Организационные вопросы защиты персональных данных

1. БЕЗОПАСНОСТЬ ПЛАТЕЖЕЙ 2017
II ЕЖЕГОДНАЯ МЕЖДУНАРОДНАЯ
КОНФЕРЕНЦИЯ НА ТЕМУ БЕЗОПАСНОСТИ
ПЛАТЕЖЕЙ
Шудрова Ксения
Руководитель Красноярского отделения RISC

2. I ЧАСТЬ
Законодательство в области персональных данных

3. 1. КРАТКАЯ ИСТОРИЯ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ В РФ

4. ОПРЕДЕЛЕНИЕ. ИСТОКИ
 Информация о гражданах (персональные данные) – сведения о фактах,
событиях и обстоятельствах жизни гражданина, позволяющие
идентифицировать его личность (Федеральный закон от 20 февраля
1995 г. № 24-ФЗ «Об информации, информатизации и защите
информации»).
 Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина, позволяющие идентифицировать его личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях (Указ Президента РФ от 06.03.1997 N
188 «Об утверждении Перечня сведений конфиденциального
характера»).
 Понятие «персональные данные» означает любую информацию об
определенном или поддающемся определению физическом лице
(«субъект данных») (Конвенция Совета Европы о защите физических
лиц).
4

5. ОПРЕДЕЛЕНИЕ ИЗ ФЗ № 152
Если в первых редакциях оно звучало следующим образом:
 «персональные данные – любая информация, относящаяся
к определенному или определяемому на основании такой
информации физическому лицу (субъекту персональных
данных), в том числе его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование,
профессия, доходы, другая информация».
Сейчас определение звучит немного иначе:
 «персональные данные – любая информация, относящаяся
к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных)».
5

6. 1995-2005
1995
 Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об
информации, информатизации и защите информации» - отменен.
Документ утратил силу в связи с изданием федерального закона от
27.07.2006 № 149-ФЗ.
1997
 Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня
сведений конфиденциального характера» - действует.
2005
 Указ Президента Российской Федерации от 30 мая 2005 года № 609
«Об утверждении Положения о персональных данных
государственного гражданского служащего Российской Федерации и
ведении его личного дела» - действует.
 Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О
ратификации Конвенции Совета Европы о защите физических лиц
при автоматизированной обработке персональных данных» -
действует.
6

7. 2006-2007
2006
 Федеральный закон от 27 июля 2006 № 149-ФЗ «Об
информации, информационных технологиях и о
защите информации» - действует.
 Федеральный закон от 27 июля 2006 № 152-ФЗ «О
персональных данных» - действует.
2007
 Постановление Правительства Российской
Федерации от 17 ноября 2007 г. № 781 г. Москва «Об
утверждении Положения об обеспечении
безопасности персональных данных при их
обработке в информационных системах
персональных данных» - отменен. Документ утратил
силу в связи с изданием Постановления
Правительства РФ от 01.11.2012 N 1119.
7

8. 2008
 Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об
утверждении порядка проведения классификации информационных систем персональных данных» -
отменен. Документ утратил силу - приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от
31.12.2013.
 Четверокнижие: Основные мероприятия по организации и техническому обеспечению безопасности
персональных данных, обрабатываемых в информационных системах персональных данных - отменен.
Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
 Четверокнижие: Рекомендации по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных - - отменен. Документ утратил силу в связи с изданием
приказа ФСТЭК России от 5 февраля 2010 г. № 58.
 Четверокнижие: Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных – Документ опубликован не был.
Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России 16 ноября 2009 г.
 Четверокнижие: Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных (выписка) - Документ опубликован не был.
 Постановление Правительства Российской Федерации от 15 cентября 2008 г. № 687 «Об утверждении
Положения об особенностях обработки персональных данных, осуществляемой без использования средств
автоматизации» - действует.
 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных
данных при их обработке в информационных системах персональных данных с использованием средств
автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – не
действует (Сообщение ФСБ России от 21.06.2016).
 Типовые требования по организации и обеспечению функционирования шифровальных
(криптографических) средств, предназначенных для защиты информации, не содержащей сведений,
составляющих государственную тайну, в случае их использования для обеспечения безопасности
персональных данных при их обработке в информационных системах персональных данных»,
утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 – не действует (Сообщение
ФСБ России от 21.06.2016).
 Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении
требований к материальным носителям биометрических персональных данных и технологиям хранения
таких данных вне информационных систем персональных данных» - действует.
8

9. 2010-2011
2010
 Приказ Федеральной службы по техническому и экспортному
контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об
утверждении Положения о методах и способах защиты информации
в информационных системах персональных данных» - отменен.
Документ утратил силу в связи с изданием приказа ФСТЭК России от
18 февраля 2013 г. № 21.
2011
 Приказ Министерства связи и массовых коммуникаций Российской
Федерации от 14 ноября 2011 г. N 312 «Об утверждении
Административного регламента исполнения Федеральной службой
по надзору в сфере связи, информационных технологий и массовых
коммуникаций государственной функции по осуществлению
государственного контроля (надзора) за соответствием обработки
персональных данных требованиям законодательства российской
федерации в области персональных данных» - действует.
 Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении
Рекомендаций по заполнению образца формы уведомления об
обработке (о намерении осуществлять обработку) персональных
данных» – Документ опубликован не был. 9

10. 2012
 Постановление Правительства РФ от 1 ноября 2012
г. № 1119 «Об утверждении требований к защите
персональных данных при их обработке в
информационных системах персональных данных» -
действует.
 Постановление Правительства Российской
Федерации от 21 марта 2012 г. № 211 «Об
утверждении перечня мер, направленных на
обеспечение выполнения обязанностей,
предусмотренных Федеральным законом "О
персональных данных» - действует.
 Разъяснения Роскомнадзора по вопросам,
касающимся обработки персональных данных
работников, соискателей на замещение вакантных
должностей, а также лиц, находящихся в кадровом
резерве. 14 декабря 2012 года - действует. 10

11. 2013
 Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в
отдельные законодательные акты Российской Федерации в связи с
принятием федерального закона «О ратификации Конвенции Совета Европы
О защите физических лиц при автоматизированной обработке персональных
данных» и федерального закона «О персональных данных» - действует.
 Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных» - действует.
 Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении
требований и методов по обезличиванию персональных данных» - действует.
 Методические рекомендации по применению приказа Роскомнадзора от 5
сентября 2013 г. № 996 «Об утверждении требований и методов по
обезличиванию персональных данных» - действует.
 Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении
требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах» - действует.
 Разъяснения Роскомнадзора по вопросам отнесения фото-,
видеоизображений, дактилоскопических данных к биометрическим
персональным данным 30 августа 2013 года - действует.
11

12. 2014
 Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации
по заполнению образца формы уведомления об обработке (о намерении осуществлять
обработку) персональных данных, утвержденные приказом Федеральной службы по
надзору в сфере связи, информационных технологий и массовых коммуникаций от 19
августа 2011 г. № 706» - документ опубликован не был.
 Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты информации
в государственных информационных системах» - документ опубликован не был.
 Приказ ФСБ № 378 от 10 июля 2014 г. «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных с использованием
средств криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности» - действует.
 Федеральный закон № 242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные
законодательные акты Российской Федерации в части уточнения порядка обработки
персональных данных в информационно-телекоммуникационных сетях» - действует.
 Конвенция Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных (в статье 419 «Собрания законодательства РФ» от 03.02.2014) –
действует.
 Постановление Правительства № 911 от 06 сентября 2014 г. «О внесении изменений в
перечень мер, направленных на обеспечение выполнения обязанностей,
предусмотренных Федеральным законом «О персональных данных» - действует.
12

13. 2016
 Доктрина информационной безопасности
Российской Федерации» (Указ Президента РФ от
5 декабря 2016 г. № 646) – действует.
 Комментарий к Федеральному закону от 21 июля
2014 г. № 242-ФЗ «О внесении изменений в
отдельные законодательные акты Российской
Федерации в части уточнения порядка
обработки персональных данных в
информационно-телекоммуникационных сетях»
- действует.
13

14. 2017
 Приказ ФСТЭК России от 15.02.2017 N 27 «О внесении изменений в
Требования о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах, утвержденные
приказом Федеральной службы по техническому и экспортному контролю от
11 февраля 2013 г. N 17» - действует.
 Приказ ФСТЭК России от 23.03.2017 N 49 «О внесении изменений в Состав и
содержание организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных, утвержденные приказом Федеральной
службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21,
и в Требования к обеспечению защиты информации в автоматизированных
системах управления производственными и технологическими процессами на
критически важных объектах, потенциально опасных объектах, а также
объектах, представляющих повышенную опасность для жизни и здоровья
людей и для окружающей природной среды, утвержденные приказом
Федеральной службы по техническому и экспортному контролю от 14 марта
2014 г. N 31» - действует.
 Федеральный закон от 07.02.2017 N 13-ФЗ «О внесении изменений в Кодекс
Российской Федерации об административных правонарушениях» – действует
с 01.07.2017.
14

15. 2. ДЕЙСТВУЮЩИЕ НПА

16. ПЕРЕЧЕНЬ ОСНОВНЫХ НПА
 Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных».
 Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
 Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по
обезличиванию персональных данных».
 «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г.
№ 996 «Об утверждении требований и методов по обезличиванию персональных данных».
 «Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных».
 «Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных».
 Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных».
 Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных с использованием
средств криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите персональных
данных для каждого из уровней защищенности».
16

17. 3. НАСТОЯЩЕЕ (2016-2017)

18. 242-ФЗ
 Распространение персональных данных профильным
законом не запрещено, но должно осуществляться в
соответствии с требованием конфиденциальности,
установленным статьей 7 Федерального закона от 27 июля
2006 г. №152-ФЗ «О персональных данных».
 Основанием для запуска процедуры ограничения
доступа к Интернет-ресурсу может стать не только сбор
персональных данных, осуществляемый с нарушением
статьи 2 закона, но и обработка персональных данных
субъектов персональных данных в отсутствие правовых
оснований: согласие субъекта персональных данных на
обработку его персональных данных, отсутствие
законодательно возложенных на оператора функций,
полномочий и обязанностей, предусматривающих
распространение персональных данных в сети Интернет,
предоставление доступа неограниченному кругу лиц к
общедоступным персональным данным в целях и объеме,
отличных от цели и объема их первоначального сбора. 18

19. 242-ФЗ
 База данных - это упорядоченный массив данных,
независимый от вида материального носителя
информации и используемых средств его обработки
(архивы, картотеки, электронные базы данных). Так,
например, базой данных можно считать таблицу
в формате Excel, word, в которой содержатся
персональные данные граждан.
 При этом закон не запрещает передавать данные из
этой базы на территорию иностранного государства.
Но обновление данных во всех случаях будет
осуществляться в базе данных, расположенной
на территории России, и, при необходимости,
обновленные данные могут быть переданы на
территорию иностранного государства.
19

20. 242-ФЗ
 Все российские нормативные правовые акты
действуют на всей территории страны. При этом
деятельность иностранных компаний,
осуществляемая посредством сети Интернет,
особым свойством которого является
трансграничность, не умаляет данного
положения.
 Закон действует в отношении всех лиц,
находящихся на этой территории России и
являющихся субъектами отношений, на которые
распространяется акт.
20

21. СТАТЬЯ 13.11
1. Обработка персональных данных в случаях, не
предусмотренных законодательством Российской Федерации в
области персональных данных, либо обработка персональных
данных, несовместимая с целями сбора персональных данных,
за исключением случаев, предусмотренных п. 2, если эти действия
не содержат уголовно наказуемого деяния, - влечет
предупреждение или наложение административного штрафа на
граждан в размере от 1000 до 3000 рублей; на должностных лиц -
от 5000 до 10.000 рублей; на юридических лиц - от 30.000 до
50.000 рублей.
2. Обработка ПДн без согласия или использование неправильной
формы согласия - наложение административного штрафа на
граждан в размере от 3000 до 5000 рублей; на должностных лиц -
от 10.000 до 20.000 рублей; на юридических лиц - от 15.000 до
75.000 рублей.
21

22. СТАТЬЯ 13.11
3. Неопубликование документа, определяющего политику
оператора в отношении обработки персональных данных-
влечет предупреждение или наложение административного
штрафа на граждан в размере от 700 до 1500 рублей; на
должностных лиц - от 3000 до 6000 рублей; на индивидуальных
предпринимателей - от 5000 до 10.000 рублей; на юридических
лиц - от 15.000 до 30.000 рублей.
4. Непредоставление субъекту персональных данных
информации, касающейся обработки его персональных
данных, - влечет предупреждение или наложение
административного штрафа на граждан в размере от 1000 до
2000 рублей; на должностных лиц - от 4000 до 6000 рублей; на
индивидуальных предпринимателей - от 10.000 до 15.000
рублей; на юридических лиц - от 20.000 до 40.000 рублей.
22

23. СТАТЬЯ 13.11
5. Невыполнение оператором в установленные сроки требования
об уточнении персональных данных, их блокировании или
уничтожении - влечет предупреждение или наложение
административного штрафа на граждан в размере от 1000 до
2000 рублей; на должностных лиц - от 4000 до 10.000 рублей;
на индивидуальных предпринимателей - от 10.000 до 20.000
рублей; на юридических лиц - от 25.000 до 45.000 рублей.
23

24. СТАТЬЯ 13.11
6. Невыполнение оператором при обработке персональных данных
без использования средств автоматизации обязанности по
соблюдению условий, обеспечивающих сохранность персональных
данных при хранении материальных носителей персональных
данных и исключающих несанкционированный к ним доступ, если
это повлекло неправомерный или случайный доступ к
персональным данным, либо иные неправомерные действия в
отношении персональных данных, при отсутствии признаков
уголовно наказуемого деяния - влечет наложение
административного штрафа на граждан в размере от 700 до 2000
рублей; на должностных лиц - от 4000 до 10.000 рублей; на
индивидуальных предпринимателей - от 10.000 до 20.000 рублей;
на юридических лиц - от 25.000 до 50.000 рублей.
7. Невыполнение оператором, являющимся государственным или
муниципальным органом обязанности по обезличиванию
персональных данных либо несоблюдение установленных
требований или методов по обезличиванию персональных данных -
влечет предупреждение или наложение административного штрафа
на должностных лиц в размере от 3000 до 6000 рублей.
24

25. ОТМЕНЕНЫ 2 ДОКУМЕНТА ПО
КРИПТОГРАФИИ
 «Методические рекомендации по обеспечению с помощью
криптосредств безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием средств автоматизации».
 «Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических) средств,
предназначенных для защиты информации, не содержащей
сведений составляющих государственную тайну в случае их
использования для обеспечения безопасности персональных
данных при их обработке в информационных системах
персональных данных».
25

26. КРИПТОГРАФИЯ. ДЕЙСТВУЮЩИЕ
ДОКУМЕНТЫ
 Приказ ФСБ от 10 июля 2014 года № 378 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации, необходимых
для выполнения установленных Правительством Российской Федерации
требований к защите персональных данных для каждого из уровней
защищенности".
 Приказ ФСБ РФ от 09.02.2005 N 66 "Об утверждении Положения о разработке,
производстве, реализации и эксплуатации шифровальных (криптографических)
средств защиты информации (Положение ПКЗ-2005)".
 Приказ ФАПСИ от 13.06.2001 N 152 "Об утверждении Инструкции об организации и
обеспечении безопасности хранения, обработки и передачи по каналам связи с
использованием средств криптографической защиты информации с ограниченным
доступом, не содержащей сведений, составляющих государственную тайну".
 "Методические рекомендации по разработке нормативных правовых актов,
определяющих угрозы безопасности персональных данных, актуальные при
обработке персональных данных в информационных системах персональных
данных, эксплуатируемых при осуществлении соответствующих видов
деятельности" (утв. ФСБ России 31.03.2015 N 149/7/2/6-432). 26

27. ИЗМЕНЕНИЯ В 21 ПРИКАЗЕ ФСТЭК
1 уровень 2 уровень 3 уровень 4 уровень
СЗИ не ниже 4
класса
не ниже 5
класса
не ниже 6 класса не ниже 6 класса
СВТ не ниже 5 класса не ниже 6 класса
НДВ не ниже 4 уровня при актуальных
угрозах 2-го типа –
не ниже 4 уровня
-
27

28. ИЗМЕНЕНИЯ В 17 ПРИКАЗ ФСТЭК
1 класс 2 класс 3 класс
СЗИ Не ниже 4
класса
Не ниже 5
класса
Не ниже 6
класса
СВТ Не ниже 5 класса
НДВ Не ниже 4 уровня -
28

29. 4. ЧТО МЫ ЖДЕМ В БУДУЩЕМ?

30. ЧЕГО НЕ ХВАТАЕТ ДЛЯ СЧАСТЬЯ?
 Модель угроз ФСТЭК для ПДн.
 Перечень и формы документов для ИСПДн.
 Устоявшаяся судебная практика и единообразие
проверок.
 Определение «персональные данные»
уточнено.
 Методика оценки вреда субъекту и
эффективности мер защиты.
 Разрешены другие спорные вопросы
законодательства по ПДн.
 Дешевые и многофункциональные СЗИ  30

31. ЧАСТЬ 2
Практическая защита

32. 1. СУДЕБНАЯ ПРАКТИКА

33. БАНКИ ЛИДИРУЮТ ПО ЧИСЛУ ЖАЛОБ ГРАЖДАН
НА ОБРАБОТКУ ПДН
 Роскомнадзор: в 2015–2016 годах количество
жалоб граждан на использование их
персональных данных банками и кредитными
организациями составило 14,2 тыс.
 В число лидеров по количеству жалоб также
вошли интернет-сайты (3,4 тыс.), коллекторские
агентства (2,7 тыс.) и предприятия ЖКХ (2,4
тыс.).
 При этом по результатам проведенных проверок
нарушения законодательства подтвердились
лишь в 7,6% случаев. 33

34. Банк в Екатеринбурге
 Не обеспечено составление документов, подтверждающих ознакомление и (или)
обучение работников, непосредственно осуществляющих обработку персональных
данных, с положениями законодательства Российской Федерации о персональных
данных, в том числе требованиями к защите персональных данных, документами,
определяющими политику оператора в отношении обработки персональных данных,
локальными актами по вопросам обработки персональных данных без использования
средств автоматизации.
 Не обеспечено наличие локальных актов, устанавливающих процедуры, направленные
на предотвращение и выявление нарушений законодательства Российской
Федерации.
 Не обеспечено наличие документов, определяющих место хранения персональных
данных и перечень лиц, имеющих к ним доступ.
 Разработанное ОАО «С» согласие клиентов на обработку персональных данных не
содержит перечень персональных данных, фактически обрабатываемых
оператором, так как в нем отсутствуют копия паспорта и копия ИНН и другие копии
документов; содержит некорректный срок, в течение которого действует согласие, что
противоречит принципам и условиям обработки персональных данных.
 ОАО «С» для трудоустройства в анкете соискателя, анкете кандидата, заявке на подбор
персонала обрабатывает иные категории персональных данных, отличных от указанных в
унифицированной форме Т-2, в частности, в отношении близких родственников
работников ОАО «С».
 Анкета соискателя ОАО «С» содержит пункт, требующий указывать сведения о
судимости не только субъекта персональных данных, но и его родственников, не
подпадающих под перечень лиц, обязанных предоставлять подобные сведения.
 Не обеспечено наличие документов, определяющих порядок уничтожения
персональных данных, а также документов о назначении комиссии по уничтожению
материальных носителей информации, содержащих персональные данные, копии актов
об уничтожении документов. 34

35. БАНК В КАЗАНИ
 Согласно постановлению, 02.10.2014 в торговом доме «М» ведущим
специалистом отдела по работе с проблемными активами Регионального
операционного офиса «Банк» Филиала № X Г-ным допущены нарушения
законодательства в сфере персональных данных, а именно данное лицо,
находясь в торговом павильоне на указанном объекте, осуществлял
распространение информации о наличии задолженности у гр. ФИО1 по
кредитным обязательствам перед банком, а также осуществлял сбор
информации о гр. ФИО1.
 Проверкой также установлено, что ответственным лицом за данное
правонарушение является начальник отдела по работе с проблемными
активами регионального операционного офиса «Банк» Филиала № X К-ов.
 За совершение указанного правонарушения постановлением мирового судьи
К-ов был признан виновным в совершении административного
правонарушения, ответственность за которое предусмотрено статьей 13.11
КоАП РФ, и подвергнут административному наказанию в виде
административного штрафа в размере 500 рублей.
35

36. ЕЩЕ ОДИН БАНК В ЕКАТЕРИНБУРГЕ
 Между Г-ной и ЗАО «Банк» заключен договор
потребительского кредита, договор о предоставлении и
обслуживании карты №. В нарушение условий кредитного
договора, обязанность по возврату кредита, оплате
процентов ответчиком не исполнялась надлежащим образом.
 Впоследствии, наименование ЗАО «Банк» было изменено на
АО «Банк».
 В исковом заявлении, представитель истца просит суд
взыскать с ответчика Г-ной в пользу АО «Банк»
задолженность по договору о карте №.
 Исковое заявление АО «Банк» к Г-ной о взыскании
задолженности по кредитному договору, судебных расходов –
удовлетворить
36

37. БАНК В НОВОСИБИРСКЕ
 В прокуратуру с заявлением обратилась С по вопросу нарушения ОАО
«Банк» её прав на защиту персональных данных. Из материалов
проверки следует, что персональные данные С были сообщены Банку
заемщиком Б.
 Объективную сторону состава административного правонарушения
выражены в нарушении установленного порядка обработки
персональных данных, в том числе в раскрытии персональных данных
неопределенному кругу лиц, без согласия субъекта персональных
данных.
 Описанное выше правонарушение не является длящимся.
Следовательно, временем его совершения необходимо считать дату
принятия соответствующих данных Банком от заемщика.
 Согласно ч. 1 ст. 4.5 КоАП РФ срок давности привлечения к
административной ответственности за совершение административного
правонарушения, предусмотренного ст. 13.11 КоАП РФ, составляет три
месяца.
 Следовательно, срок давности привлечения к административной
ответственности по настоящему делу истек.
37

38. 2. ВОПРОСЫ ВНЕДРЕНИЯ СИСТЕМЫ
ЗАЩИТЫ ПДН

39. ЧАСТОТА ПРОВЕРОК РКН
 Енисейским управлением РКН в 1 квартале 2017 года
направлено 64 ходатайства (55 в муниципальные и
государственные органы власти и 9 операторам
связи) о размещении на официальных сайтах
информации о необходимости подачи уведомления
или информационного письма, которые
удовлетворены.
39

40. НУЖНО ЛИ СОГЛАСИЕ?
40

41. ПОПУЛЯРНЫЕ ВОПРОСЫ
 Необходимо ли разрабатывать отдельно модель угроз по ПДн?
 Какие ИСПДн выделены в вашем банке?
 Как правильно указать цель обработки ПДн родственников
сотрудников?
 Законно ли обрабатывать информацию о судимости работников?
 Банк собирает информацию о родственниках в анкетах на
кредит, как можно легализовать данный сбор без взятия
согласия у родственников?
41

42. ВАШИ ВОПРОСЫ?
СПАСИБО ЗА ВНИМАНИЕ!
shudrova.blogspot.ru
shudrova87@mail.ru