Презентация Анастасии Федоровой, ведущего аналитика департамента информационных технологий КРОК
Семинар 2 июня 2015 года «Импортозамещение и перенос персональных данных в РФ» http://www.croc.ru/action/detail/56321/
Перенос персональных данных в РФ. Вопросы и ответы
1. 242-ФЗ Перенос персональных данных в РФ.
Вопросы и ответы
Анастасия Федорова
Ведущий аналитик направления информационной безопасности
Москва, 02.06.2015
5. 5
ОБЯЗАННОСТИ ОПЕРАТОРА
"5. При сборе ПДн <…> оператор обязан обеспечить запись,
систематизацию, накопление, хранение, уточнение,
извлечение ПДн граждан РФ с использованием БД,
находящихся на территории РФ, за исключением..."
6. 6
НА КАКИХ СУБЪЕКТОВ ПДН
РАСПРОСТРАНЯЮТСЯ НОВЫЕ ТРЕБОВАНИЯ?
I. Субъекты ПДн – Граждане РФ
7. 7
II. Определение действий с ПДн
• Запись
• Систематизация
• Накопление
• Хранение
• Уточнение
(обновление, изменение)
• Извлечение
ОБЯЗАТЕЛЬНО ДЕЛАЕМ ЭТО В РФ
8. 8
ТЕ САМЫЕ ИСКЛЮЧЕНИЯ
Обработка осуществляется:
• согласно международному договору РФ или закону
• для исполнение судебного акта
• для исполнения полномочий ФОИВ, ИОГВ субъектов РФ…
• для осуществления профессиональной деятельности журналиста, СМИ,…
10. 10
Ст.12 ФЗ-152:
РАЗРЕШЕНИЕ ТРАНСГРАНИЧНОЙ ПЕРЕДАЧИ
С СОГЛАСИЯ БЕЗ СОГЛАСИЯ
• Страна с адекватной защитой ПДн
• Международный договор РФ
• Исполнение договора с субъектом
• ФЗ для защиты и безопасности
государства
• Защита жизни и здоровья субъекта
ПДн
11. 11
• Россия
• Австрия
• Бельгия
• Германия
• Испания
• Италия
• Нидерланды
• Норвегия
• Польша
• и др.
• Австралия
• Аргентина
• Израиль
• Канада
• Марокко
• Малайзия
• Мексика
• Монголия
• и др.
СТРАНЫ ДЛЯ ПЕРЕДАЧИ ПДН БЕЗ СОГЛАСИЯ
Страны + Конвенция совета
Европы
Страны с адекватной
защитой субъектов
ПДн
12. 12
ВНОСИМ ИЗМЕНЕНИЕ В УВЕДОМЛЕНИЕ
2) часть 3 статьи 22 дополнить пунктом 10.1 следующего
содержания:
"10.1) сведения о месте нахождения БД, содержащей ПДн
граждан РФ;"
17. 17
КОНТРОЛЬ И НАДЗОР
Чего ожидать с 1 сентября
2015 года?
Проект ПП РФ «Положение
о государственном контроля
и надзоре за соответствием
обработки ПДн требованиям
законодательства РФ»
18. 18
ВИДЫ НАДЗОРА И КОНТРОЛЯ
Контроль и надзор
Проверки Мероприятия по систематическому
наблюдению
19. 19
СТАТИСТИКА ПРОВЕРОК РКН И ИХ РЕЗУЛЬТАТОВ
2010 2011 2012 2013 2014
804
1440
874
1801
743
449
791
663
617
184
плановые внеплановые
2010 2011 2012 2013 2014
4,45
7,9
8,68
6,5
9,926млн. руб
количество проверок сумма административных взысканий
20. 20
СИСТЕМАТИЧЕСКИЕ НАБЛЮДЕНИЯ
Будут проводиться:
«… в целях предупреждения, выявления,
прогнозирования и пресечения нарушений
законодательства»
«…в отношении операторов ПДн, без взаимодействия с
ними»
«…на основании Плана деятельности, размещенного в
Интернет»
21. 21
Условия для проведения (п.7, 8 ПП):
1. Истечение срока исполнения предписания
2. Обращения граждан (требует согласования с органами прокуратуры)
3. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения законодательства
4. Поручения Президента и Правительства РФ
5. Нарушения по итогам систематического наблюдения
6. Несоответствие сведений, содержащихся в уведомлении, фактической
деятельности
7. Неисполнение требований РКН об устранении нарушения
8. На основании требования прокуратуры
ВНЕПЛАНОВЫЕ ПРОВЕРКИ
23. 23
ПЛАНОВЫЕ ПРОВЕРКИ
Критерии включения в план проверок:
1. Трехлетний период с момента окончания проведения последней
плановой проверки
2. Информация от ОГВ, ОМСУ и СМИ о фактах нарушения
законодательства, и результаты систематического наблюдения
3. Обработка ПДн значительного числа субъектов ПДн/ биометрии /
специальных категорий ПДн
4. Непредставление информации, в том числе уведомительного
характера в соответствии с ФЗ-152
24. 24
• Юр. лица – не чаще 1 раза в 2 года
• Физ. лица – 1 раз в 3 года
ПЕРИОДИЧНОСТЬ И УВЕДОМЛЕНИЯ
О ПРОВЕРКАХ
ВЫЕЗДНАЯ
не позднее чем
в течение трех
рабочих дней
ДОКУМЕНТАРНАЯ
не менее чем
за двадцать четыре
часа
25. 25
Тип проверки Срок
проведения
Срок доп.
продления
Общий срок
для филиалов
Выездная Не более 21
рабочих дня
Не более 20
рабочих дней
Не более 60 рабочих
дней
Документарная Не более 60
рабочих дней
СРОКИ ПРОВЕДЕНИЯ ПРОВЕРОК
27. 27
ИЗМЕНЕНИЯ В КОАП
Повышение штрафов
ФЗ РФ «О внесении изменений
в Кодекс РФ
об административных
правонарушениях»
Ст.13.11
28. 28
• юр. лица до 50 тыс. руб.
Несоответствие согласия
на обработку ПДн требованиям
законодательства
• юр. лица до 50 тыс. руб.Обработка ПДн без согласия
• юр. лица – до 300 тыс. руб.Обработка спец. категорий ПДн
без законного основания
• юр. лица до 30 тыс. руб.Не опубликование политики
в отношении ПДн
ИЗМЕНЕНИЯ В КОАП
Выделено 8 составов правонарушений, среди которых:
30. 30
• Появился черный список нарушителей прав субъектов ПДн
• Появились систематические наблюдения за операторами
• Увеличились штрафы за нарушения обработки ПДн
• Участились проверки РКН и расширились основания
ИТОГИ: ЧТО НОВОГО!?
31. 31
• Полностью перенести БД с ПДн в РФ
• Перенести БД с ПДн в РФ и организовать «трансграничку»
• Оставить все, как есть и попасть в черный список
ВОЗМОЖНЫЕ СТРАТЕГИИ
32. 32
• Собираем ПДн граждан РФ в любых объемах
• Реорганизовываем Б/П, ИТ-инфраструктуру
• Сохраняем/изменяем ПДн в БД на территории РФ
• Обеспечиваем «правильную» защиту этой БД (ИСПДн)
• Передаем ПДн из этой БД трансгранично
• Не забываем про сбор согласий, если они необходимы
• Вносим изменения в уведомление на сайте РКН
• И помним: приоритет 242-ФЗ – ДОСТУПНОСТЬ
ВЫВОДЫ
33. 33
СПАСИБО ЗА ВНИМАНИЕ!
Анастасия Федорова
Ведущий аналитик ДИТ
111033, Москва, ул. Волочаевская, д.5, корп.1
+7 (495) 974 2274, +7 (495) 974 2277 (факс)
AFedorova@croc.ru
www.croc.ru