#news #ркн #privacy
Деятельность консультативного совета, Алёхина Ирина
🔹провели конференцию: инф безопасность личности и субъектов образовательного пространства: этика защиты данных детей, учителей
🔹вы как оператор должны обеспечить баланс между коммерческим интересом и этическими нормами
🔹в основе человек, ПДн, могут ли они быть товаром, где степень защищенности, открытости - этим занимается консультативный совет уже 11лет! Разбиваются на рабочие группы, выдают методические рекомендации, разъяснения (прим. автора: поделитесь плизз ссылками)
🔹много внимания уделяют защите ПДн детей
🔹сформировали молодёжную палату
🔹задача: научить молодое поколение работать с органами гос власти
🔹исполняют воспитательскую и просветительскую функции
Деятельность консультативного совета, Алёхина Ирина
🔹провели конференцию: инф безопасность личности и субъектов образовательного пространства: этика защиты данных детей, учителей
🔹вы как оператор должны обеспечить баланс между коммерческим интересом и этическими нормами
🔹в основе человек, ПДн, могут ли они быть товаром, где степень защищенности, открытости - этим занимается консультативный совет уже 11лет! Разбиваются на рабочие группы, выдают методические рекомендации, разъяснения (прим. автора: поделитесь плизз ссылками)
🔹много внимания уделяют защите ПДн детей
🔹сформировали молодёжную палату
🔹задача: научить молодое поколение работать с органами гос власти
🔹исполняют воспитательскую и просветительскую функции
#news #ркн #privacy
Типовые нарушения, Контемиров Юрий
🔹когда вывешивается в декабре план проверок, у оператора возникает вопрос «почему я»:) постановление по надзору устанавливает след основания для проверок: истечение 3х летнего периода с момента регистрации или крайней проверки; задача ркн - научить работать с ПДн; двухлетний период: сбор спец категорий и биометрии (больничный и справка работника - Эт не повод включения в проверку, а вот если деятельность направлена на сбор биометрии и спец категорий, то да); трансграничная передача в страны, не обеспеч адекватный уровень зашиты; обработка по поручению ин.лица без присутствия в рф (исследование, маркетинг в сфере образования)
🔹в постановлении 146, указано, что проверки проводятся отдельно для каждого филиала
🔹судебная практика: грубейшее нарушение - план проверок не утверждён, утверждён, но не опубликован на сайте - не считается основанием отмены такой проверки; смещение сроков проверки - не явл причиной отмены проверки; по 146 постановлению план деятельности ркн по ПДн не согласовываются с прокуратурой
🔹инспектор, если приходит проверить исправленные недочёты (предписания), только это и может проверять
🔹с комиссией по проверке может взаимодействовать только уполномоченное лицо оператора, если это внешний спец - по доверенности; ркн при проверке не консультирует, ходите на дни открытых Дверей, семинары и читайте разъяснения;)
🔹проект акта проверки не предоставляется оператору до его утверждения
🔹должностные лица ркн не дают пояснения по квалификации, никаких пояснений относительно формулировок не дают, не согласны - есть отдельная на это процедура
🔹сроки на устранение нарушений не продлеваются
🔹ошибки: ст.15, узнали из обращений граждан (в адрес оператора отправлено письмо об уничтожении ПДн, оператор подтверждает уничтожение, а на след день субъект получает письмо на эл.почту с персональным обращением; оператор: данные из системы удалили, а вот до рассылочной программы руки не дошли) - если информируете субъекта об удалении ПДн проверьте все свои базы и системы - административная ответственность
🔹при поручении третьему лицу отв за деятельность третьего лица несёт оператор, особенно, если речь идёт об интернет-сайтах. Размещайте ссылки на политику на страницах со сбором ПДн
🔹типовая форма дб составлена таким образом, чтобы субъект мог ознакомиться со своими ПДн, не вредя правам другим субъектам. Оформляйте на отдельных листах
Типовые нарушения, Контемиров Юрий
🔹когда вывешивается в декабре план проверок, у оператора возникает вопрос «почему я»:) постановление по надзору устанавливает след основания для проверок: истечение 3х летнего периода с момента регистрации или крайней проверки; задача ркн - научить работать с ПДн; двухлетний период: сбор спец категорий и биометрии (больничный и справка работника - Эт не повод включения в проверку, а вот если деятельность направлена на сбор биометрии и спец категорий, то да); трансграничная передача в страны, не обеспеч адекватный уровень зашиты; обработка по поручению ин.лица без присутствия в рф (исследование, маркетинг в сфере образования)
🔹в постановлении 146, указано, что проверки проводятся отдельно для каждого филиала
🔹судебная практика: грубейшее нарушение - план проверок не утверждён, утверждён, но не опубликован на сайте - не считается основанием отмены такой проверки; смещение сроков проверки - не явл причиной отмены проверки; по 146 постановлению план деятельности ркн по ПДн не согласовываются с прокуратурой
🔹инспектор, если приходит проверить исправленные недочёты (предписания), только это и может проверять
🔹с комиссией по проверке может взаимодействовать только уполномоченное лицо оператора, если это внешний спец - по доверенности; ркн при проверке не консультирует, ходите на дни открытых Дверей, семинары и читайте разъяснения;)
🔹проект акта проверки не предоставляется оператору до его утверждения
🔹должностные лица ркн не дают пояснения по квалификации, никаких пояснений относительно формулировок не дают, не согласны - есть отдельная на это процедура
🔹сроки на устранение нарушений не продлеваются
🔹ошибки: ст.15, узнали из обращений граждан (в адрес оператора отправлено письмо об уничтожении ПДн, оператор подтверждает уничтожение, а на след день субъект получает письмо на эл.почту с персональным обращением; оператор: данные из системы удалили, а вот до рассылочной программы руки не дошли) - если информируете субъекта об удалении ПДн проверьте все свои базы и системы - административная ответственность
🔹при поручении третьему лицу отв за деятельность третьего лица несёт оператор, особенно, если речь идёт об интернет-сайтах. Размещайте ссылки на политику на страницах со сбором ПДн
🔹типовая форма дб составлена таким образом, чтобы субъект мог ознакомиться со своими ПДн, не вредя правам другим субъектам. Оформляйте на отдельных листах
#news #ркн #privacy
Законодательные инициативы Минкомсвязи, Бадягина Айсалу
🔹ратификация протокола о внесении изменений в Конвенцию (ETS-108), что повлечёт внесение поправок в 152фз, с изменениями можно будет ознакомиться
🔹разработан законопроект по внесению изменений в 152фз: обезличивание ПДн, расширение прав субъектов, обработка ПДн
Законодательные инициативы Минкомсвязи, Бадягина Айсалу
🔹ратификация протокола о внесении изменений в Конвенцию (ETS-108), что повлечёт внесение поправок в 152фз, с изменениями можно будет ознакомиться
🔹разработан законопроект по внесению изменений в 152фз: обезличивание ПДн, расширение прав субъектов, обработка ПДн
#news #ркн #privacy
Центр компетенций по ПДн, Контемиров Юрий
🔹состав формируется из сотрудников ркн, представителей вузов, гос органы, экспертное сообщество, проф объединения, подписанты кодекса; список не закрыт, можно расширять
🔹итоги рассмотрения проектов документов носят рекомендательный характер
🔹цель: формирование точного подхода, выделение проблемных точек, выработка подходов, решений, предложений
🔹в феврале планируется совместное заседание консультативного совета и ЮФО центра компетенций с целью рассмотрения методических рекомендаций
🔹планируется создать в ЦФО и СЗФО, если есть желание, можно обратиться в Управление ркн (можете быть в составе рабочей группы - экспертный уровень, или центра компетенций - руководители компаний)
🔹будут утверждены регламенты деятельности
🔹темы: формирование проактивной профилактики нарушений, методология обезличивания ПДн, подготовка пояснений в отношении особенностей обработки ПДн в рамках цифровой экономики; работа по первым двум активностям будет проведена в ЦФО
Центр компетенций по ПДн, Контемиров Юрий
🔹состав формируется из сотрудников ркн, представителей вузов, гос органы, экспертное сообщество, проф объединения, подписанты кодекса; список не закрыт, можно расширять
🔹итоги рассмотрения проектов документов носят рекомендательный характер
🔹цель: формирование точного подхода, выделение проблемных точек, выработка подходов, решений, предложений
🔹в феврале планируется совместное заседание консультативного совета и ЮФО центра компетенций с целью рассмотрения методических рекомендаций
🔹планируется создать в ЦФО и СЗФО, если есть желание, можно обратиться в Управление ркн (можете быть в составе рабочей группы - экспертный уровень, или центра компетенций - руководители компаний)
🔹будут утверждены регламенты деятельности
🔹темы: формирование проактивной профилактики нарушений, методология обезличивания ПДн, подготовка пояснений в отношении особенностей обработки ПДн в рамках цифровой экономики; работа по первым двум активностям будет проведена в ЦФО
#news #ркн #privacy
Вопросы и ответы
🔹что такое ПДн? Когда будут подготовлены разъяснения
Ответ: никогда (шутка автора). Имелся в виду проект матрицы, он существует на базе ЦК ЮФО был актуализирован, в феврале будет обсуждение, в марте будет доступна матрица
🔹подача уведомления об обработке ПДн, деятельность Территориальных органов
Ответ: оператор освобождён от подачи уведомления, если его деятельность подпадает под исключения. Правоотношения в рамках трудового з-ва вне зависимости от исп или неисп срв автоматизации подпадает под исключение
🔹нужно ли в уведомлении конкретизировать местонахождение БД
Ответ: нужно
🔹можно ли указывать в уведомлении неск отв за орг обработки ПДн
Ответ: нет, только одного. Не путать с отв за орг безопасности ПДн, это разные должности, но на одного человека можно возложить
🔹согласие на обработку ПДн, перспективы развития з-ва в части изменения подходов к письменной форме
Ответ: да, будет изменено поле цели (множественность целей), будет предусмотрена возможность на указание ссылки с перечнем лиц, кому данные передаются.
Планируется прописать, в какой форме можно получить согласие, не письменное. Вторничное использование ПДн будет учтено. Если обработка ПДн регламентирована з-ом, субъект может отказаться от дачи согласия
🔹нужно ли получать согласие субъекта при сборе его данных с использованием метрических программ
Ответ: данные, собираемые с исп метрических программ - ПДн. В случае передачи третьим лицам следует указать это в согласии, а уведомление отразить в политике
🔹нужно ли обеспечивать локализацию метрических данных
Ответ: если признаём, что это ПДн, то да
🔹можно ли данные, размещённые в соц сетях, считать общедоступными
Ответ: см договор, которым регулируется обработка данных субъекта на ресурсе
🔹обезличивание
Ответ: процедуры обезличивания могут осущ только в случ, предусмотренных з-ом рф, по своему волеизъявлению оператор не может обезличивать ПДн. На законодательном уровне возможность проведения скоринга предоставлена только бюро кредитных историй, другими отраслевыми нормами такая возможность не предусмотрена
🔹нужно ли получать согласие на передачу хешированных ПДн третьему лицу
Ответ: хешированные данные - Эт ПДн (это не технология обезличивания), передача аналогична передаче ПДн
🔹нужно ли получать согласие на хранение в личном деле работника копий документов
Ответ: если хранение во исполнение треб з-ва, согласие не требуется, в остальных случаях требуется
🔹нужно ли в случае аренды цод оформлять договор на поручение
Ответ: да, тк провайдер осущ одно из действий (например, хранение), даже если не имеет доступ к ПДн
🔹нужно ли оформлять договор поручения, если хранятся личные дела на материальных носителях складских помещений
Ответ: да
🔹если в эл. письме есть ПДн, а письмо отправляется в другую страну, это трансграничная передача?
Ответ: да
🔹является ли эл.почта ИСПДн
Ответ: есть определение ИСПДн, если по характеристикам подпадает, то тогда ИСПДн. Не готовы однозначно ответить, сами решайте;)
🔹по каким критериям формируется план проверок
Ответ: см презы выше, плюс также учитывают жалобы субъектов
🔹может ли быть отв иностранец
Ответ: да
🔹является ли сведения о группе инвалидности инф о здоровье
Ответ: да
Вынуждена была покинуть встречу, поэтому вопросы/ответы представлены не все
Вопросы и ответы
🔹что такое ПДн? Когда будут подготовлены разъяснения
Ответ: никогда (шутка автора). Имелся в виду проект матрицы, он существует на базе ЦК ЮФО был актуализирован, в феврале будет обсуждение, в марте будет доступна матрица
🔹подача уведомления об обработке ПДн, деятельность Территориальных органов
Ответ: оператор освобождён от подачи уведомления, если его деятельность подпадает под исключения. Правоотношения в рамках трудового з-ва вне зависимости от исп или неисп срв автоматизации подпадает под исключение
🔹нужно ли в уведомлении конкретизировать местонахождение БД
Ответ: нужно
🔹можно ли указывать в уведомлении неск отв за орг обработки ПДн
Ответ: нет, только одного. Не путать с отв за орг безопасности ПДн, это разные должности, но на одного человека можно возложить
🔹согласие на обработку ПДн, перспективы развития з-ва в части изменения подходов к письменной форме
Ответ: да, будет изменено поле цели (множественность целей), будет предусмотрена возможность на указание ссылки с перечнем лиц, кому данные передаются.
Планируется прописать, в какой форме можно получить согласие, не письменное. Вторничное использование ПДн будет учтено. Если обработка ПДн регламентирована з-ом, субъект может отказаться от дачи согласия
🔹нужно ли получать согласие субъекта при сборе его данных с использованием метрических программ
Ответ: данные, собираемые с исп метрических программ - ПДн. В случае передачи третьим лицам следует указать это в согласии, а уведомление отразить в политике
🔹нужно ли обеспечивать локализацию метрических данных
Ответ: если признаём, что это ПДн, то да
🔹можно ли данные, размещённые в соц сетях, считать общедоступными
Ответ: см договор, которым регулируется обработка данных субъекта на ресурсе
🔹обезличивание
Ответ: процедуры обезличивания могут осущ только в случ, предусмотренных з-ом рф, по своему волеизъявлению оператор не может обезличивать ПДн. На законодательном уровне возможность проведения скоринга предоставлена только бюро кредитных историй, другими отраслевыми нормами такая возможность не предусмотрена
🔹нужно ли получать согласие на передачу хешированных ПДн третьему лицу
Ответ: хешированные данные - Эт ПДн (это не технология обезличивания), передача аналогична передаче ПДн
🔹нужно ли получать согласие на хранение в личном деле работника копий документов
Ответ: если хранение во исполнение треб з-ва, согласие не требуется, в остальных случаях требуется
🔹нужно ли в случае аренды цод оформлять договор на поручение
Ответ: да, тк провайдер осущ одно из действий (например, хранение), даже если не имеет доступ к ПДн
🔹нужно ли оформлять договор поручения, если хранятся личные дела на материальных носителях складских помещений
Ответ: да
🔹если в эл. письме есть ПДн, а письмо отправляется в другую страну, это трансграничная передача?
Ответ: да
🔹является ли эл.почта ИСПДн
Ответ: есть определение ИСПДн, если по характеристикам подпадает, то тогда ИСПДн. Не готовы однозначно ответить, сами решайте;)
🔹по каким критериям формируется план проверок
Ответ: см презы выше, плюс также учитывают жалобы субъектов
🔹может ли быть отв иностранец
Ответ: да
🔹является ли сведения о группе инвалидности инф о здоровье
Ответ: да
Вынуждена была покинуть встречу, поэтому вопросы/ответы представлены не все
RPPA PRO: Privacy • AI • Cybersecurity • IP
#materials #cipp #gdpr Ресурсы для тестов и самопроверки IAPP. Краткий Self-testing. Даёт понять вид и структуру вопросов. Есть ответы в конце http://www.privacystudio.com/Links%20posted%20to%20web/2007_CIPP_Practice_Exam.pdf Бесплатный и крутой интерактивный…
А здесь полезные советы по подготовке к сдаче экзамена CIPP от Андрея Прозорова: https://80na20.blogspot.com/2020/01/cippe.html?m=1
Blogspot
Как подготовиться и сдать экзамен CIPP/E
Управление информационной безопасностью