Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / Максим Лагутин (Б-152, SiteSecure)

324 views

Published on

Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.

Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.

Затем будут разобраны основные мифы, касающиеся выполнения данного закона.

В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.

По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / Максим Лагутин (Б-152, SiteSecure)

  1. 1. Мифы, проблемы и решения вопросов работы c персональными данными на сайтах Максим Лагутин, b-152.ru / sitesecure.ru
  2. 2. МАКСИМ ЛАГУТИН 6 лет опыта по защите персональных данных 3 года в web-security топ-эксперт Института Развития Интернета куратор кафедры «Информационная безопасность» в МАМИ
  3. 3. ЦЕЛЬ МОЕГО ДОКЛАДА Дать необходимое понимание ситуации с практикой применения закона. Чтобы вы понимали основные риски и ориентировались в дальнейших действиях.
  4. 4. ЗНАКОМЬТЕСЬ - ЭТО ЛЕОНИД Он знает, что его компания и сайт соответствуют закону №152-ФЗ «О персональных данных»
  5. 5. Точнее знал… ЗНАКОМЬТЕСЬ - ЭТО ЛЕОНИД Он знает, что его компания и сайт соответствуют закону №152-ФЗ «О персональных данных»
  6. 6. … ПОКА НЕ УВИДЕЛ ЭТОТ ДОКУМЕНТ
  7. 7. Полный документ - http://b-152.ru/proverka_PDn.pdf
  8. 8. РАЗВЕНЧАНИЕ МИФОВ
  9. 9. МИФ №1 МЫ НЕ ОБРАБАТЫВАЕМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
  10. 10. ПЕРСОНАЛЬНЫЕ ДАННЫЕ? - ФИО - контактные данные - паспортные данные - ИНН - гражданство - адрес - сведения об аккаунтах в социальных сетях - места работы и занимаемые должности и т.д.
  11. 11. КОМУ ОНИ МОГУТ ПРИНАДЛЕЖАТЬ? Работникам Родственникам работников Кандидатам на вакантную должность Физическим лицам, работающим по договору ГПХ Представителям контрагентов
 Клиентам, являющимся физическими лицами
 Обратившимся через форму обратной связи и т.д.
  12. 12. МИФ №1 МЫ НЕ ОБРАБАТЫВАЕМ ПЕРСОНАЛЬНЫЕ ДАННЫЕ О П Р О В Е Р Г Н У Т
  13. 13. МИФ №2 Мы не подали Уведомление в Роскомнадзор, поэтому не являемся операторами персональных данных и не попадаем под закон
  14. 14. КОГО КАСАЕТСЯ ЗАКОН? Юр.лиц, ИП, бюджетных организаций, обрабатывающи персональные данные и ставящие цели их обработки. Таких называют операторами персональных данных.
  15. 15. ЧТО ТРЕБУЕТ ЗАКОН? Если кратко, то: - подготовить документы по персональным данным
  16. 16. Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц ЧТО ТРЕБУЕТ ЗАКОН?
  17. 17. ЧТО ТРЕБУЕТ ЗАКОН? Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России
  18. 18. ЧТО ТРЕБУЕТ ЗАКОН? Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных
  19. 19. Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных - принять меры защиты ЧТО ТРЕБУЕТ ЗАКОН?
  20. 20. Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных - принять меры защиты - подать Уведомление в Роскомнадзор ЧТО ТРЕБУЕТ ЗАКОН?
  21. 21. ЧТО ТРЕБУЕТ ЗАКОН? Если кратко, то: - подготовить документы по персональным данным - назначить ответственных лиц - локализовать базы данных в России - определить уровни защищенности персональных данных - принять меры защиты - подать Уведомление в Роскомнадзор - законно обрабатывать персональные данные
  22. 22. ЧУТЬ НЕ ЗАБЫЛ Издать Политику в отношении обработки персональных данных и её опубликовать в общем доступе на сайте и разместить в офисах организации
  23. 23. МИФ №2 Мы не подавали Уведомление в Роскомнадзор, поэтому не являемся операторами персональных данных и не попадаем под законО П Р О В Е Р Г Н У Т
  24. 24. МИФ №3 Кому мы нужны? Мы маленькие, проверки к нам не придут
  25. 25. КТО ПРОВЕРЯЕТ? Роскомнадзор — документы, процессы, информационные системы
  26. 26. КТО ПРОВЕРЯЕТ? Роскомнадзор — документы, процессы, информационные системы ФСТЭК — техническую защиту
  27. 27. КТО ПРОВЕРЯЕТ? Роскомнадзор — документы, процессы, информационные системы ФСТЭК — техническую защиту ФСБ — применение криптографии
  28. 28. КТО ПРОВЕРЯЕТ? Роскомнадзор — документы, процессы, информационные системы ФСТЭК — техническую защиту ФСБ — применение криптографии
  29. 29. КАК ПРОВЕРЯЮТ? Плановые и внеплановые проверки Меры систематического контроля
  30. 30. КАК ПРОВЕРЯЮТ? Плановые и внеплановые проверки Меры систематического контроля Массовая проверка компаний по сегментам. Попасть может каждый
  31. 31. ОСНОВНЫЕ РИСКИ Штрафы - от 3.000 и до 300.000 рублей Запрет занимать руководящие должности Блокировка сайта
  32. 32. ГРЯДУЩИЕ РИСКИ
  33. 33. МИФ №3 Кому мы нужны? Мы маленькие, проверки к нам не придут О П Р О В Е Р Г Н У Т
  34. 34. МИФ №4 Мы легально собираем персональные данные на сайте, человек ставит галочку, что согласен на обработку своих данных
  35. 35. ФОРМА СОГЛАСИЯ КУРИЛЬЩИКА Даю согласие на обработку своих персональных данных
  36. 36. ФОРМА ЗДОРОВОГО ЧЕЛОВЕКА
  37. 37. СОГЛАСИЕ
  38. 38. МИФ №4 Мы легально собираем персональные данные на сайте, человек ставит галочку, что согласен на обработку своих данныхО П Р О В Е Р Г Н У Т
  39. 39. МИФ №5 Хостинг должен защищать персональные данные, которые обрабатываются на нашем сайте
  40. 40. ПОЧЕМУ ЖЕ? Хостинг должен защищать персональные данные, если вы ему их поручили на обработку
  41. 41. ПОЧЕМУ ЖЕ? Хостинг должен защищать персональные данные, если вы ему их поручили на обработку Вы же не говорите защищать персональные данные арендодателю?
  42. 42. ПОЧЕМУ ЖЕ? Хостинг = инфтраструктура Он не может знать и контролировать то, какие персональные данные вы обрабатываете на сайте, он просто предоставляет ресурсы.
  43. 43. МИФ №5 Хостинг должен защищать персональные данные, которые обрабатываются на нашем сайте О П Р О В Е Р Г Н У Т
  44. 44. ЛЕОНИД РАД, ЧТО ПОМОГ ВАМ
  45. 45. С ЧЕГО НАЧАТЬ? 1. Просчитайте свои риски
  46. 46. С ЧЕГО НАЧАТЬ? 1. Просчитайте свои риски Стоимость защиты информации не должна превышать стоимость информации
  47. 47. С ЧЕГО НАЧАТЬ? 2. Перенесите свой сайт и другие системы в Россию
  48. 48. С ЧЕГО НАЧАТЬ? 3. Подготовьте и разместите на сайте публичную оферту согласия на обработку и Политику в отношении обработки персональных данных
  49. 49. С ЧЕГО НАЧАТЬ? 4. Разработайте необходимый пакет внутренних документов
  50. 50. С ЧЕГО НАЧАТЬ? 4. Разработайте необходимый пакет внутренних документов Сейчас это сделать просто — поисковые системы и веб-сервисы дают такую возможность
  51. 51. СПАСИБО ЗА ВНИМАНИЕ Максим Лагутин +7 (926) 125-44-53 mlagutin@b-152.ru facebook.com/maxim.lagutin
  52. 52. ПОЛЕЗНЫЕ ССЫЛКИ b-152.ru/docs — список и описание всех внутренних документов по защите персональных данных pd-info.ru — ответы на вопросы по обработке персональных данных http://pd.rkn.gov.ru/law/p132/ — законодательство РФ по персональным данным https://b-152-events.timepad.ru/event/331515/ — публичный вебинар про хранение персональных данных в РФ

×