Форум доступен по адресам:
Police-Russia.ru
Police-Russia.com

Рейтинг@Mail.ru


Вернуться   Форум сотрудников МВД > Правоохранительная деятельность вне МВД > СБ предприятий и банков

СБ предприятий и банков СБ предприятий и банков

Ответ
 
Опции темы Опции просмотра
Старый 02.10.2018, 10:04   #1
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Сводная тема по обработке ПДн

С учётом того, что в последнее время данной теме уделяется повышенное внимание, а штрафные санкции, например за нарушение положения GDPR варьируются в районе млн. евро, то актуальность данной темы безусловно высока.
Итак, рекомендую одного из лучших специалистов по теме ПДн - Наталья Храмцовская и её блог: https://rusrim.blogspot.com/2018/09/blog-post_30.html
Цитата:
Судебная практика: Обработка персональных данных в случаях, не предусмотренных законодательством


Исторически разработка и принятие в мире законодательства, регламентирующего порядок обработки персональных данных (ПДн), в первую очередь были связаны (по крайней мере, первоначально) с необходимостью ограничить «аппетиты» органов государственной власти в части обработки ПДн и объединения сведений из различных баз данных. Об этом время от времени напоминает и судебная практика.

Судья Верховного Суда Республики Саха (Якутия) вынес в декабре 2017 года решение по делу № 7/2-580/17 об административном правонарушении, предусмотренном ч.1 ст.13.11 КоАП РФ, в отношении Управления Федеральной налоговой службы России по Республике Саха (Якутия).

Суть спора

В декабре 2015 года решением Арбитражного суда Республики Саха (Якутия) организация была признана несостоятельной (банкротом), и в отношении неё была открыта процедура конкурсного производства и назначен конкурсный управляющий.

Управлением Федеральной налоговой службы по Республике Саха (Якутия) (УФНС по РС(Я)) было установлено, что арбитражным управляющим было допущено нарушение законодательства о банкротстве, выразившееся в заключении сделки с гражданином, с признаками заинтересованности, без согласия собрания кредиторов.

В феврале 2017 года в целях сбора доказательств родства конкурсного управляющего и гражданина УФНС направило запрос в Управление записи актов гражданского состояния при правительстве республики о представлении соответствующих сведений.

Именно этот запрос стал поводом обращения гражданина в Роскомнадзор. В июле 2017 года определением Управления Роскомнадзора по РС (Я) было отказано в возбуждении дела об административном правонарушении, предусмотренном ст.13.11 КоАП РФ в отношении УФНС.
Для справки: В соответствии с ч.1 ст.13.11 КоАП РФ, обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, влечет штраф на должностных лиц в размере от 5 до 10 тысяч рублей.

В соответствии с ч.1 ст.4.5 КоАП РФ, срок давности привлечения к административной ответственности за совершение административного правонарушения, предусмотренного ст.13.11 названного Кодекса, составляет три месяца.
Соответственно, срок давности привлечения УФНС к административной ответственности в данном случае истек в мае 2017 года.

В октябре 2017 года Якутским городским судом (дело № 12-1635/2017) было вынесено решение об истечении срока давности, с которым гражданин не согласился и обратился с жалобой в Верховный Суд Республики Саха (Якутия).

Судья Верховного Суда Республики Саха (Якутия) в декабре 2017 года оставил без изменения решение Якутского городского суда Республики Саха (Якутия), а жалобу гражданина - без удовлетворения.

Мой комментарий: Срок исковой давности - сроком исковой давности, но меня интересует вопрос, так имела ли ФНС право запросить интересующие её данные о родстве в органах ЗАГС, или же нет?

Замечу, что проблему создает характерный для «континентального» (в т.ч. российского) права принцип «можно делать только то. что явным образом разрешено». Все возможные ситуации в законе не перечислишь, и полноценного прецедентного права у нас тоже нет. В странах англосаксонского права применяется более гибкий подход, когда суд, например, может установить, что обработка ПДн в конкретной ситуации осуществлялась в общественных интересах, пересиливающих интересы частных лиц, и потому правомерно.
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Рекламное место

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 03.10.2018, 12:36   #2
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендую почитать этот материал, написанный моим ФБ знакомым и Коллегой по направлению деятельности:
Цитата:
Автор: Чернокальцев Дмитрий Адвокат, Санкт-Петербургская коллегия адвокатов им. Ф.Н. Плевако Санкт-Петербургская коллегия адвокатов им. Ф.Н. Плевако
Источник: https://www.dirklinik.ru/article/320...yh-i-kachestvo
Любое использование материалов допускается только при наличии гиперссылки.
Итак:
Цитата:
Юридические аспекты создания сайта клиники: обработка персональных данных и качество контента.

Сайт клиники может быть источником не только пациентов, но и немалых проблем. По моим подсчетам, непредвиденные расходы на несерьезное отношение к качеству контента, размещенного на сайте клиники, могут составить от 10 000 до 5 000 000 рублей. Чаще всего сложности возникают при обработке персональных данных, однако это не единственный момент, на который нужно обратить внимание. Разбираемся, что должно быть на сайте медицинской организации. Риски, связанные с размещением обязательной информации на сайте клиники Сайт клиники или любой другой медорганизации, которая оказывает платные медицинские услуги, должен содержать определенную законами и подзаконными нормативными актами информацию. Эту обязательную информацию условно можно условно поделить на три блока. Первый блок. Персональные данные пользователей сайта клиники Закон о персональных данных предписывает операторам персональных данных, а это в первую очередь администраторы сайтов (то есть в нашем случае медицинские организации) публиковать или иным способом обеспечивать неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных на сайте клиники.

...
Источник: https://www.dirklinik.ru/article/320...yh-i-kachestvo
Любое использование материалов допускается только при наличии гиперссылки.
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 14.10.2018, 00:23   #3
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендуется:
Цитата:
В российском законодательстве о персональных данных одним из самых запутанных, с моей точки зрения, является вопрос о получении у сотрудников согласия на обработку персональных данных. Отмечу, что по общим нормам его получать не нужно, однако существует огромное количество ситуаций, в которых его получение становится обязательным.

Санкт-Петербургский городской суд в июне 2018 года рассмотрел дело №4а-763/18, в котором общество ООО «Филберт» обжаловало постановление мирового судьи судебного участка № 69 Санкт-Петербурга и решение судьи Кировского районного суда Санкт-Петербурга по делу об административном правонарушении, предусмотренном ч.2 ст.13.11 КоАП РФ.
https://rusrim.blogspot.com/2018/10/...st_27.html?m=1
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 20.11.2018, 12:42   #4
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: 1 июля 2017 года ужесточается законодательство о персональных данных.

Попробуем вернуться к ТЕМЕ:
Цитата:
ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн

8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке.

Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):

· Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?
Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.

· Вопрос к Роскомнадзору: что считать автоматизированной обработкой?
Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.

· Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.
Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.

· Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.
Ответ Роскомнадзора: достаточно простой ЭП.

· Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия. Например, сбор данных родственников работника или передача данных работника в банк.
Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.

· Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.
Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.

...
Отсюда: https://sborisov.blogspot.com/2018/1...EPkSzW-7wpfflU

Цитата:
Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись – она доступна по ссылке (прошу прощения за шумы, не профизапись)
Тут: https://drive.google.com/file/d/1Vxv...SjObvbamd/view
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 23.11.2018, 11:52   #5
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендую ещё это: https://emeliyannikov.blogspot.com/2018/06/
Цитата:
У оператора персональных данных могут появиться невыполнимые обязанности

И административная ответственность за их невыполнение.
Минкомсвязи разработаны новые поправки в закон «О персональных данных» и КоАП РФ. 25 июня закончилось их публичное обсуждение и антикоррупционная экспертиза. Далее, как обычно, оценка регулирующего воздействия и рассмотрение в Правительстве.
Суть поправок проста: оператору, поручившему обработку персональных данных иному лицу (например, покупку билетов и бронирование гостиниц своим командируемым работникам), вменяется в обязанность организовать и обеспечивать контроль за соблюдением обработчиком требований законодательства о персональных данных. И не просто контроль, а надлежащий. Первый же вопрос – а какой контроль будут считаться надлежащим? Гарантирующий отсутствие инцидентов с обрабатываемыми данными? Но это невозможно в принципе! Какой же тогда? Ответа нет.
При этом порядок осуществления такого контроля оператор должен определить самостоятельно. В случае невыполнения этого требования – штраф на юридическое лицо до 30 тысяч рублей, на должностное – до 6 тысяч. Причем неважно, были ли утечка у обработчика, пострадали ли субъекты. Квалифицирующий признак правонарушения – невыполнение оператором обязанности осуществления надлежащего контроля.
С обработчиком еще интереснее. Штрафы - также до 30 тысяч рублей, но за нарушение требований законодательства в области персональных данных. Каких требований, как следует из теста законопроекта, значения не имеет.
Есть большие подозрения, что эти требования не только невыполнимы, но и противоречат Конституции и нормам гражданского права.
Начнем с невыполнимости. Организация такого контроля ляжет тяжким бременем на оператора любого масштаба, от микро-бизнеса до самых крупных компаний.
Давайте представим: малое предприятие отдало на аутсорсинг бухгалтерский, кадровый, воинский учет и охрану труда, а информационные системы, те, что остались, например, CRM, разместило в дата-центре или использует по схеме SaaS. Ситуация типичная. Делается это по простой причине – экономически нецелесообразно держать своих специалистов в штате для решения подобных вопросов, дешевле использовать аутсорсинг. И теперь это самое предприятие должно определить порядок контроля, составить планы, убедить аутсорсера согласиться на такой контроль, периодически проводить контрольные мероприятия и тщательно документировать полученные результаты (контроль должен быть надлежащий и это надо доказывать). Кто и за какие деньги будет это решать в сегменте СМБ при том, что задач бизнеса в этом процессе ровно 0, а размер штрафа меньше месячного оклада такого специалиста. Значит – игнорировать и платить, если попался.
В крупном бизнесе ситуация не лучше. Там обработчиков сотни и тысячи, к перечисленным выше добавляются агенты (сколько агентов у больших страховых компаний или операторов связи?), колл-центры, организаторы и исполнители маркетинговых акций, компании, работающие «в поле» с конечными потребителями и т.д. и т.п. Всех их надо контролировать. А это уже большое структурное подразделение со штатом квалифицированных специалистов, объемные планы контроля с опять-таки нулевой отдачей в бизнес.
Ну, и наконец, обработчики. Те, для кого аутсорсинг – основной бизнес, должны будут столкнуться с толпами контролеров от контрагентов-операторов персональных данных, чего-то требующих, но плохо понимающих, что вообще они должны проверять. Кто ими будет заниматься у аутсорсера? Когда? И уж совсем риторический вопрос: как это скажется на стоимости оказываемых услуг?
И еще одна проблема. В ходе проверок надзирающий оператор персональных данных может неизбежно столкнуться с коммерческими секретами и иной чувствительной информацией аутсорсера, что порождает новый клубок проблем.
И, наконец, о конституционности законопроектов.
Причём то, о чём сказано, уже законопроект: http://regulation.gov.ru/projects?fb...IxsI#npa=86045
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 25.11.2018, 14:02   #6
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Европейский совет по защите данных (European data protection board) опубликовал разъяснения по территориальной сфере применения GDPR. Материал на английском!
Тут: https://edpb.europa.eu/sites/edpb/fi...l_scope_en.pdf
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 01.12.2018, 11:36   #7
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Интересный материал от Жени Ющук:
Цитата:
Чем грозит утечка персональных данных 500 миллионов клиентов Marriott?
Неизвестные лица в течение четырех лет имели доступ к базе, в которой были в том числе номера банковских карт постояльцев
Сеть отелей Marriott заявила об утечке данных 500 миллионов клиентов со всего мира. По данным компании, хакеры могли получить к ним доступ еще в 2014 году.
Целью кибератаки стала «дочка» Marriott — сеть гостиниц Starwood. Внутреннее расследование показало, что доступ к системе бронирования был открыт последние четыре года. За это время неизвестные лица копировали персональные данные постояльцев. Хакеры узнали их имена, адреса электронной почты, паспортные данные, дату рождения, пол и, возможно, номера банковских карт.
О последствиях для компании и ее клиентов говорит бывший технический директор компании «Информзащита» Евгений Климов:
Евгений Климов бывший технический директор компании «Информзащита» «Это могло случиться ровно по той причине, как и для всех других систем: в свое время были допущены ошибки либо разработчиками системы, либо системными администраторами, что привело к выявлению уязвимости. Через эту уязвимость злоумышленники проникли в сеть и достаточно долго там сидели, пользовались данной информацией. Тут чудес не бывает. Если похитили платежные данные, это грозит клиентам или бывшим клиентам отеля тем, что они потенциально могут потерять свои финансовые средства. А самому отелю это грозит штрафными санкциями, вниманием регулятора за несоблюдение различных норм отраслевых стандартов».
Ранее агентство The Associated Press сообщило, что генпрокурор Нью-Йорка инициировала расследование в связи с утечкой информации из базы данных Starwood, чтобы удостовериться в том, что личные данные клиентов Marriott в безопасности.
Международная сеть Marriott International со штаб-квартирой в США включает более шести тысяч гостиниц в 90 странах. В России компании принадлежит три десятка отелей.

https://www.bfm.ru/news/401034
https://yushchuk.livejournal.com/923843.html
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 05.12.2018, 09:21   #8
Skyment
Эксперт по кибербезопасности
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Вести с полей:
Цитата:
Власти создадут единую базу с данными о гражданах и бизнесе к 2022 году. В дополнение к желанию Минкомсвязи штрафовать за утечку персональных данных.
А это вот что:
Российские власти запланировали создание единой базы данных с информацией о гражданах и компаниях. Этим займётся Аналитический центр при правительстве (АЦ) в рамках проекта «Цифровая экономика»;
В единую базу данных войдёт то, что сейчас хранится в государственных информационных системах. Например, ФИО, адреса, телефоны, сведения о профессии и дате рождения. А бизнес будет передавать данные по обязательным отчётностям;
Государственная информационная система (ГИС) — это общедоступные хранилища данных граждан, например база ЕГРЮЛ от ФНС, реестр подозреваемых в терроризме на сайте Росфинмониторинга и даже данные переписи населения. В них не всегда хранятся актуальные данные или могут дублироваться;
До этого Минкомсвязи разработало законопроекты, по которым людям и компаниям будет запрещено самостоятельно создавать базы данных из информации государственных информационных систем (ГИС), а за утечку грозят штрафы. Меньше всех придётся платить частным лицам — 2 тысячи рублей, больше всех — юридическим лицам — 35 тысяч рублей.
__________________

"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." (с)
(Федот)
Skyment вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 05.12.2018, 16:02   #9
Voodoo-65
Местный
 
Аватар для Voodoo-65

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Цитата:
Сообщение от Skyment Посмотреть сообщение
Государственная информационная система (ГИС) — это общедоступные хранилища данных граждан, например база ЕГРЮЛ от ФНС, реестр подозреваемых в терроризме на сайте Росфинмониторинга и даже данные переписи населения.

Закон о переписи населения Российской Федерации гарантирует конфиденциальность сообщаемых данных в ходе опроса и запрещает какое-либо использование первичных данных, кроме как в агрегированном виде и какими-либо другими ведомствами и лицами.
Перепись проводиться на условиях анонимности, что гарантируется Конституцией России.

Хотя в это стране кто следит за законом......
люди с полей
__________________
Ну ты, это..заходи, если чё...
Voodoo-65 вне форума   Цитировать выделенный текст Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +3, время: 11:11.

Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot