zashchita personalnykh dannykh - voprosy i otvety
TRANSCRIPT
www.b-152.ru
Защита персональных данных: основные вопросы и ответы
Макс Лагутин Генеральный директор компании Б-152
Людмила Павлова Коммерческий директор компании TimePad
Вам подарки!
Всем участникам вебинара мы предоставляем скидку 6 000 рублей на годовую подписку на тариф «Базовый» при оплате до 19 марта
152-ФЗ
Кратко о законе
Сухая статистика
Закону более 5 лет
Проведено более 5000 плановых проверок
Собрано штрафов на 50 млн. рублей
Более 5 млн. операторов персональных данных
Средняя стоимость проекта по защите персональных данных в России – 540 тыс. рублей
Основные понятия закона
Персональные данные - это любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия , совершаемые с персональными данными
Обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение персональных данных
Требования закона
Аудит бизнес-процессов и систем
Подготовка документации
Полное соответствие
закону!
Обучение персонала
Техническая защита
Уведомление на обработку ПДн
Факты об уведомлении:
Роскомнадзор требует уведомление от каждой компании При изменениях сведений в уведомлении, необходимо отсылать новый с изменениями Назначьте ответственное за обработку персональных данных лицо или компанию Пока не указывайте класс информационных систем персональных данных
Необходимая документация
Более 30 внутренних документов – приказы, политики, положения, регламенты, инструкции, перечни, акты, модели угроз и технические задания В интернете всех документов не найти Правильно заполнить их отдельная проблема
Регуляторы
ФСБ России
Роскомнадзор
ФСТЭК России
Способы выполнить закон
Системные интеграторы – от 3 месяцев, от 200 тыс. рублей Собственный безопасник – от 5 месяцев, 150 тыс. рублей Заполнить документы самим – от 7 месяцев, много потраченного времени, нервов и денег Воспользоваться Б-152 – от 1 недели, 12 тыс. рублей в год
Сначала аудит и документы, остальное измениться в ближайшее время
Изменения в законодательстве
• Лицензия ФСТЭК больше не требуется Лицензии
• «Роскомнадзор» стал привлекать в качестве экспертов при проверках специалистов ФСБ, ФСТЭК и МВД Проверки
• Ответственность операторов персональных данных ужесточается. Штрафы от 50 до 500 тыс.руб. Ответственность
• Вводятся отраслевые стандарты по защите персональных данных для интернет-магазинов. Стандарты
• Европейский закон-прародитель кардинально изменился. Возросли штрафы: от 1 млн. евро до 2% общемирового оборота компании.
Евроконвенция
Ответственность
Могло быть и хуже
Ответственность за нарушение
Лица, виновные в нарушении требований настоящего Федерального Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность Дисциплинарная Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391 Административная Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2 Уголовная Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293.
Штрафы Тюрьма Закрытие бизнеса
500 000 руб 3 года Навсегда…
Кто уже попал?
Мегафон из-за утечки данных потерял около 50 тыс. абонентов
Закрыто более 200 интернет-магазинов и сайтов
Открыто несколько уголовных дел на директоров компаний
Каждая вторая компания попадает на штрафы при проверках
Что в других странах?
Евросоюз За утечку штрафы от 1 млн евро до 2% общемирового оборота компании США и Великобритания Штрафы за утечку начинаются от $ 1 млн
Украина Штрафы от 8 500 до 17 000 гривен
Инициирование проверок
Компания
Роскомнадзор Недовольный клиент
Советы при проверке Позвоните в Роскомнадзор и узнайте у них о предстоящей проверке Вас должны уведомить о предстоящей проверке не раньше, чем за 24 часа до ее начала Проверяющие в начале проверки должны представить соответствующий приказ Только лица, указанные в приказе, могут проводить проверку Проверяющие не имеют права брать за проведение проверки деньги В конце проверки вы должны получить акт о проведенной проверке Результаты проверки ВСЕГДА можно обжаловать в суде
Персональные данные в интернете
Повышение лояльности
Согласие на обработку в интернете
С каждого пользователя нужно брать согласие на обработку его персональных данных Можно вставить его в Пользовательское соглашение Согласием будет акцепт оферты (принятие оферты Пользовательского соглашения) при регистрации Если человек попросит удалить его персональные данные, то вы должны их удалить Хранение персональных данных под юрисдикцией другого закона
Политика Компании
На сайте должна быть размещена политика компании в отношении обработки персональных данных Политика может состоять из одного документа и нескольких Как правило, политика это отдельный документ Политика должна быть внутренним документом
Задавайте вопросы
Поговорим
Задавайте вопросы
Поговорим
Все ли попадают под закон? Да, практически каждая организация и предприниматель в России попадают под требования данного закона – все, кто обрабатывает (собирает, хранит, использует, изменяет, передает и т.д.) персональные данные работников, клиентов и контрагентов.
Необходимо ли отправлять уведомление в Роскомнадзор? И как часто? Позиция Роскомнадзора такова – что каждый предприниматель и компания, которая обрабатывает персональные, должна отправить ему уведомление о начале обработки персональных данных. При этом чем быстрее, тем лучше. Повторно отправлять нужно примерно раз в полгода-год, если данные, которые были указаны в нем, устарели или изменились.
Мы собираем лишь адреса электронной почты – являются ли они персональными данными? Исходя из формулировки закона, любая информация, которая может прямо или косвенно помочь установить личность человека, является персональными данными. Написав письмо на электронный адрес, мы с большей вероятностью получим ответ, в котором будет подпись, содержащая персональные данные лица, чтобы его определить.
Задавайте вопросы
Поговорим
Как быть, если я не компания, а индивидуальный предприниматель на дому с интернет-магазином? Для начала нужно при оформлении заказа, когда человек вводит свои персональные данные, брать с него согласие на обработку его персональных данных. Данный документ можно бесплатно подготовить с помощью нашего сервиса. После согласия уже можно думать о подготовке уведомления в Роскомнадзор и внутренних организационных документов.
Распространяется ли этот закон на общественные организации (база данных полная)? 152-ФЗ «О персональных данных распространяется в том числе на общественные, государственные и муниципальные предприятия.
Почему-то наш юрист считает, что уведомлять Роскомнадзор нам необязательно. Уточните , пожалуйста, в каких случаях предписан штраф? При неуведомлении также? За неуведомление Роскомнадзора предусмотрена административная ответственность (штраф 3-5 тыс. руб. для юр.лиц, 300-500 руб. для должностных лиц). Штраф предписывается тем компаниям, которые не отправили уведомление и не имеют информационного письма с обоснованием неуведомления.
Задавайте вопросы
Поговорим
Если сотрудник принят на работу после 11 июля 2011 года. Нужно ли брать с него согласие на обработку? Да, с него желательно взять согласие, т.к. его данные обрабатываются не только для исполнения ТК РФ, но и для оформления банковской карты, добровольного страхования и корпоративного обучения.
Можно ли хранить персональные данные в печатном виде? Да, персональные данные безусловно могут храниться в печатном виде. Хранение персональных данных на бумажных носителях регламентирует закон об архивном деле в РФ.
Если большая данных сотрудников прошлых лет, то ее нельзя хранить? Ее нужно хранить, т.к. этого требует закон об архивном деле в РФ.
Если общаешься с кандидатами, то как себя обезопасить от штрафов? Самое простое – брать с них согласие на обработку их персональных данных.
Задавайте вопросы
Поговорим
Как быть, если я не компания, а индивидуальный предприниматель на дому с интернет-магазином? Для начала нужно при оформлении заказа, когда человек вводит свои персональные данные, брать с него согласие на обработку его персональных данных. Данный документ можно бесплатно подготовить с помощью нашего сервиса. После согласия уже можно думать о подготовке уведомления в Роскомнадзор и внутренних организационных документов.
Распространяется ли этот закон на общественные организации (база данных полная)? 152-ФЗ «О персональных данных распространяется в том числе на общественные, государственные и муниципальные предприятия.
Почему-то наш юрист считает, что уведомлять Роскомнадзор нам необязательно. Уточните , пожалуйста, в каких случаях предписан штраф? При неуведомлении также? За неуведомление Роскомнадзора предусмотрена административная ответственность (штраф 3-5 тыс. руб. для юр.лиц, 300-500 руб. для должностных лиц). Штраф предписывается тем компаниям, которые не отправили уведомление и не имеют информационного письма с обоснованием неуведомления.
Задавайте вопросы
Поговорим
Мы занимаемся обучением, заключаем договор как с частными лицами, так и с юридическими. От юр. лиц идут сотрудники. Нужно ли с каждым участником от юр.лица подписывать согласие на обработку персональных данных? В данном случае, вы не будете брать согласия на обработку персональных данных с каждого сотрудника юр. лица, которое участвует в обучении. Это должно делать юр.лицо при трудоустройстве сотрудников.
А по поводу данных, собираемых компанией Таймпэд и хранящихся у нее - нужно ли нам предпринимать какие-то дополнительные действия? *Организовываем концерты и фестивали+ Т.к. согласия на участие на концертах и мероприятиях вы теперь можете собирать прямо из системы Таймпэд, то требуется уведомить Роскомнадзор и подготовить внутреннюю организационную документацию. Потом можно начинать думать и о технической защите. Мы, совместно с Таймпэд, разработали брошюру, вкратце объясняющую защиту персональных данных в компании.
Если организация большая и сотни подразделений в компании, то уведомляет каждое подразделение? Нет, уведомляет только сама организация – головная компания.
Задавайте вопросы
Поговорим
Здравствуйте, у меня компания - смс дневник. Из данных - телефон, имя, фамилия. Как я понимаю мы попадаем под защиту о персональных данных. Необходимо на каком этапе брать согласие? Берите согласие на этапе регистрации человека с системе. При регистрации человек соглашается с Пользовательским соглашением и всем, что в него входит. В пользовательское соглашение вставляется согласие на обработку. И все готово
Мы взяли контакт человека с интернет сайта. И передали его своим партнерам и теперь человек недоволен, что его персональные данные передали. Он себя размещал на работном сайте. Грозит подать в суд на нас. Мы можем предъявить страничку этого работного сайта, где взяли его данные, что нам грозит в случае суда? Данные человека общедоступны, раз в их нашли в свободном доступе. В таком случае правда на вашей стороне и вам ничего не грозит, т.к. к общедоступным данным имеют доступ ВСЕ.
Максим Лагутин Генеральный директор
компании Б152 [email protected] +7 (499) 372-0-152
www.b-152.ru
Спасибо за внимание!
Людмила Павлова Коммерческий директор
компании TimePad [email protected]
www.timepad.ru