Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Последние изменения в законодательстве по персональным данным

12 078 vues

Publié le

Обзор последних изменений (с лета 2015) в области законодательства по персональным данным, а также некоторые планы на будущее

Publié dans : Droit
  • Soyez le premier à commenter

Последние изменения в законодательстве по персональным данным

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Последние изменения законодательства о персональных данных Алексей Лукацкий Cisco Russia & CIS 8 October 2015
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Изменения по направлению ПДн Что было? • Приказ ФСТЭК №21 по защите ПДн в ИСПДн • Приказ об отмене «приказа трех» по классификации ИСПДн • Приказ и методичка РКН по обезличиванию • Закон 242-ФЗ о запрете хранения ПДн россиян за границей • Письмо Банка России 42-Т • Приказ ФСБ №378 по использованию СКЗИ для защиты ПДн • ПП-911 по отмене обязательного обезличивания Что могло быть? • Работа Межведомственного экспертного совета при Минкомсвязи по совершенствованию законодательства в области регулирования отношений, связанных с обработкой ПДн • Отраслевые модели угроз • Ратификация дополнительного протокола Евроконвенции (181) • Законопроект по ответственности за неуведомление о утечке ПДн • Законопроект по запрету отказа от предоставления услуг при отказе от дачи согласия на обработку ПДн • Поправки в ФЗ-242 Что есть и будет? • Законопроект Совета Федерации по внесению изменений в ФЗ-152 • Законопроект по внесению изменений в КоАП • Постановление Правительства по надзору в сфере ПДн • Выход РКН из под действия 294- ФЗ • Изменения в приказ №21 • Совет Европы примет новый вариант ЕвроКонвенции • Методичка ФСТЭК по моделированию угроз • Методичка ФСБ по моделированию угроз • Методичка РКН о порядке организации и осуществления контроля за обработкой ПДн • Постатейный комментарий РКН
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 Регуляторы хотят расширить понятие ПДн §  Советник Президента г-н Щеголев (бывший министра связи и массовых коммуникаций) 20 апреля предложил расширить толкование термина «персональные данные» и ужесточить требования к Интернет-сервисам §  Руководитель Роскомнадзора Александр Жаров назвал предложения Щеголева глубокими и содержательными, заявив, что его ведомство будет над ними работать вместе с Советом Федерации и Госдумой
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4 Что такое ПДн? Из разъяснений РКН §  Имя, фамилия и должность - ПДн Мнение РКН §  Имя и фамилия, а также идентификационный номер - ПДн Мнение РКН §  Имя, фамилия и email – не ПДн (без отчества) Мнение РКН §  Только фамилия, только email – не ПДн Мнение РКН §  Фамилия и имя, записанные латиницей – ПДн Мнение РКН
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Разъяснения РКН по поводу ФЗ-152 §  Постатейный комментарий к ФЗ-152, подготовленный сотрудниками РКН 176 страниц Продается за деньги – 265/100 рублей (бумажный/ электронный вариант) §  Теме ФЗ-242 внимания почти не уделено §  Некоторые разъяснения противоречат предыдущим разъяснениям РКН Данным при прежнем руководстве §  РКН не имеет права официально комментировать законодательство Но стоит обратить внимание на позицию регулятора, используемую при проверках
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Разъяснения РКН по поводу ФЗ-242 §  Портал, созданный РАЭК, для ответ на вопросы, касающиеся ФЗ-242 http://pd-info.ru Все ответы согласованы с РКН §  Некоторые разъяснения вызывают вопросы Например, деление операторов ПДн на первичных и иных §  Некоторые разъяснения противоречат друг другу Например, в одном гостиничным сервисам не требуется перенос в России, а в другом - требуется
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 А еще у нас есть третьи разъяснения J http://www.minsvyaz.ru/ru/personaldata/
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Правонарушение Нарушаемая статья законодательства Наказание для должностных лиц Наказание для юридических лиц Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей Незаконная обработка спецкатегорий ПДн Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей Неопубликование политики в области ПДн Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей Отказ в предоставлении информации субъекту Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей Отказ в уничтожении или блокировании ПДн Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей Нарушение правил хранения материальных носителей ПДн ПП-687 4-10 тысяч рублей 25-50 тысяч рублей Нарушение правил обезличивания (для госов) ПП-211 и приказ РКН №996 3-6 тысяч рублей Не предусмотрено Законопроект по штрафам завис на первом чтении §  Комитет по конституционному законодательству против (не хочет давать РКН дополнительные полномочия)
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Меры по защите ПДн: в 2016-м ждем новую редакцию Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации + •  Планы –  Унификация перечня защитных мер для всех трех приказов –  Выход на 2-хлетний цикл обновления приказов §  В 2016-м году будет готовиться вторая редакция 21-го приказа ФСТЭК §  Предполагается унифицировать набор защитных мер во всех 3-х приказах ФСТЭК по защите ГИС/МИС, ИСПДн и АСУ ТП
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Проект методики моделирования угроз ФСТЭК §  Методика определения угроз безопасности информации в информационных системах §  Распространяется на ГИС / МИС ИСПДн (рекомендательный характер) §  Не распространяется на угрозы СКЗИ и ПЭМИН §  Отменяет «методику определения актуальных угроз…» 2008-го года §  Применяется совместно с банком данных угроз ФСТЭК §  Будет принята осенью 2015-го года
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Методика моделирования угроз ФСБ §  Методика определения актуальных угроз безопасности ПДн в ИСПДн §  Предназначена только для органов власти, пишущих отраслевые модели угроз для подведомственных учреждений §  Ориентирована только на компетенцию ФСБ – СКЗИ §  СКЗИ обязательны при передаче ПДн по каналам связи §  Помните, что это всего лишь методические рекомендации
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Проект модели угроз ПДн Банка России §  Тип - Указание Банка России Обязательна для всех банков, действующих на территории РФ §  Согласована с ФСТЭК и ФСБ §  Вторая редакция Первая – 2013 год Модель угроз ПДн из РС 2.4 отменена в 2014-м году §  10 угроз безопасности ПДн 47 (21) - в первой редакции 88 – в РС 2.4 Угрозы НДВ (1-го и 2-го типа) оцениваются самим оператором ПДн Угрозы биометрическим и общедоступным ПДн не рассматриваются
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Законопроект РГ Совета Федерации: сдули пыль и… §  При этом депутат Левин (Глава комитета ГД по информационной политике) и Администрация Президента против данного законопроекта
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Вы не забыли про Конвенцию? §  Ратификация дополнительного протокола к конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации (ETS N 181) §  До конца 2015-го года (возможно) будет принята новая редакция Евроконвенции §  ФЗ-152 придется гармонизировать с Евроконвенцией Очередной виток изменений (серьезных) в законодательстве Если Россия не выйдет из Совета Европа
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Сюрприз от Управделами Президента §  Абсолютно непонятная НИР от Управделами Президента РФ по разработке предложений по повышению защищенности персональных данных Размещена 22-го июня
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 На что еще обратить внимание? §  Постановление Пленума Верховного Суда РФ от 23 июня 2015 года № 25 «О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации» Разъяснения по ряду вопросов, в том числе и о том, как правомерно можно использовать изображения гражданина, размещенные в сети Интернет, и когда для такого использования нужно и не нужно согласие изображенного лица http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=181602
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 Что еще будет в самом скором времени? §  Законопроект «О внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты РФ» (закон о «праве на забвение») §  Законопроект «О внесении изменений в КоАП (в части установления административной ответственности операторов поисковых систем)» (о наказании нарушителей права на забвение)
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 18© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. Надо ли применять СКЗИ для защиты ПДн?
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Применение СКЗИ регулируется приказом №378 ФСБ §  Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн §  Принят 10 июля 2014 года, вступил в силу с 28 сентября 2014 года §  СКЗИ применяются там, где такие требования вытекают из модели угроз (нарушителя) или технического задания
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Вы можете использовать сертифицированные СКЗИ §  В России разработано и предлагается немалое количество сертифицированных средств криптографической защиты информации (СКЗИ) §  Использование таких решений поможет поднять экономику России Стоимость таких устройств в десятки раз больше стоимость барреля нефти! Модуль Cisco RVPN (сертификат ФСБ по классам КС1/КС2/КС3) На модуле может работать ПО С-Терра СиЭсПи, Инфотекс, Фактор-ТС
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 А когда сертифицированных СКЗИ нет? §  Работа иностранных представительств §  Коммерческое IP-телевидение §  IP-видеонаблюдение §  Магистрали операторов связи §  Протоколы, отличные от Ethernet (iSCSI, FC) §  Технология Wi-Fi и стандарт 802.11i §  Стандарты мобильной связи 2.5G, 3G, LTE, WiMAX §  Чиповые карты международных платежных систем §  АСУ ТП §  Доступ из-за границы к Интернет-сайтам в РФ
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Конфиденциальность и шифрование Законы Конфиденциальность Шифрование НПА регуляторов =≠ Нормативно-правовые акты имеют вполне определенную иерархию и «читать» их надо не в любом порядке, а сверху вниз, от закона к приказам федеральных органов исполнительной власти!
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 ФЗ-152 требует не шифрования. И не только он §  Понятие конфиденциальности ПДн упоминают ст.6.3, ст.7 и 23.4 §  Согласно ст.7 под конфиденциальностью ПДн понимается обязанность операторами и иными лицами, получивших доступ к персональным данным: Не раскрывать ПДн третьим лицам Не распространять ПДн без согласия субъекта персональных данных Если иное не предусмотрено федеральным законом §  Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним… Ст.19
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Как обеспечить конфиденциальность ПДн? §  Получить согласие субъекта на передачу ПДн в открытом виде §  Сделать ПДн общедоступными §  Обеспечить контролируемую зону §  Использовать оптические каналы связи §  Использовать соответствующие механизмы защиты от НСД, исключая шифрование §  Переложить задачу обеспечения конфиденциальности на оператора связи §  Передавать в канал связи обезличенные данные §  Использовать СКЗИ для защиты ПДн
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Как поступают в органах по защите прав субъектов ПДн? §  Многие госорганы постулируют на своих сайтах защиту ПДн в соответствие с требованиями законодательства Без детализации И без СКЗИ §  Минкомсвязь и ФСТЭК
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Как поступает регулятор по защите ПДн? §  ФСБ на своем сайте требует указания полного спектра идентификационных данных, включая паспортные §  Никаких оговорок про выполнение требований законодательства §  Никакой защиты передаваемых данных §  Если это позволено регулятору в области защиты (и в частности шифрования) персональных данных, то почему это не позволено вам?
  27. 27. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27 Как поступают в органах по защите прав субъектов ПДн? §  РКН собирает персональные данные через форму обратной связи на своем сайте §  Стандартная оговорка о соблюдении законодательства в области персональных данных §  Никакой защиты передаваемых данных §  Если это позволено уполномоченному органу по защите прав субъектов персональных данных, то почему это не позволено вам?
  28. 28. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 28 §  РКН раньше на своем сайте, а портал госуслуг до сих пор вынуждает вас отказаться от конфиденциальности §  У вас есть выбор – или соглашаться, или не использовать соответствующий сервис §  Шифрование в таком случае не нужно Ответ Роскомнадзора Вы можете принудить субъекта отказаться от конфиденциальности его ПДн
  29. 29. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 29 А если сделать их общедоступными? §  РЖД делает регистрационные данные пользователей своего сайта общедоступными §  РКН не против §  Шифрование в таком случае не нужно
  30. 30. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 30 А где у вас проходит граница ИСПДн? §  Вы имеет полное право самостоятельно провести границы ИСПДн там, где считаете нужным §  Сеть Интернет может не входить в вашу ИСПДн §  Если это позволено Правительству, то почему не позволено вам? §  Шифрование в таком случае не нужно
  31. 31. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 31 Еще четыре сценария §  СКЗИ для защиты ПДн при передаче в канале связи должны применяться обязательно, если не будет доказано, что в канале связи невозможно осуществление несанкционированных воздействий на ПДн (из 378-го приказа ФСБ) §  Уровень защищенности канала связи и его способность обойтись без СКЗИ определяет лицензиат ФСТЭК Обезличивание • Обезличивание из персональных данных делает неперсональные • Они выпадают из под ФЗ-152 • Не требуется даже конфиденциальность Оператор связи • Оператор связи по закону «О связи» обязан обеспечивать тайну связи • Почему бы в договоре с оператором явно не прописать обязанность обеспечить конфиденциальность всех передаваемых данных, включая и ПДн Оптика • Снять информацию с оптического канала связи возможно, но непросто и недешево • Почему бы не зафиксировать в модели угроз соответствующую мысль Виртуальные сети • Для защиты от несанкционированного доступа на сетевом уровне могут применяться различные технологии; не только шифрование • Например, MPLS, обеспечивающая разграничение доступа
  32. 32. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 32 Резюме по применению СКЗИ для защиты ПДн §  Выбор способа обеспечения конфиденциальности персональных данных, а также конкретный способ их защиты от несанкционированного доступа и ознакомления определяет оператор персональных данных §  Подходите к вопросу творчески
  33. 33. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 33 33© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. ФЗ-242
  34. 34. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 34 Закон о запрете хранения ПДн россиян за границей §  Реализация положений ФЗ-242 «о запрете хранения ПДн россиян за границей» Базы ПДн, в которых происходит первичная регистрация и актуализация ПДн россиян, должны находится на территории РФ Хотя слова «только» в законе нет, по сути вводится апрет хранения за пределами РФ Наказание за нарушение Выведение РКН из под действия 294-ФЗ §  Вступил в силу с 1 сентября 2015 года Слухи о переносе сроков на 1 год не подтвердились §  Первые нарушители уже заблокированы Реальные нарушители, незаконно распространяющие ПДн с зарубежных сайтов
  35. 35. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 35 Потенциальные последствия за неисполнение ФЗ-242 §  Блокирование доступа к зарубежным ресурсам, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов) §  Блокирование доступа к зарубежным ресурсам и третьих фирм, в которых ведется обработка ПДн российских граждан (сотрудников и клиентов) §  Потенциальное снижение продаж решений и невозможность выполнения сервисных обязательств из-за потенциального блокирования основного сайта §  Репутационные риски §  Административная и уголовная ответственность отсутствует Однако есть ответственность за невыполнение предписания РКН по результатам надзорных мероприятий
  36. 36. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 36 Разъяснение Роскомнадзора: что такое база данных?
  37. 37. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 37 Разъяснение Роскомнадзора: запрет зеркал
  38. 38. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 38 Разъяснение Роскомнадзора: о «гражданстве» ПДн
  39. 39. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 39 Кого ФЗ-242 касается в первую очередь? §  Все иностранные компании, работающие в России §  Все иностранные компании, работающие для российских граждан В том числе облачные сервисы и арендуемые за рубежом ЦОДы §  Все российские компании, работающие за рубежом 1 2 3 ?
  40. 40. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 40 Зоны риска Google, Twitter, Facebook и иные Интернет-компании Американские и европейские компании Остальные иностранные компании Российские компании
  41. 41. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 41 Отдельные моменты обработки ПДн §  Электронная почта – не ИСПДн Мнение РКН §  Заказ авиабилетов не попадает под действие ФЗ-242 в связи с тем, что заказ авиабилетов регулируется международными договорами В отличие от бронирования гостиниц и автомобилей §  На базы данных, созданные до вступления в силу ФЗ-242, закон не распространяется Если они не актуализировались после вступления в силу ФЗ-242 §  Облачные провайдеры – не операторы, а обработчики ПДн Мнение РКН
  42. 42. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 42 Локализация баз данных – это не российская новация §  Локализация баз данных – это не российский прецедент Например, Вьетнам и ряд других стран §  Верховный европейский суд принял решение об отмене договора Совета Европы и США о хранении персональных данных европейских граждан на территории США Нас ждет интересное развитие событий
  43. 43. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 43 Локализация баз данных. Обратите внимание! §  В ФЗ-242 речь идет о первичном сборе, записи, систематизации, накоплении, хранении, уточнении, обновлении, изменении, извлечении ПДн, которые должны производиться на территории России Такие действия с ПДн, как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение могут производиться где угодно §  Изменения должны вноситься в БД на территории России §  База данных и приложение, обращающееся к ней – это разные сущности Приложение может быть где угодно §  На трансграничную передачу и доступ к ПДн из-за пределов России ограничений нет §  ПДн могут обрабатываться за пределами РФ, за исключением их сбора Неизменяемое зеркало
  44. 44. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 44 Закон о запрете хранения ПДн россиян за границей §  Обезличивание ПДн на территории России и передача обезличенных данных куда угодно Приказ РКН №996 §  Архивирование или шифрование ПДн на территории России и передача архивов куда угодно № субъекта № субъекта № субъекта ФИО Адрес … Адрес …ФИО
  45. 45. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 45 Самая простая часть ФЗ-242 уже реализована §  Роскомнадзор сформировал реестр нарушителей прав субъектов персональных данных §  В реестр будут вноситься все интернет- ресурсы, обрабатывающие персональные данные с нарушениями законодательства Включение компаний в реестр будет происходить по решению суда по искам, которые могут инициировать как сами субъекты персональных данных, так и Роскомнадзор, зафиксировавший нарушение Реестр заработал с 1 сентября §  Снимать блокировку будет РКН сам При действующем судебном решении (!)
  46. 46. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 46 Два приказа РКН в отношении нарушений ФЗ-242/ФЗ-152 §  Приказ РКН №85 от 22.07.2015 «Об утверждении формы заявления субъекта ПДн о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области ПДн» §  Приказ РКН №84 от 22.07.2015 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов ПДн с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов ПДн, оператором связи»
  47. 47. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 47 Изменение правил надзора §  Снижение числа проверок в отношении операторов персональных данных §  Переход на риск-ориентированную модель при проведении надзорных мероприятий После принятия соответствующего законопроекта Поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан, и на основе такой дифференциации планировать и проводить надзорные мероприятия §  Выход из под действия ФЗ-294
  48. 48. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 48 Готовится новое Постановление Правительства §  Контроль и надзор за соответствием обработки ПДн требованиям законодательства §  Явно исключается надзор в сфере надзора за выполнением организационных и технических мер защиты информации §  3 типа проверок Плановые Внеплановые Мероприятия систематического наблюдения §  Плановые и внеплановые проверки проводятся в форме документарных и выездных проверок Плановые проверки и мероприятия осуществляются на основе утвержденного плана, размещаемого на сайте РКН
  49. 49. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 49 Критерии формирования плана плановых проверок §  Трехлетний период с момента окончания последней плановой проверки §  Информация от госорганов, муниципалитетов и СМИ о нарушении §  Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн §  Непредставление информации РКН
  50. 50. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 50 Основания для внеплановых проверок §  Внеплановые проверки проводятся на основании решения руководителя (заместителя руководителя) РКН или его терорганов по следующим причинам: Истечение срока выданного предписания По доказательным обращениям граждан (требует согласования с прокуратурой) По причине непредоставления (неполного представления) информации оператором по запросу РКН Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов Поручение Президента или Правительства В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения Несоответствие сведений, указанных в уведомлении В случае неисполнения требования РКН об устранении выявленного нарушения На основании представления органа прокуратуры
  51. 51. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 51 Предмет проверки §  Деятельность оператора по обработке ПДн, осуществляемой с использованием или без использования средств автоматизации §  Документы и локальные акты §  Принятые операторов меры в соответствии со статьей 18.1 ФЗ-152 §  Исполнение государственными и муниципальными органами обязанностей, предусмотренных ФЗ-152 и подзаконными актами §  Содержания ИСПДн в части касающейся обработки ПДн
  52. 52. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 52 Уведомление о проверке Плановая •  Не позднее чем за 3 дня •  Почтовое отправление с уведомлением или иной доступный метод Внеплановая •  Не менее чем за 24 часа •  Любой доступный метод уведомления
  53. 53. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 53 Периодичность проведения проверок Не чаще одного раза в 2 года • Государственный орган • Муниципальный орган • Юридическое лицо Не чаще одного раза в 3 года • Индивидуальные предприниматели • Физические лица
  54. 54. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 54 Длительность проведения проверок Выездная • Не более 20-ти рабочих дней Документарная • Не более 60-ти рабочих дней §  Возможно продление указанного срока, но не более чем на 20 дней §  При осуществлении оператором деятельности на территории нескольких субъектов РФ, срок проведения проверок устанавливается отдельно по каждому филиалу, но общий срок проверки не может превышать 60 дней
  55. 55. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 55 Особенности проверок по проекту Постановления §  Мотивированный запрос на получение документов и локальных актов в части ПДн §  Приказ на проведение проверки §  Посещение любых помещений, исключая архивы и помещения с гостайной §  Право доступа к ИСПДн для оценки законности деятельности оператора §  Возможность привлечения аккредитованных экспертов и экспертных организаций Непонятно на каком основании посторонние эксперты будут получать доступ к ПДн
  56. 56. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 56 Об уведомлении с 1-го сентября §  Отдельные управления РКН требуют отправлять им информационное сообщение о месте нахождения баз данных с ПДн 7-я часть 22-й статьи ФЗ-152 говорит только о необходимости повторного уведомления всего в двух случаях - прекращении обработки ПДн и изменении сведений, указанных в ранее отправленном уведомлении §  Если раньше данные хранились в РФ Ничего не поменялось – отправлять ничего не нужно §  Если раньше данные хранились за пределами РФ В уведомлении ничего не поменялось – отправлять ничего не нужно §  Указывать версии и названия СУБД не нужно, как и адрес физического местонахождения А если у вас аутсорсинг, арендуемой ЦОД или облако, то как вы узнаете адрес?
  57. 57. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 57 Ответ РКН по части уведомления с 1-го сентября
  58. 58. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 58 Множество трактовок, связанных с геополитикой §  Несколько прямо противоположных трактовок ФЗ-242 федеральными органами исполнительной власти и органами власти (Минкомсвязь, Роскомнадзор, Администрация Президента) Все упомянутые органы власти не уполномочены трактовать законодательство При этом данные органы власти (например, Роскомнадзор или прокуратура) осуществляют контроль и надзор за выполнение данного законодательства и к их мнению стоит прислушиваться §  Один орган исполнительной власти может в разное время давать разные трактовки одних и тех же норм закона В зависимости от геополитической ситуации и смены руководство ФОИВ §  Мнение профессионального сообщества и экспертных групп при разработке данного закона услышано не было Органы власти прямо называют в качестве причины принятия данного закона геополитическую ситуацию
  59. 59. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 59 Возможные сценарии и ресурсы/риски, с ними связанные применительно к ФЗ-242 §  Органы контроля/надзора не понимают, как технически можно было бы реализовать запрет в случае использования VPN Ничего не делать •  Минимальные усилия •  Риски блокирования описанных ранее сервисов •  Репутационные риски Сделать на бумаге •  Усилия направлены только на создание большого количества бумаг •  Теоретически регулятор может выявить данный факт ИТ-трюки •  Обезличивание ПДн и архивирование ПДн позволяет передавать их и хранить где угодно •  Риски связаны с несогласием регуляторов с использованием данных трюков Создание промежуточных БД •  Средние усилия, связанные с переделкой части ИТ- систем, которые должны будут хранит ПДн на территории РФ и затем передавать их за рубеж •  Риски остаются только для сервисов, оказываемых третьими сторонами Перенос сервисов в Россию •  Максимальные усилия, связанные с полноценным созданием на территории РФ локального ЦОДа, который бы оказывал внутренние и внешние услуги компании и ее заказчикам •  Риски остаются только для сервисов, оказываемых третьими сторонами
  60. 60. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 60 Благодарю за внимание

×