагрузить данные биометрии (фотографию), соответствующую ГОСТу.Тогда система автоматически будет считывать лица клиентов банка,распознавать и идентифицировать их.Сотрудником банка веб-камерой делается снимок, изображениесверяется с владельцем документа (удостоверяющего личность –паспорта, водительского удостоверения и т.п.), с цельюаутентификации (подтверждения), т.е. всё, что касается собственноличности.Идентификации в Вашем случае не происходит.В данном случае снимок веб-камерой биометрическими данными неявляется (снимок не соответствует ГОСТу). 38
  39. 39. 3. В соответствии с перечнем документов,установленным п.10 приказа о проведениивнеплановой документарной проверки от 01.08.2011№ 875, ОАО «ОТП Банк» не было представленописьменное согласие гр. А. на обработку егобиометрических персональных данных,обработка которых осуществляется ОАО «ОТПБанк» путем предоставления копии паспорта гр. А.при заполнении заявления на получениепотребительского кредита, что свидетельствует обего отсутствии и является нарушением требованийч. 1 ст. 11 ФЗ от 27.07.2006 № 152-ФЗ «Оперсональных данных». 39
  40. 40. Биометрические персональные данныеПрокуратура г.Йошкар-Олы совместно с Управлением Роскомнадзорапо Республики Марий Эл провела проверку по заявлению одного изйошкаролинцев в «МПБ Идельбанк» (ЗАО) в г.Йошкар-Ола.Установлено, что сотрудники банковского учреждения при закрытиибанковского счета заявителя нарушили требования Федеральногозакона «О персональных данных». В частности, при снятииксерокопии паспорта гражданина они, не получив его согласия,изготовили с паспорта копию его фотографического изображения.Обработка этих персональных данных без согласия гражданиназапрещена законом.В связи с этим прокуратура вынесла постановление о возбуждениидела об административном правонарушении по ст. 13.11 КоАП РФ(нарушение установленного законом порядка сбора, хранения,использования персональных данных о гражданах) в отношенииюридического лица - «МПБ «Идельбанк» (ЗАО). 40
  41. 41. Персональные данные,сделанные общедоступными 41
  42. 42. Согласие субъекта в письменной форме в Согласие в письменной форме должно включать в себя,частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных,номер основного документа, удостоверяющего его личность, сведенияо дате выдачи указанного документа и выдавшем его органе; 3) наименование и адрес оператора, получающего согласиесубъекта; 4) цель обработки персональных данных; 5) перечень персданных, на обработку которых дается согласие; 6) наименование и адрес лица, осуществляющего обработкуперсональных данных по поручению оператора, если обработка будетпоручена такому лицу; 7) перечень действий с персональными данными, на совершениекоторых дается согласие, общее описание используемых операторомспособов обработки персональных данных; 8) срок, в течение которого действует согласие субъектаперсональных данных, а также способ его отзыва, если иное неустановлено федеральным законом; 9) подпись субъекта персональных данных. 42
  43. 43. И, наконец, проблемы технические Обеспечениебезопасностиперсональных данныхдостигается, в частности,обеспечениемрегистрации и учетавсех действий,совершаемых сперсональными даннымив информационнойсистеме персональныхданных 43
  44. 44. Основания для изменений• Практика реализации ФЗ-152 позволяет сделать вывод о недостижении цели его принятия и создает предпосылки для уточнения его отдельных положений• Попытки реализации требований, определенных НПА к ИСПДн, выявили целый ряд трудностей 44
  45. 45. Основания для изменений 45
  46. 46. Что надо исключить?Все!В первую очередь отказаться от:1. Технического и технологического регулирования.2. Обязательности выполнения формальных требований, не учитывающих особенности деятельности оператора.3. Привлечения к ответственности за невыполнение требований в случае отсутствия инцидента.4. Института уведомления. Оператор – любое юрлицо.5. Обязательного лицензирования деятельности, вмененной законом в обязанность.6. Правового обоснования возможности обработки в случаях, когда без персональных данных деятельность невозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.).7. Недопустимых барьеров на пути электронной коммерции. 46
  47. 47. Что надо оставить?1. Обязанность использовать персональные данные не во вред субъекту.2. Обязанность компенсировать субъекту ущерб в случае инцидента с персональными данными (но не в случае формального несоблюдения формальных правил).3. Обязанность соотносить состав и объем обрабатываемых персональных данных с целями их обработки.4. Право субъекта на доступ к своим персональным данным.5. Возможность государства регулировать обработку персональных данных в государственных и муниципальных системах. 47
  48. 48. Что надо изменить?1. Обеспечить баланс интересов субъекта, оператора и государства.2. Исходить из соотнесения вреда и стоимости защитных мер.3. Перейти к инцидентно-ориентированному подходу (нет инцидента – нет предмета разбирательства).4. Дать право субъекту оспаривать допустимость действий с персональными данными.5. Перенести решение вопроса возможности обработки в негосударственный орган или суд.6. Дать право оператору самому определять состав и содержание мер по защите персональных данных.7. Перейти от формальных требований к стандартизации.8. Следовать принципу свободы договора, закрепленному в Гражданском кодексе.9. Закрепить возможность оценки конклюдентных 48 действий.
  49. 49. http://emeliyannikov.blogspot.com/ 49
  50. 50. Спасибо!Вопросы? Емельянников Михаил Юрьевич Управляющий партнер +7 (916) 659 3474 mezp11@gmail.com

×