Законодательство о персональных данных для НФО

Программа семинара:

1. ФЗ-152 и особенности его исполнения.
• Что такое персональные данные?
• Являются ли ИНН, номер паспорта, IP-адрес, телефон и адрес e-mail персональными данными?
• Что такое изображение человека и любая ли фотография является биометрическими ПДн?
• Почему так важно выбрать цель обработки ПДн?
• Как долго можно хранить ПДн?
• В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?
• Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
• Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
• Что такое согласие?
• Как обрабатывать резюме или анкеты на получение микрозаймов или страховки, не имея согласия?
• Можно ли обрабатывать информацию о судимости?
• Могу ли я не отвечать на запросы субъекта ПДн?
• Что такое обезличивание и как с его помощью можно решить многие проблемы?
• Как архив может помочь уйти из под действия ФЗ-152?
• Можно ли получить согласие в виде «галочки» на сайте?
• Как оформить обработку получения ПДн от третьих лиц?
• Как передавать ПДн третьим лицам?
• Инвалидность и другие примеры «состояния» здоровья, а также что такое вообще «состояние здоровья»?
• Почему субъект ПДн не может отказаться от данного согласия?
• Можно ли хранить персональные данные россиян за пределами России?
2. Постановления Правительства по вопросам персональных данных.
• ПП-512, ПП-687, ПП-1119, ПП-211 и другие
3. Как определить уровень защищенности своих персональных данных?
• Как разработать собственную модель угроз?
• Методики моделирования угроз ФСТЭК, ФСБ и Банка России
• Надо ли согласовывать модель угроз с регуляторами?
• Надо ли бороться с закладками в программном и аппаратном обеспечении?
4. Защита персональных данных
• Требования ФСТЭК
• Требования ФСБ
• Требования Банка России
• Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
• Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
• Могу ли я защитить ИСПДн несертифицированными средствами защиты?
• Надо ли мне аттестовывать ИСПДн?
• Налоговая и отсутствие лицензии ФСТЭК или ФСБ
• Можно ли обойтись без криптографии?
• Конфиденциальность и криптография: это одно и тоже?
• Надо ли использовать сертифицированные СКЗИ для защиты ПДн?
• Надо ли получать лицензию ФСБ для защиты ПДн?
• Почему можно не использовать сертифицированные СКЗИ при передаче ПДн за пределы России?
• В каких случаях я могу не использовать криптосредства при передаче по открытым каналам связи?
5. Типовые случаи обработки персональных данных
• Деятельность кредитного бюро
• Обработка ПДн ближайших родственников клиентов и сотрудников
• Использование скоринговых систем
• Прямой маркетинг товаров и услуг
• Ведение и использование «черных списков» должников, мошенников и т.п.
• ОСАГО, страховая медицина и иные страховые услуги
• Работа роддомов и поликлиник
• Контроль за электронной почтой сотрудников
• Платежи третьим лицам
• Открытие счетов
• Использование видеонаблюдения
• Обработка резюме и заявок на получение банковского кредита
• Обработка ПДн членов Правления, Совета Директоров, Ревизионной комиссии и т.п.
• Обработка ПДн при работе с международными платежными системами
• Использование услуг курьеров и логистических компаний
• Видеонаблюдение, аудиозапись, Call Center, контроль e-mail
• Доверенности и представительство
• ПДн генерального директора и главного бухгалтера клиентов банка
• Коллекторские агентства
• Аффилированные лица
• Акционеры
• Противодействие легализации отмыванию доходов, полученных преступных путем и обработка ПДн
• Резервные копии и архивы
• Регистрация Интернет-доменов
• Пропускные бюро
• Как получить согласие получателя платежа?
• Доверенности
• Модно ли передавать ПДн в органы власти без согласия субъектов?
• Как передавать ПДн аутсорсинговым партнерам?
• Зарубежные SaaS-сервисы и ПДн
• Можно ли обрабатывать ПДн при открытии вклада в пользу третьего лица?
• Завещательное распоряжение денежными средствами
• Можно ли распоряжаться денежными средствами по требованию третьих лиц?
• Как обрабатывать ПДн при оплате от имени или в пользу третьего лица?
• Расчет платежными поручениями и ПДн
• Надо ли уничтожать ПДн после проведения платежа?
• Обработка ПДн и действия в чужом интересе без согласия
• Обработка ПДн на Интернет-сайтах
• Обработка ПДн по телефону
• Обработка ПДн при корпоративном управлении (ПДн акционеров)
• Обработка ПДн соискателей
• Обработка ПДн в кадровом резерве
• Обработка ПДн уволенных работников
• Передача ПДн работников третьим лицам
• Опубликование ПДн работников в Интернет
• Обработка ПДн ближайших родственников работников
• Обработка спецкатегорий ПДн работников
• Обработка ПДн при пропускном режиме работников
• Брокерское обслуживание и ПДн
• Индивидуальные предприниматели, юрлица, акционеры в контексте 129-ФЗ «О государственной регистрации юрлиц и ИП»
6. Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным.
• Статьи Уголовного Кодекса
• Статьи Кодекса об административных правонарушениях
• Статьи Трудового Кодекса
7. Надзор и контроль за выполнением требованиями по защите персональных данных.
• В каких случаях может «нагрянуть» проверка?
• Может ли вообще регулятор придти меня проверять?
• Что, как и когда может проверять Роскомнадзор?
• Что, как и когда может проверять ФСТЭК?
• Что, как и когда может проверять ФСБ?
• Зачем приходит проверять УСТМ МВД?
• О правомочности РКН и ФСТЭК проводить проверки технических мер коммерческих организаций
• Какова процедура проверки со стороны РКН?
• Должен ли я получать лицензию на защиту персональных данных?
• Краткий анализ практики проверок Роскомнадзора
• Краткий анализ практики проверок ФСТЭК и ФСБ
• Административные регламенты проведения проверок со стороны регуляторов
• Сводный план проверок Генпрокуратуры
• Алгоритм опротестования результатов проверок надзорных органов
• Какие документы запрашивают при проверках
8. Другие вопросы
• Последние изменения законодательства о персональных данных