Презентація координатора системи системі електроних закупівель Prozorro Кристини Гуцалової на семінарі у рамках Програми USAID "Лідерство в економічному врядуванні, що відбувся 04 серпня 2015 року у Київській школі економіки.
Відео семінару: https://youtu.be/NfqxnCwzpqw
Фабрика закупок - система размещения и поиска электронных заказовООО БТП
«Фабрика закупок» — это информационно-аналитический проект, который упрощает работу компаний, действующих в области государственных и коммерческих закупок. Пользователи «Фабрики закупок» получают доступ к автоматическому поиску, обработке и анализу информации о закупках. Организации получают обоснование начальной цены контракта, согласно Федеральным законам №44-ФЗ и №223-ФЗ, размещают заказы на поставку товаров, выполнение работ и оказание услуг для собственных нужд. Через программу пользователи заказывают электронные подписи для участия в торгах на электронных торговых площадках, сдачи отчетности в государственные органы и для иных сфер применения. http://fabrika-tender.ru/
Опыт аудита контрагентов, задействованных в работе с персональными даннымиAcribia
Совместный доклад компаний Лента и Акрибия об управлении рисками, обусловленными необходимостью вовлечения контрагентов в процессы обработки персональных данных программы лояльности.
Презентація координатора системи системі електроних закупівель Prozorro Кристини Гуцалової на семінарі у рамках Програми USAID "Лідерство в економічному врядуванні, що відбувся 04 серпня 2015 року у Київській школі економіки.
Відео семінару: https://youtu.be/NfqxnCwzpqw
Фабрика закупок - система размещения и поиска электронных заказовООО БТП
«Фабрика закупок» — это информационно-аналитический проект, который упрощает работу компаний, действующих в области государственных и коммерческих закупок. Пользователи «Фабрики закупок» получают доступ к автоматическому поиску, обработке и анализу информации о закупках. Организации получают обоснование начальной цены контракта, согласно Федеральным законам №44-ФЗ и №223-ФЗ, размещают заказы на поставку товаров, выполнение работ и оказание услуг для собственных нужд. Через программу пользователи заказывают электронные подписи для участия в торгах на электронных торговых площадках, сдачи отчетности в государственные органы и для иных сфер применения. http://fabrika-tender.ru/
Опыт аудита контрагентов, задействованных в работе с персональными даннымиAcribia
Совместный доклад компаний Лента и Акрибия об управлении рисками, обусловленными необходимостью вовлечения контрагентов в процессы обработки персональных данных программы лояльности.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
Анастасия Кузнецова, юрист, Ernst & Young.
Сессия: Учёт и право.
Конференция «Оптимизация бизнес-процессов межкорпоративного документооборота».
Организатор: ООО «КОРУС Консалтинг СНГ», http://www.esphere.ru/
Дата проведения: 24 апреля 2015 года, пятница
Место проведения: Санкт-Петербург, пл. Победы, д. 1, отель Park Inn by Radisson, Пулковская.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
Один из самых интересных и животрепещущих вопросов в теме персональных данных – как регуляторами на практике применяется 152-ФЗ и соответствующие подзаконные акты? Вопрос этот важный, ведь без ответа на него не удастся грамотно организовать процессы обработки и защиты персональных данных и достичь одной из ключевых задач Операторов ПДн – снижения рисков, связанных с претензиями регуляторов и субъектов ПДн. Поэтому темой очередного вебинара АО «ДиалогНаука» было решено сделать рассмотрение правоприменительной практики в области персональных данных.
Цель вебинара – аккумулировать опыт и знания, полученные АО «ДиалогНаука» в ходе:
- Реализации проектов по тематике ПДн, в том числе по сопровождению Заказчиков в ходе проверок;
- Анализа судебной практики в области ПДн и комментариев регуляторов;
- Участия в различных публичных мероприятиях.
Спикер: Илья Романов, CISA, CISM, Заместитель руководителя отдела консалтинга АО «ДиалогНаука»
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
Анастасия Кузнецова, юрист, Ernst & Young.
Сессия: Учёт и право.
Конференция «Оптимизация бизнес-процессов межкорпоративного документооборота».
Организатор: ООО «КОРУС Консалтинг СНГ», http://www.esphere.ru/
Дата проведения: 24 апреля 2015 года, пятница
Место проведения: Санкт-Петербург, пл. Победы, д. 1, отель Park Inn by Radisson, Пулковская.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
Докладчик Андрей Логвиненко — руководитель юридического отдела SupportYourApp и Label Your Data, специалист GDPR, CCPA и имплементации ІТ стандартов PCI DSS, ISO 27001.
В программе:
актуальность информационной безопасности в разработке искусственного интеллекта (случаи нарушений и их последствия);
датасеты и их легальное использование (сбор данных и использование датасетов);
правовые нормы в разработке моделей искусственного интеллекта (законные основания использования чужой модели и Federated learning);
что необходимо учитывать при аутсорсинге искусственного интеллекта и обработки данных.
Ознакомиться с деталями митапа: https://bit.ly/305mG7e
8 и 15 августа пройдет бесплатная Data Science fwdays'20 онлайн-конференция.
Участие бесплатно, но регистрация обязательна☝️
Узнать детали и зарегистрироваться: https://bit.ly/32gM7VO
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Защита персональных данных в Беларуси 2021Legaltax
15.11.2021 вступает в силу Закон о защите персональных данных в Беларуси.
Мы подготовили для Вас чек-лист для проверки, готов ли Ваш бизнес к изменениям законодательства в сфере защиты персональных данных.
1. Что регулирует новый Закон?
2. Какая ответственность за нарушение регулирования по защите персональных данных?
3. Как проверить, готова ли ваша компания работать по новому Закону?
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данныхUISGCON
Similar to Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y (20)
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного назначения: основные ценообразующие факторы и источники получения информации»
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного назначения: основные ценообразующие факторы и источники получения информации»
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Банковское обозрение
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для целей залога», предлагаемые национальной Ассоциацией оценочных компаний финансовых рынков»
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y
1. Новые требования Европейской Экономической Зоны
(European Economic Area)
в области обработки и защиты Персональных Данных
General Data Protection Regulation (GDPR)
Июнь 2017
2. Содержание
Развитие требований по обработке и защите персональных
данных в Европейском Союзе / ЕЕА
3
Основные термины 4
Ключевые аспекты GDPR 5-8
Внедрение GDPR в российских компаниях 9
Наши контакты 10
3. 3
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Развитие требований по обработке и защите
персональных данных в Европейском Союзе / ЕЕА
► 24 октября 1995 г была представлена Директива Европейского
Парламента и Совета Европейского Союза 95/46/ЕС «О защите
физических лиц при обработке персональных данных и о
свободном обращении таких данных» (Директива). Директива
определяла термин «персональные данные», а также
формулировала требования к сбору и обработке персональных
данных
► Развитие информационных технологий и переход бизнеса в
цифровое пространство потребовали пересмотра регуляторных
требований к обработке и защите персональных данных. Как
результат в 2016 г был выпущен General Data Protection
Regulation (GDPR), который заменит требования Директивы
95/46/ЕС
► Новое законодательство вступит в силу с 25 Мая 2018 г
4. 4
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Основные термины
Персональные данные
(ПДн)
Любая информация, относящаяся к идентифицированному или
идентифицируемому физического лица (субъект ПДн) (включая, IP-адрес)
Идентифицируемое
физическое лицо
Физическое лицо, которое может быть идентифицировано прямо или косвенно, в
частности с использованием идентификатора, например: имени,
идентификационного номера, данных о местоположении, онлайн-идентификатора;
или с использованием параметров, характеризующих данное физическое лицо с
физиологической, генетической, психологической, экономической, культурной или
социальной точки зрения
Обработка ПДн Любая операция или набор операций, выполняемых с ПДн или с набором ПДн как с
использованием средств автоматизации, так и без использования оных, включая:
сбор, запись, структурирование, хранение, адаптацию или изменение,
использование, распространение, ограничение, уничтожение
Контроллер ПДн Физическое или юридическое лицо, государственный орган, учреждение, которое в
одиночку или совместно с другими определяет цели и средства обработки ПДн
Оператор ПДн Физическое или юридическое лицо, государственный орган, учреждение, которое
обрабатывает ПДн по поручению контроллера ПДн
Псевдонимизация ПДн Обработка ПДн, при которой ПДн не могут быть отнесены к конкретному субъекту
ПДн без использования дополнительной информации, при условии, что такая
дополнительная информация хранится отдельно и защищена техническими и
организационными мерами, для того чтобы исключить ассоциацию ПДн с
идентифицированным или идентифицируемым физическим лицом
5. 5
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (1/4)
1. Штраф за несоответствие требованиям GDPR
► GDPR увеличивает максимальный штраф за несоответствие до 20 миллионов Евро или
4 % глобального годового оборота компании за предыдущий период (выбор в пользу
большей суммы)
► Наличие доказательств применения адекватных технических и организационных мер
по защите ПДн потенциально может быть учтено регулятором, что в свою очередь,
может повлиять на размер штрафа
2. Территориальное распространение
Требования GDPR будут применимы к операторам и процессорам ПДн, находящимся
внутри ЕЕА (European Economic Area == страны ЕС + Норвегия + Исландия +
Лихтенштейн), вне зависимости от места непосредственной обработки ПДн. Для
операторов ПДн, находящихся вне EEA, требования будут применимы в случае:
► Если оператор предлагает товары или услуги для граждан ЕС (в том числе на
безвозмездной основе)
► Если обработка ПДн выполняется с целью мониторинга действий владельцев
персональных данных, находящихся внутри ЕС
6. 6
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (2/4)
3. Единый надзорный орган в ЕС
► Согласно текущим требованиям контроллеры и операторы ПДн внутри ЕС должны
взаимодействовать с соответствующим локальным регулятором в каждой из 28 стран
ЕС
► Согласно GDPR 28 локальных регуляторов были объединены под эгидой единого
надзорного органа – для организации единого подхода по взаимодействию с
контроллерами и операторами ПДн
4. 72 часа на уведомление регулятора
► Контроллер и оператор ПДн должны уведомить регулятора в течение 72 часов с
момента обнаружения фактов нарушений в обработке или защите ПДн (в том числе
компрометации ПДн)
► Описание выявленных нарушений, потенциальные последствия, а также
компенсирующие меры по минимизации рисков должны быть задокументированы
► Своевременное уведомление регулятора в совокупности с детальным
документированием выявленных нарушений может повлиять на размер потенциального
штрафа (см. статью 83 GDPR)
► В случае если выявленные нарушения могут повлечь за собой реализацию рисков
относительно прав и свобод субъекта ПДн, контроллер и оператор ПДн должен
незамедлительно уведомить субъекта ПДн
7. 7
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (3/4)
5. Реестр процессов обработки ПДн
Контроллеры и процессоры обязаны* создать и поддерживать в актуальном состоянии реестр
процессов обработки ПДн, отражающий:
► Наименование и контактные данные контроллера/процессора, представителя
контроллера/процессора и DPO (data protection officer’а)
► Цель обработки ПДн (применимо к контролерам)
► Описание категорий субъектов ПДн, а также состав обрабатываемых ПДн
► Категории получателей (организации/физ. лица) соответствующих ПДн (включая трансграничную
передачу данных)
► Срок хранения ПДн
► Общее описание применяемых технических и организационных мер по защите ПДн
*Комментарий: GDPR предусматривает ряд исключений (п.5 Article 30)
6. Риск-ориентированный подход по организации защиты ПДн
► В рамках планирования и организации мер по защите GDPR требует проведения оценки
влияния процессов обработки ПДн на права и свободы владельцев ПДн (data protection
impact assessment – DPIA)
► В отдельных случаях, когда по мнению контроллера и/или оператора ПДн минимизация
выявленного уровня риска невозможна (в виду отсутствия соответствующих технологий на
рынке или чрезмерной стоимости внедрения подобных технологий), необходимо провести
консультации с регулятором до начала обработки соответствующих ПДн
8. 8
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (4/4)
7. Новые права владельцев ПДн
► Право «на забвение»
Субъект ПДн имеет право поручить контролеру ПДн удалить соответствующие ПДн, а
контролер ПДн обязан удалить соответствующие ПДн в случае:
► ПДн более не являются необходимыми для выполнения целей, в соответствие с которыми они
были собраны/обрабатывались
► Владелец ПДн отозвал согласие на обработку ПДн, при этом отсутствуют другие юридические
основания для обработки ПДн
► Незаконной обработки ПДн
► ПДн должны быть удалены в соответствие с требованиями законодательства ЕС или
соответствующих стран-членов ЕС
► Полный перечень условий см. в статье 17 GDPR
► Право на перенос ПДн между организациями-операторами:
Если обработка ПДн осуществляется при помощи средств автоматизации, субъект ПДн
имеет право на получение своих персональных данных в структурированном,
общепринятом и распознаваемом автоматизированными системами формате для
последующей передачи другому оператору ПДн. Данное право применяется в случае, если
обработка ПДн основывается на согласии субъекта ПДн или в рамках исполнения
договора.
9. 9
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Внедрение GDPR в российских компаниях
ИБ
Ю/ЕСЮ/РФ
РБП
GDPR
Оценка влияния требований GDPR на:
► Существующие процессы обработки
персональных данных
► Существующую систему информационной
безопасности
► Требования смежных
законодательных актов по
защите информации в ЕС
► Опыт юридического
сопровождения проектов по
GDPR
► Требования
законодательных актов по
ИБ и защите информации в
РФ
► Требования смежных
законодательных актов РФ
► Понимание индустриальной
специфики бизнес-процессов
► Выявление и описание
потоков персональных
данных, целей обработки,
сроков хранения и т.п.
► Встраивание функции по
управлению соответствием
требованиям GDPR в систему
риск-менеджмента
► Разработка и внедрение
контрольных процедур
10. Kонтакты
Николай Самодаев, CISA, MBCI
Партнер, Руководитель практики в области управления
информационными технологиями и ИТ-рисками
Тел: +7 (495) 755-9869
E-mail: Nikolay.Samodaev@ru.ey.com
Евгений Ким, CISA, ISO20000-1 LA
Старший менеджер, Отдел по управлению информационными
технологиями и ИТ-рисками
Тел: +7 (495) 705-9739
E-mail: Evgeny.A.Kim@ru.ey.com