Защита персональных данных, вводный вебинар

00:03 Введение
  • Наталья Саукова, специалист по защите персональных данных группы компаний «Астрал», приветствует участников вебинара.
  • Вебинар посвящён защите персональных данных и минимизации рисков.
  • Благодарность Уфимскому городскому фонду развития и поддержки малого предпринимательства за помощь в организации мероприятия.

00:52 Проблема утечек персональных данных

  • Рост количества утечек персональных данных граждан РФ.
  • Данные попадают в открытый доступ и используются злоумышленниками.
  • Примеры использования данных для оформления микрозаймов и других финансовых махинаций.

01:49 Примеры мошенничества

  • Оформление микрозаймов через сайты финансовых компаний с использованием сканов паспортов.
  • Оспаривание дел в суде и восстановление кредитной истории.
  • Трудности физических лиц в отстаивании своей правоты.
02:40 Электронные подписи и звонки мошенников
  • Оформление электронных подписей с использованием сканов паспортов и СНИЛС.
  • Использование электронных подписей для продажи и дарения жилого имущества.
  • Звонки мошенников, использующих социальную инженерию для оформления кредитов.

03:52 Примеры утечек

  • Утечки данных волгоградской сети аптек «Волга Фар», лаборатории «Сити Лап» и «Читай и города».
  • Попадание в открытый доступ ФИО, дат рождения, номеров мобильных телефонов, контактных данных и номеров банковских карт.

04:52 Факторы утечек

  • Основной фактор утечек — человек, а не программное обеспечение.
  • Незнание правил работы с персональными данными.
  • Лень и надежда на «авось пронесёт» как факторы утечек.
  • Продажа баз данных сотрудниками.

06:55 Микроутечки и их последствия

  • Пересылка персональных данных на домашние компьютеры сотрудников.
  • Взлом компьютеров сотрудников и публикация данных в открытом доступе.
  • Ответственность компании за последствия утечек.

08:47 Меры государства

  • Введение новых правил и требований по защите персональных данных.
  • Штрафы за нарушение правил обработки персональных данных.
  • Цель государства — предотвратить попадание данных в руки злоумышленников.

10:45 Виды нарушений и штрафы

  • Обработка персональных данных без согласия граждан.
  • Штрафы за отсутствие политики обработки персональных данных и её неопубликование.
  • Самый большой штраф за невыполнение обязанностей по обеспечению защиты данных — от 1 до 6 миллионов рублей.

11:42 Начало изменений

  • Необходимость изменения подхода к защите персональных данных в компаниях.
  • Важность разработки локальных нормативных актов ОРД для защиты персональных данных.
  • Пакет документов ОРД включает приказы, распоряжения, инструкции, журналы, регламенты и формы уведомлений.
13:05 Обязанности оператора персональных данных
  • Оператор персональных данных обязан разработать документы, назначить ответственных и разработать политику в области работы с персональными данными.
  • Незнание обязанностей не освобождает от штрафов.
  • Часто ответственные лица не знают, как правильно составить документы, что приводит к ошибкам.

14:00 Российские разработки для создания документов

  • Существуют российские разработки и программное обеспечение, которые помогают создавать документы правильно.
  • Конструкторы позволяют быстро сформировать полный комплект документов, включая приказы, акты оценки вреда, акты определения уровня защищённости и инструкции.
  • В комплекте около 40 документов, включая политику и правила обработки персональных данных.

14:57 Количество документов и информационные системы

  • При наличии нескольких информационных систем персональных данных необходимо разработать отдельные акты для каждой системы.
  • Конструкторы позволяют легко вносить изменения в созданные документы.

15:30 Документы для проверок

  • Локально-нормативные акты необходимы для прохождения проверок ФСБ и Роскомнадзора.
  • ФСБ проверяет работу с криптографией и персональными данными, запрашивая пакет документов.
  • Роскомнадзор может проверить любую коммерческую организацию.

16:30 Общий пакет документов

  • Пакет документов должен быть разработан на всю организацию, а не отдельно для каждого отдела.
  • Если у организации есть филиалы, в пакете описывается работа с персональными данными внутри них.
17:23 Подключение к сторонним системам
  • При подключении к сторонним информационным системам, например, медицинским, держатели систем могут запросить пакет документов ОРД.
  • ОРД описывают порядок поступления, хранения и уничтожения персональных данных, а также устанавливают уровень ответственности сотрудников.

18:12 Таблица штрафов и документов

  • Таблица показывает, какие документы описывают процессы и каких штрафов можно избежать.
  • Политика обработки персональных данных предотвращает штрафы за незаконную обработку данных.
  • Правила обработки персональных данных содержат формы согласия и помогают избежать штрафов от 30 до 150 тысяч рублей.

19:33 Переход к следующим темам

20:08 Определение персональных данных

  • Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу.
  • Ошибочное мнение: персональные данные — это только данные сотрудников или набор ФИО, паспортных данных и телефона.

21:26 Пример с именем и телефоном

  • Вопрос: являются ли имя и телефон персональными данными?
  • Ответ: совокупность имени и телефона является персональными данными.
  • Позиция Роскомнадзора: номер сотового телефона не является персональными данными, так как оператор может передать его другому лицу.

23:04 Оператор персональных данных

  • Многие юридические лица и индивидуальные предприниматели не считают себя операторами персональных данных.
  • С 1 сентября 2022 года понятие оператора персональных данных расширилось.
  • Исключения: работа с государственными информационными системами, обеспечение оборонзаказа и ещё одно исключение, которое пока не названо.
25:53 Цели обработки персональных данных
  • До февраля 2023 года требования к целям обработки персональных данных были размыты.
  • С февраля 2023 года цели должны быть конкретными, короткими и чётко сформулированными.
  • Примеры целей: ведение кадрового и бухгалтерского учёта, добровольное медицинское страхование, обеспечение пропускного режима.

30:25 Обязанности оператора

  • Необходимо проводить обучение сотрудников и знакомить их с документами под роспись.
  • Политика по обработке персональных данных должна быть донесена до каждого сотрудника.
  • Уведомление в Роскомнадзор подаётся после выполнения всех необходимых действий: издания документов, проведения оценки вреда, обучения сотрудников.

32:08 Корректирующее уведомление

  • Если уведомление подавалось до февраля 2023 года, необходимо подать корректирующее уведомление с учётом новых требований.
  • В новом уведомлении чётко прописываются цели сбора данных, субъекты персональных данных и категории персональных данных.

33:05 Мораторий на плановые проверки Роскомнадзора

  • До 2030 года Роскомнадзор не проводит плановые проверки операторов персональных данных.
  • Ранее на сайте Роскомнадзора публиковались списки плановых проверок.
  • Выборочные проверки сайтов проводятся в фоновом режиме без предупреждения.

34:04 Активная проверка сайтов Роскомнадзором

  • Сайты организаций активно проверяются Роскомнадзором.
  • Ошибки в работе с персональными данными на сайтах хорошо прослеживаются.
  • 90% сайтов не соответствуют требованиям Федерального закона №152.
35:04 Последствия проверок
  • При выявлении ошибок на сайте проверяются все отделы организации.
  • Правила защиты персональных данных должны соблюдаться во всей организации.
  • Пакет документов разрабатывается для всей организации, а не только для сайта.

36:01 Ручной и автоматизированный контроль

  • Сейчас проверки сайтов проводятся вручную.
  • В 2021 году Роскомнадзор объявил конкурс на разработку системы мониторинга.
  • Новая система позволит проверять более 500 тысяч сайтов в год.

36:45 Требования к хостингу сайта

  • Сайт должен размещаться на территории Российской Федерации.
  • Размещение сайта на зарубежных ресурсах может привести к штрафу от 1 до 6 миллионов рублей.

37:41 Проверка куки-баннеров

  • Роскомнадзор проверяет наличие куки-баннеров на сайтах.
  • Куки-баннеры — это всплывающие окна, запрашивающие согласие на обработку файлов куки.
  • Пример куки-баннера: окно с кнопкой «Согласен» или «Не согласен».

39:42 Куки-файлы и их использование

  • Куки-файлы собирают информацию о действиях пользователя на сайте.
  • Если на сайте используются куки, необходимо разместить баннер, предупреждающий о сборе данных.
  • Отсутствие баннера может привести к наказанию со стороны Роскомнадзора.
40:28 Проверка сайтов и сервисы веб-аналитики
  • Проверьте наличие куки-файлов на сайте.
  • Обратите внимание на использование сервисов веб-аналитики Яндекс.Метрика и Google Analytics.
  • В политике обработки персональных данных должно быть указано, что Яндекс.Метрика собирает данные пользователей.

41:13 Google Analytics и трансграничная передача данных

  • Если Google Analytics собирает персональные данные, это может быть расценено как трансграничная передача данных.
  • Данные граждан РФ не должны храниться на серверах в США.
  • За нарушение могут быть штрафы от 1 до 6 миллионов рублей.

43:24 Формы обратной связи и согласие на обработку данных

  • Под формами обратной связи должны быть ссылки на согласие на обработку персональных данных.
  • Политика по обработке данных не заменяет согласие пользователя.
  • Нарушение может привести к штрафам.

45:23 Политика обработки персональных данных

  • Политика должна быть доступна и составлена в соответствии с рекомендациями Роскомнадзора.
  • Необходимо указать конкретные условия хранения персональных данных, например, до закрытия организации или отзыва данных пользователем.
48:01 Основные нарушения по данным Роскомнадзора
  • Первое место: отсутствие согласия на обработку данных под формами обратной связи.
  • Второе место: отсутствие доступа к политике обработки данных или её неправильное составление.
  • Третье место: отсутствие куки-баннеров при активном использовании куки-файлов.

51:08 Уведомления в Роскомнадзор

  • Уведомление в Роскомнадзор необходимо даже если организация не внесена в реестр операторов персональных данных.
  • Отсутствие уведомления может привести к дополнительным штрафам.
  • Роскомнадзор оповещает о нарушениях через почту, указанную на сайте.

52:59 Реакция на уведомления

  • Сотрудники, получающие уведомления, должны знать, как реагировать на них.
  • Неправильное реагирование может привести к штрафам за несвоевременное устранение нарушений.

54:13 Хранение личных документов

  • Обсуждение права хранения личных документов с согласия на обработку персональных данных.
  • Различие между хранением на бумаге и в компьютере: 152-ФЗ регулирует работу с компьютерами, а не с бумагой.
  • Упоминание о необходимости дополнительных вопросов для уточнения ситуации.

55:56 Архивные дела и 152-ФЗ

  • Архивные дела не подпадают под действие 152-ФЗ.
  • В некоторых случаях согласие на обработку данных не требуется согласно трудовому и налоговому законодательству.
57:12 Риски утечки персональных данных
  • Отсутствие правил и документации увеличивает риски утечки персональных данных.
  • Разработка документации помогает провести аудит системы обработки данных и ограничить доступ к ним.
  • Уменьшение числа сотрудников с доступом к персональным данным снижает риски утечки.

58:11 Ответственность организации

  • Организация может столкнуться с дополнительными штрафами за неправильную работу с персональными данными.
  • Документы помогают донести до сотрудников требования законодательства и возложить на них ответственность.

01:00:04 Нарушения и ответственность операторов

  • Примеры нарушений: неправомерная трансграничная передача данных и передача данных третьим лицам без согласия.
  • Важность соблюдения требований законодательства для избежания штрафов.

01:01:51 Примеры нарушений

  • Нарушение требований при отправке сотрудников в командировки за границу.
  • Необходимость подписания согласия на передачу данных третьим лицам перед их передачей, например, в типографию или страховую организацию.
01:04:45 Виды согласий
  • Различие между согласиями на обработку, передачу третьим лицам и трансграничную передачу данных.
  • Подчёркивание важности знания, когда и какие согласия подписывать.

01:05:34 Политика оператора в отношении обработки персональных данных

  • Документ, определяющий политику оператора, должен быть опубликован на сайте.
  • Если сайта нет, документ можно распечатать и разместить в уголке потребителя.
  • Доступ к документу должен быть неограниченным.

01:06:25 Взаимодействие с клиентами

  • Клиенты могут отправлять данные по электронной почте, если в договоре прописаны условия работы с персональными данными.
  • Договор может заменить согласие на обработку персональных данных.

01:07:16 Нарушения при работе с документами

  • Документы с персональными данными не должны быть оставлены на столах в общественных местах.
  • Пример нарушения: документы с данными о бонусной системе в магазине.
  • Физические лица могут сфотографировать документы и подать жалобу в Роскомнадзор.

01:10:03 Нарушения с почтовыми извещениями

  • Почтовые извещения с персональными данными не должны быть в открытом доступе.
  • Персональные данные нужно хранить в закрытом помещении.

01:10:49 Риски проверок и штрафы

  • Штрафы за нарушения могут быть значительными.
  • Сайт организации должен быть в порядке для избежания штрафов.
  • Риски проверок могут исходить от конкурентов и сотрудников.
01:13:45 Примеры штрафов
  • Юридическое лицо оштрафовано на 60 тысяч рублей за размещение листовок с персональными данными вне помещения.
  • Должностное лицо оштрафовано на 100 тысяч рублей за неправильную обработку персональных данных.
  • Компания оштрафована на 4 миллиона рублей за использование Google Forms, так как данные сохранялись на серверах в США.

01:16:49 Рекомендации по минимизации рисков

  • Рекомендуется использовать альтернативные сервисы, например, Яндекс Формы, для минимизации рисков.
  • Важно следить за публикациями на сайте мировых судов для получения информации о делах.

01:17:51 Чек-лист для владельцев сайтов

  • Представлен чек-лист для владельцев сайтов с перечнем действий для поддержания их в идеальном состоянии.
  • Предлагается аудит сайтов для тех, кто не может самостоятельно провести проверку.

01:18:49 Запрещённые мессенджеры

  • Роскомнадзор опубликовал список запрещённых мессенджеров для работы с персональными данными физических лиц.
  • Мессенджеры запрещены для бизнес-аккаунтов и сбора персональных данных.

01:20:35 Штрафы за передачу персональных данных

  • Вступил в силу закон о штрафах за передачу персональных данных через запрещённые мессенджеры: от 350 до 700 тысяч рублей.
  • Штрафы касаются организаций, оказывающих государственные и муниципальные услуги, а также финансовых организаций.
  • Коммерческие компании могут использовать альтернативные методы сбора данных, например, через формы на сайте.
01:22:20 Интерес коммерческого бизнеса к защите персональных данных
  • Коммерческий бизнес пока мало интересуется защитой персональных данных, в отличие от бюджетных организаций.
  • Законодательство становится строже, и коммерческие организации должны уделять больше внимания защите данных.

01:23:18 Будущее банков персональных данных

  • Обсуждается создание банков персональных данных, из которых организации будут брать данные при определённых условиях.
  • Проверки коммерческих организаций становятся более строгими.

01:24:09 Принципы защиты персональных данных

  • Важно минимизировать сбор персональных данных, чтобы снизить риски утечек и штрафов.
  • Излишне собранные данные могут привести к штрафам.

01:24:58 Конструктор документов

  • Предлагается конструктор документов для разработки правильной документации.
  • Услуга доступна для заказа демонстрации.

01:25:57 Вопросы и ответы

  • Для личного использования мессенджеров запретов нет.
  • Персональные данные должны передаваться по защищённым каналам связи.
01:27:50 Благодарности и приглашение на мероприятия
  • Благодарность Уфимскому городскому фонду развития поддержки малого предпринимательства за организацию мероприятия.
  • Приглашение на мастер-классы и вебинары по аудиту сайтов и защите персональных данных.

01:30:12 Завершение

  • Подведение итогов мероприятия.
  • Пожелания удачи и хорошего дня.

Читайте также:

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять