Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / Максим Лагутин (Б-152, SiteSecure)
1. Мифы, проблемы и решения
вопросов работы c персональными
данными на сайтах
Максим Лагутин, b-152.ru / sitesecure.ru
2. МАКСИМ ЛАГУТИН
6 лет опыта по защите персональных данных
3 года в web-security
топ-эксперт Института Развития Интернета
куратор кафедры «Информационная
безопасность» в МАМИ
3. ЦЕЛЬ МОЕГО ДОКЛАДА
Дать необходимое понимание
ситуации с практикой применения
закона.
Чтобы вы понимали основные
риски и ориентировались в
дальнейших действиях.
4. ЗНАКОМЬТЕСЬ - ЭТО ЛЕОНИД
Он знает, что его компания
и сайт соответствуют закону
№152-ФЗ «О персональных
данных»
5. Точнее знал…
ЗНАКОМЬТЕСЬ - ЭТО ЛЕОНИД
Он знает, что его компания
и сайт соответствуют закону
№152-ФЗ «О персональных
данных»
12. ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
- ФИО
- контактные данные
- паспортные данные
- ИНН
- гражданство
- адрес
- сведения об аккаунтах в социальных сетях
- места работы и занимаемые должности и т.д.
13.
14. КОМУ ОНИ МОГУТ ПРИНАДЛЕЖАТЬ?
Работникам
Родственникам работников
Кандидатам на вакантную должность
Физическим лицам, работающим по договору ГПХ
Представителям контрагентов
Клиентам, являющимся физическими лицами
Обратившимся через форму обратной связи
и т.д.
15. МИФ №1
МЫ НЕ ОБРАБАТЫВАЕМ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
О
П
Р
О
В
Е
Р
Г Н
У
Т
16. МИФ №2
Мы не подали Уведомление в
Роскомнадзор, поэтому не
являемся операторами
персональных данных и не
попадаем под закон
17. КОГО КАСАЕТСЯ ЗАКОН?
Юр.лиц, ИП, бюджетных
организаций, обрабатывающи
персональные данные и ставящие
цели их обработки.
Таких называют операторами
персональных данных.
19. Если кратко, то:
- подготовить документы по персональным данным
- назначить ответственных лиц
ЧТО ТРЕБУЕТ ЗАКОН?
20. ЧТО ТРЕБУЕТ ЗАКОН?
Если кратко, то:
- подготовить документы по персональным данным
- назначить ответственных лиц
- локализовать базы данных в России
21. ЧТО ТРЕБУЕТ ЗАКОН?
Если кратко, то:
- подготовить документы по персональным данным
- назначить ответственных лиц
- локализовать базы данных в России
- определить уровни защищенности персональных данных
22. Если кратко, то:
- подготовить документы по персональным данным
- назначить ответственных лиц
- локализовать базы данных в России
- определить уровни защищенности персональных данных
- принять меры защиты
ЧТО ТРЕБУЕТ ЗАКОН?
23. Если кратко, то:
- подготовить документы по персональным данным
- назначить ответственных лиц
- локализовать базы данных в России
- определить уровни защищенности персональных данных
- принять меры защиты
- подать Уведомление в Роскомнадзор
ЧТО ТРЕБУЕТ ЗАКОН?
24. ЧТО ТРЕБУЕТ ЗАКОН?
Если кратко, то:
- подготовить документы по персональным данным
- назначить ответственных лиц
- локализовать базы данных в России
- определить уровни защищенности персональных данных
- принять меры защиты
- подать Уведомление в Роскомнадзор
- законно обрабатывать персональные данные
25. ЧУТЬ НЕ ЗАБЫЛ
Издать Политику в отношении
обработки персональных данных и
её опубликовать в общем доступе
на сайте и разместить в офисах
организации
26. МИФ №2
Мы не подавали Уведомление
в Роскомнадзор, поэтому не
являемся операторами
персональных данных и не
попадаем под законО
П
Р
О
В
Е
Р
Г Н
У
Т
27. МИФ №3
Кому мы нужны?
Мы маленькие, проверки к нам
не придут
44. ПОЧЕМУ ЖЕ?
Хостинг должен защищать персональные
данные, если вы ему их поручили на
обработку
Вы же не говорите защищать персональные
данные арендодателю?
45. ПОЧЕМУ ЖЕ?
Хостинг = инфтраструктура
Он не может знать и контролировать то,
какие персональные данные вы
обрабатываете на сайте, он просто
предоставляет ресурсы.
46. МИФ №5
Хостинг должен защищать
персональные данные,
которые обрабатываются на
нашем сайте
О
П
Р
О
В
Е
Р
Г Н
У
Т
51. С ЧЕГО НАЧАТЬ?
3. Подготовьте и разместите на сайте
публичную оферту согласия на обработку и
Политику в отношении обработки
персональных данных
52. С ЧЕГО НАЧАТЬ?
4. Разработайте необходимый пакет
внутренних документов
53. С ЧЕГО НАЧАТЬ?
4. Разработайте необходимый пакет
внутренних документов
Сейчас это сделать просто — поисковые
системы и веб-сервисы дают такую
возможность
55. ПОЛЕЗНЫЕ ССЫЛКИ
b-152.ru/docs — список и описание всех внутренних
документов по защите персональных данных
pd-info.ru — ответы на вопросы по обработке персональных
данных
http://pd.rkn.gov.ru/law/p132/ — законодательство РФ по
персональным данным
https://b-152-events.timepad.ru/event/331515/ — публичный
вебинар про хранение персональных данных в РФ