Николай Мисник
директор в РЭАЦ «Эксперт»
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Ростов-на-Дону
13 февраля 2020, Ростов-на-Дону, Россия
Код ИБ 2020 | Ростов-на-Дону
Запросить Q&A
Видеозапись
Актуальные вопросы применения законодательства о персональных данных
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
18
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

ещё раз добрый день самая сложная всегда это для меня это понять что успеть рассказать за 20 минут информации очень много И сегодня я хотел рассказать о том что произошло у нас совсем недавно в декабре в начале декабря У нас появился новый штраф за нарушение требований законодательства данных вот если про закон о персональных данных Я думаю уже слышали все кто слышал про закон о локализации персональных данных россиян которая в 2016 году у нас приняли Но примерно процентов 57 знаете закон был Ещё тогда весьма и весьма странен не изменилось А

сейчас сейчас только добавился штраф и вот кто может своими словами примерно сказать как он понимает что такое локализация персональных данных граждан РФ на территории Российской Федерации Я понимаю так что персональные данные граждан Российской Федерации должны храниться на серверах которые находятся на территории Российской Федерации принципе это верно но за исключением маленького но вот с пятью 1311 у нас добавились функция 1311 КоАП у нас добавились пункты 8 и всё нет ещё 10 так

вот что говорится в пункте 8 что невыполнение оператором при сборе персональных данных в том числе посредством телекоммуникационной сети предусмотренные законодательством РФ в области персональных данных обязанностей по обеспечению записи систематизации и накопления хранения уточнения или лечение персональных данных граждан РФ с использованием баз данных находящихся на территории РФ и вот самое главное что здесь нужно понимать что речь идет о моменте сбора персональных не Роскомнадзор и минкомсвязи сейчас не раскрывает конкретное Что

понимается под забором и на данный момент вообще когда этот законы в 2016 году планировалось что он это такая своеобразная пугалка для крупных мегакорпорации там иностранных чтобы они хранили база граждан у нас территории наших серверах но в итоге когда закон приняли и когда вот это вот в декабре приняли штраф в принципе видно что речь никаких крупных компаниях мелких компаниях речь Вообще обо всех компаниях в том числе есть примечание в котором сказано что за административные права предусмотренные частями 8 и 9 лица

осуществляющие предпринимательскую деятельность без образования юридического лица несут ответственность административную ответственность как юридические Что это значит что если у вас есть какой-нибудь интернет-магазин Евы ИП то вы тоже можете получить штраф сначала до 8 млн руб потом должен Точнее не до 8:00 А до 6 млн потом до 18:00 Какие в каких случаях вы можете нарушать этот закон Кто знает примерно каких случаях только ли о хранении даже скажу Нет по-другому что на самом деле

речь не о чистом хранение данных россиян речь именно о моменте сбора вот самый популярный такой случай пример если у вас сайт на зарубежном хостинге например и 2018 году таких сайтов было в Российской Федерации Ну процентов наверное 70 зарубежный хостинг он иногда дешевле и чаще просто качественнее и лучше И вот часто организации не обращали внимания даже где хостится их сайт и при этом какая-нибудь любая Элементарная форма сбора персональных данных на сайте Пусть это будет там записьнаприём или например кто-то

запросил у вас там любая форма сбора просто например Господи ну не знаю кто-то у вас на сайт зашёл У вас есть форма сбора например вас есть ссылка Свобода фирменное вы просите оставить email человека для того чтобы он это рассылку получал уже куча судебных решений где просто Да просто как бы адрес электронной почты а является персональными данными и соответственно Роскомнадзор за это наказывают за сбор персональных данных при определенных условиях до

которой осуществляется неправильно И вот готовить Сегодня я первый раз лет за 6 шестой год выступаю на КТВ думал о чем рассказывать и в итоге подумал а не предложить ли вам такой формат что вы будете задавать вопросы какие-то определённые которые касаются вашей определённой деятельностью вопросы по персональным данным это просто для примера А я был бы готов на них ответить потому что всегда обычно вопросов очень многое времени на них не хватает Есть ли у вас любые вопросы по персональным данным? Да пожалуйста

с учётом того того что вы вот совсем недавно сказали вот на предыдущем слайде вы говорили о сборе А вот я раньше встречал такую трактовку что ключевым является грубо говоря обработка персональных данных на территории Российской Федерации то есть то есть получается что грубо Я у меня есть форма сбора Она там на зарубежном хостинге но база данных куда это всё сохраняю она у меня и вот в предыдущем тексте там было написано в начале разбор а потом всё-таки что там хранение там накопление

изменения так всё-таки то есть это точно именно вот если у меня хостинг вот ту Модель которая писал это прямо подходит Смотрите смотрите речь слышна не слышно да речь о сборе персональных данных как бы так сказать сбор это один из видов сейчас секундочку Найду там здесь видите сборкой бы выделяют Что именно в момент сбора при сборе персональных данных То есть например у вас даже хостинг заруби Ну у вас есть форма для сбора данных на сайте и она данные из этой формы подают к вам в базу данных размещенных на территории равняться то есть они там частично попадают в эту форму потом

сохраняются в базе данных в РФ то есть они там кратковременно Вот я и говорю что здесь раздели Визбор Что именно в момент сбора персональных данных У нас есть определённые действия запись систематизацию накопление хранение уточнения вот если у вас hosting.ua непосредственно в нем форма сбора с которой данные попадают на территорию РФ сразу соответственно здесь к вам претензий никаких не будет потому что вы получается выполняйте Требования по локализации что главное доказать Да роском-надзору вообще есть

очень хорошая ссылка на сайте минкомсвязи есть Прямо раздел Если вы напишите там закон о локализации данных например то по-моему 1 первой ссылкой будет ссылка на сайт минкомсвязи в которой в на этой ссылке есть там порядка ответов на самые популярные вопросы там вот подряд Вы прямо списком вопросы все и Всем советую обратить внимание почитать потому что это очень много полезной информации но здесь например минкомсвязь отвечает так даже видеться довольно Странно

что понимается сбор персональных данных в контексте требований закона они пишут что 152 закон указанный термин не раскрывает в целях толкования по сбору персональных данных можно понимать документально оформить процедуру получения оператором от субъекта его его персональных данных для их последующей обработки в соответствующих заявленными целями сбора и вот примерно ответы все такие что закон не раскрывает примерно вы делаете Примерно вот так или не делайте Нет спасибо ещё можно маленький вопрос записи камер видеонаблюдения вот у нас есть там безопасники Установи

камеры и они там что-то куда-то пишут на определенный срок а вот эти данные как трактуется Роскомнадзор трактует их однозначно что если вы не используете данные с видеокамер для идентификации личности не собираетесь их Именно персональные данные с этих камер соответственно и это не информационная система персональных данных в соответствии пишется и пишется это уже изображение которые подпадают под требования Гражданского кодекса по идее нужно уведомить чк-6 изображение А если например произошло какой-то инцидент произошел произошла кража нужно провести

расследование выявить человека здесь уже Да уже есть элементы обработки данных Что необходимо выявить человека но это очень скажем так на тоненького советуют не учитывать записи видеонаблюдения как информационные системы персональных до всего большое скажите пожалуйста вот в рамках развития лицевого сейчас которой система разрабатывается как это можно внедрять Потому что сейчас в принципе это уже в тестовом режиме на тех или иных объектах есть как это можно увидеть законодательством чтобы не нарушить систему распознавания лиц это 100% геометрия Если

речь о сотрудниках то соответственно обязательно письменное Согласие сотрудника нужно собирать Если речь о клиентах тоже нужно письменно обязательное Согласие немножко детализирует Вот конкретно отель здесь например гости оставляет бронь например он к нам приезжает оставлять свои паспортные данные составляют соответственно фотография для этого требуется определенная форма его согласия на использование именно конкретно этой системы или это всё попадает под общей обработки персональных данных отдельной статьей 11 которая регламентирует

обработку биометрических данных говорит нам о том что биометрические данные мы можем работать только с письменного согласия человека поэтому обязательно брать отдельно и письменное согласие на это Да давай тебе передам. Спасибо Вопрос такой немножко касается данных ну немножко не вот этого конкретного случая то интересует такой момент у нас по законодательству есть несколько таких определений как автоматизированная система есть информационная система есть государственная информационная система вот ко всем этим системам

определены различные требования немножко Да есть письмо СТК которая разъясняем что так скажем уравнивает понятие автоматизированной системы информационной системы Но вот всё-таки есть получается у нас остаётся информационная система государственная информационная система и отдельным пунктом идет информационная система обработки данных в этом возникает такая так скажем, небольшая коллизия, особенно, Ну возникает такой момент, что мы должны оформлять документы на

государственную информационную систему по требованиям, потом оформляем документы отдельным пунктом на эту систему, как на ИЖ ПДН Ну ещё там, да, потому что они подают отдельно такой же комплект документов оформляем случае использовать средства скд, и они подпадают под отдельные требования отдельных законодательных актов, и так всё равно, что категории информации одна и та же информация, может быть и коммерческой тайной и персонально и государственные и врачебной и банковской тайной и

соответственно, Дагестан Я же давно указаны только там, ну, колонки местами FN документов больше, тем лучше. Он же сегодня сказали, поэтому это как-то более более систематизированным экранируется. Да нет, я не знаю, я не представители регулятора. Я не знаю планируется или нет, но, по-моему, бумажек только больше с каждым годом просто есть. да-да Ну это нужно конкретное публичный договор-оферта, если повесить на входе, Куда в поликлинику? на узнаете вопрос интересно потому что есть определённый случае

обработки данных и категории данных Например если там поликлиника это специально категории Да когда закон требует обязательной письменное Согласие и Роскомнадзор пойдет и спросит где Согласие Да оферта несогласия если обязательная письменная требуется законом соответственно должно быть Согласие Поэтому нужно выделить какой-то определенный случай Но вот в плане оферта на входе Это здесь ведется видеонаблюдение это Фета на входе видел Дальше можно повесить еще какие-то дополнительные пункты Для чего вы собираете данные пользователя

но если она не привязывает конкретно к людям то это не обработка персональных данных Но если она привязывает их к конкретным аккаунтам в социальных как это часто бывает к электронным адресом велика телефоном то это уже система обрабатывает уже информационные системы персональных данных безусловно если даже миллион судебных решений кстати в половине миллионов судебных решений будет сказано что это не персональные данные в другой высказано что-то говорит Роскомнадзор это

всё зависит от случая но по факту если сейчас у нас признают cookie-файлы персональными данными то уж телефон то это эта тема была известны случаи когда идёт в Яндекс утекло сообщений клиентов Мегафона робот Яндекса подхватил с сайта Мегафона сообщение которое можно было отправлять и очень большой скандал семейные Drom и так далее и тому подобное я был просто телефон без ничего больше если можно уточнение по поводу биометрии вот с девушкой единая спрашивала про фотографии на на

ресепшене бытность моей работы в роскомнадзоре мы фотографии не считали геометрии что-то изменилось я не говорил что я говорю если видео девушка спросила по поводу того видеозапись которая с системой распознавания лиц что касается фотографии естественно только одна фотография которая используется для идентификации человека тогда она будет биометрической просто фотография там на доске почёта фотография в паспорте они используются для таких целей где ещё хотел буквально одну секунду если Сергей мне позволит пробежаться по мы называем такой

В судебной практике Дело в том что вообще каждый год сотни интересных решений по персональным данным и моё любимое судебное решение когда медсестра поликлиники взяла документы на какие-то карточки пациентов и пошла с ними в Господи в уборную для использовала их не по назначению Да кто-то их нашёл из мусорника достал его Роскомнадзор внес и такой практике все больше и больше но вообще Если говорить о судебной практике то больше всего наказывают за отсутствие

политики на сайте это проще всего сделать если есть боль персональных данных на втором месте сейчас нас по количеству таких штраф и по суммам и по количеству это отсутствие письменного согласия когда она требуется законом Ну и вот есть ещё разные смешные Согласие чтобы смешные с тобой понимали что наказывает не только за это Но вот например человек проходил мимо мусорного контейнера возле головной пиццерии пицца венчур и обнаружил контейнера два использованных наряды на доставку пиццы с персональными данными клиентов чек не

поленился на подтвердил это фото материалом и видеозаписью отнёс в Роскомнадзор люди у нас педиатр штраф был 25000 руб. дальше без ссылок на конкретные судебное решение вчера просто куски Ну это за так это уже неинтересно секундочку вот 25000 руб. штраф за то что общем допустила несоблюдение условий обеспечивающих сохранность персональных данных на подоконнике окна возле входа в магазин расположен ящик для сбора квитанции станция показания об оплате жильцов дома и туда квитанции бросали это

просто был магазин который никакого отношения к управляющей компании не имел на 25.000 оштрафовали управляющую дальше пришли в организацию и в организации в сейфе хранились личные дела работников на День работников Я уже точно не помню ключ от сейфа находился в свободном доступе размещены на сейфе заискрились лежал на сейфе сотрудники роскомнадзора это зафиксировали непосредственно наказали ответственного сотрудника на 4.000 руб это тоже очень популярны сейчас штраф

получила письмо или эсэмэску на свой электронный адрес с каким-то рекламным предложением Согласен Это не давала Роскомнадзор 3.000 руб штраф десять sms-сообщение тоже 30010 Fila является лицом нарушил условия обработки персональных данных в мессенджере WhatsApp в группе правление дома опубликовала информацию об имеющемся долги за коммунальные услуги и парковочное место Что является опубликовал ФИО должника конкретную квартиру что являлось персональными данными соответственно зайца в виде предупреждения был наказан человек WhatsApp уже

фигурирует личное дело утилизировали в мусорный контейнер и она не была уничтожена в соответствии с требованиями законодательства да Это как Вот его нашли тоже организацию за это наказали правда как его искали непонятно на сайте местной газеты появилась статья что замглавы района на Колыме сел пьяный за руль сдал женщину сломал и кости в статье посвященной прекращение уголовного дела с указанием сведений о лице паспортных данных силы так далее То есть это практика она каждый год Пополняется новыми событиями будут вопросы Я здесь где-то часов до 5:00 ещё буду Спасибо за внимание

все ваши вопросы вы также можете направлять там на почту Мы всем отвечаем Спасибо но один вопрос есть возможность Николая задать если кто-то есть можете ещё успеть воспользоваться этим шансом да давайте а вон Микрофон как раз да я вижу я помню как-то года 4-5 назад обсуждалось пути лазейки Как можно уйти от ответственности по персональным данным одна из них очень было это все персональные данные фамилия имя отчество привязать каким-то там условным идентификатором а соответствие условно

идентификатора и ФИО хранить в какую-нибудь закрытой системе или как-нибудь алгоритмы делать чтобы поставлялась по мере необходимости вот тут места я вспомню этот алгоритм стало любопытно А сейчас если я условно говоря как-то маскирующую причём тогда вы напали методом предположим беру буквы заменяют на тройку букву Ч на четвёрку считается что охране процентами или я уже ушёл 152 за это очень тяжёлый вопрос на самом деле Потому что сейчас 1 обзор по поводу обезличивания постоянно какие-то комментарии выпускают и по факту Роскомнадзор Скажи что

если данные без личного листка от какой-то определенный Они же могут диабет лечится в этот определенный момент кто-то же может Где хранятся эти Ключи дай обезличивания или порядок обезличивание чем-то прописан или нет назначены ответственные лица там даже есть отдельные Господи как назывался в итоге уехала по работе а он сложно ответить потому что нужно подготовить большой комплект Это мой Skype чтобы он работал или как говорит Гомер Симпсон есть только один шанс это проверить да либо из дома либо скалы вместо вопроса Зачем

лечили данные для чего это уйти от чего чтобы не городить систему защиты персональных данных но при этом продолжать работать с ними достаточно комфортна для меня зачем городить системы защиты данных закон же требует закон требует штраф Там какой будет до 20000 руб. за отсутствие защиты технической защиты персональных данных это при том что если кому ещё вдруг придут проверять Хотя очень вряд ли потому что фстэк ФСБ проверяет государственные информационные системы в плане персональных данных то поэтому здесь надо больше

думать о том как вы где Разместили Согласие хранятся личные дела работников И что в них есть потому что там можно получить до штрафа там прилично уже или где локализованы ваши данные или нет а вот по поводу технической защиты этого очень хорошо Спасибо удовлетворён Давайте Вот ещё один вопрос и движемся дальше Кстати я вот просила представляться хоть каким-то вопрос задают сразу магнит Здравствуйте военный суд я хотел вас спросить у вас такой а в наше время много сервисов по поиску скажем

людей по фото в социальных сетях Я хотел бы спросить а сервисы которые ищут людей в социальных сетях и используют на фото человека их можно присудить за это дело то что они незаконно используют до сих пор длится это разбирательство между ВКонтакте i3 www.7ba.ru данных из соцсетей для коллекторских агентств соответственно в суд однозначно считает что данные ВКонтакте скажем так предоставлены людьми а пользователями ВКонтакте для того чтобы они размещались в контакте и больше ни Для чего то есть они

размещены ВКонтакте и сам ВКонтакте Их используют и люди Их используют для общения еще для чего-то вот использования этих данных сторонними организациями в коммерческих целях считается что ну как бы суд считает что это несправедливо Хотя в законе о персональных данных в шестой статье сказано что один из случаев обработки данных 6 статьи по-моему пункт 10 в нём говорится что на оператор может использовать персональные данные сделанные субъектом общий то есть по факту сервис эти данные законно собирают и обрабатывают но в итоге когда ВКонтакте вот

решила поругаться с Да был суд встал на сторону ВКонтакте потому что считается что цель обработки данных именно для размещения в соцсетях и для общения а не для того чтобы эти данные использовал кто-то еще но хороший судебной практики достигнут Как скажем так хороший понятный судебный ещё пока нет И тут как посмотрит суд и вот такой момент если вот человека Вот даже в нашем зале просто сфотографировали и то есть это фото размещена в социальных сетях и сделали запрос в каждом поиск социальной сети через сервис стоит

фотография сделана скажем не видит откуда-то именно сделано человеком то есть разрешение никто не давал и это фото залили сервис для поиска людей в социальных сетях по фотографиям То есть можно перетянуть понимаете тут уже действуют нормы статьи 152.1 ГК РФ по поводу изображения что изображения снятые в общедоступном месте время проведения кого-то мероприятия не требует согласия человек это изображение но по факту если очень сильно придираться по сто пятьдесят второму закону опять же говорю тут может быть очень различно судебная

практика интересная не понял законе о персональных данных очень интересно что конкретных ответов дать на всё невозможное

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Актуальные вопросы применения законодательства о персональных данных»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

21 июля 2020
Онлайн
20
154
безопасность персонала, взаимоднействие с бизнесом и командой, иб без бюджета, ибнужныпрофи, информационная безопасность, код иб, код иб профи, сервисная модель в иб, управление security operations, управление иб, управление инцидентами

Похожие доклады

Сергей Богатырев
Руководитель в Союз негосударственных служб безопасности
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Александр Кулик
Менеджер по работе с ключевыми клиентами в Falcongaze
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Антон Дедков
Руководитель проектов в SearchInform
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Актуальные вопросы применения законодательства о персональных данных»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно