Обработка персональных данных физических лиц – резидентов ЕС в ходе веб-сайт доступен на языке государства-члена ЕС и если предусмотрена.

Персональные данные: алгоритм действий

Должно быть, вы не раз читали в новостях об утечках данных в Facebook. У них и у других интернет-корпораций такое часто бывает. Представьте, что вы на этом можете заработать. Ваши логин, пароль или переписку украли – так получите же компенсацию.

Выгодные и эффективные инвестиции

Узнайте, как правильно и куда есть смысл инвестировать. Получите бесплатную консультацию.

Подробнее

BrokerTribunal обнаружил блог о том, как можно выбить деньги из американцев. Он ведет на сайт Фонда защиты персональных данных. Этот, в свою очередь, утверждает, что работает под крышей Торговой комиссии США.

Предупреждаем: все действия, изложенные в этом материале, опасны для вашего кошелька. Потому что “компенсация за утечку персональных данных” – это новый лохотрон.

Фонд защиты персональных данных: схема мошенничества

Все начинается с блога, который принадлежит некоему Евгению Миронову. Добрый самаритянин создал пост с заголовком “Как получить до $1 500 за 10 минут от любой социальной сети в мире”. Он хвастается, что ему за два аккаунта пришла компенсация в размере 82 980 рублей. Он также выложил видео, где показывает все свои действия. Признается, что и сам-то не верил в реальность денег. Мол, ему коллега поведал о способе. Но Миронов все опробовал и ему на карточку сделали перевод.

Под видео есть большая голубая кнопка – перейти на сайт. Если ее нажать, перебросит на доменное имя с .top в конце. Это и есть тот самый Фонд защиты персональных данных. Здесь предлагают проверить данные на утечку. За 2-3 минуты вы пройдете все процедуры: заполните форму, дождетесь проверки и отчет по ней с суммой компенсации. А дальше дело за малым – заказать выплату. Но как жаль, что русскому человеку обязательно нужно купить SSN – номер социального страхования. Если вы его оплатите, значит, позволили себя развести.

Давайте обо всем по порядку. Евгения Миронова не существует. Он говорит, что ему 32 года, живет и работает в Санкт-Петербурге, снимает контент о программировании. Евгений Миронов – это имя актера. На фотографии изображен не он, а Василий Леоненко, чьи снимки украли. Последний работает в Питере, занимает должность доцента Института дизайна и урбанистики в Университете ИТМО.

Блога Евгения Миронова тоже не существует – это муляж. Он лишь стилизован под блог и отчасти напоминает Medium. Но попробуйте походить по сайту и на каждом шагу наткнетесь на глухую стену. К примеру, если кликнуть “Подписаться”, то система напишет, что “Ведутся технические работы”. Посмотреть аккаунты авторов отзывов тоже нельзя, как и зарегистрироваться, чтобы высказаться самому.

“Блог” получил свой домен 13 сентября 2019 года, тогда же заработал и сайт. BrokerTribunal побывал и рассказывает о доменах orgamericanburse.top/blog/ и orgamericanburse.top. Но ничего не стоит переехать с одного адреса на другой. А старые либо браузер блокирует, либо создатель лохотрона переводит в “спящий режим”.

ЧИТАЙТЕ ТАКЖЕ:Почему вы никогда не выиграете в лотерею Bonus E-Mail

US Trading Commission protecting America’s consumers – написано на мошенническом ресурсе. Видимо, английский язык нужен для убедительности перед пользователями из РФ. Дизайн ресурса, по правде сказать, отдаленно напоминает что-то американское и государственное. Вверху справа отображается баланс – $4 652 186 547. Если подразумевается, что эти деньги уйдут на компенсации, то впечатляет.

Обучение трейдингу

Лучшее обучение трейдингу с нуля от профессиональных трейдеров. Получите бесплатную консультацию.

Подробнее

В видео Евгений Миронов объясняет, откуда берутся финансы. Мол, они черпаются из штрафов. Надеемся, люди, которые 231 500 раз посмотрели его ролик на YouTube, не поверили в его слова.

Вот как фонд объясняет свою деятельность:

Ладно, нажимаем кнопку “Начать процедуру проверки”.

Заполняем форму. Мы, конечно, записали фейковые данные. Удивляет, что не нужно давать ссылку на социальные сети или указывать номер телефона, за которым закреплен мессенджер.

Начинается процесс проверки. Он занимает 2 минуты. Безусловно, этого чрезвычайно мало, чтобы изучить информацию. Как минимум у человека могут быть однофамильцы или он фейк. А как максимум – для начисления выплаты должно быть судебное решение.

Наконец, приходит форма с долгожданной цифрой внизу. Напомним слова Евгения Миронова: сумма компенсации может быть до $1 500. Однако наши “данные неоднократно присутствовали в утечках данных”, поэтому нам насчитали гораздо больше – $2 567.

И вот теперь самый интересный этап – форма заказа выплаты. Нужно повторить фамилию, имя, номер карты и… указать SSN. Внизу предусмотрительно есть места для отметки “У меня нет SSN” и “Я не гражданин США”. Что это за документ? Это номер социального страхования в Соединенных Штатах. Его выдают всем гражданам страны, а также иностранцам, которые легально живут на ее территории. В чем загвоздка? Эту карточку получают бесплатно, и ее нельзя арендовать на 48 часов.

За оформление “липы” мошенники требуют $9,32. Без нее завершить перевод не получится. Жмем “Перейти к оплате” – открывается платежная система Cispay. Эта служба якобы функционирует в СНГ. На самом деле Cis-Pay LTD ведет свою деятельность в Британии: местные специалисты предоставляют услуги по расчету заработной платы, а к “компенсациям” отношения не имеют.

На этом моменте стоит уйти с сайта Фонда защиты персональных данных. Это не то место, где можно получить доллары за утечку логина и пароля. Но где это действительно практикуется?

Компенсации Yahoo: как это происходит в честном мире

В октябре 2019 года появилась новость, что Yahoo выплачивает компенсации своим пользователям.

Если в 2012-2016 годах у вас был аккаунт в каком-то из сервисов Yahoo, вы можете принять участие в групповом урегулировании вопроса, связанного с защитой персональных данных. Так, в течение нескольких лет хакеры заполучили доступ к 3 млрд учеток: они крали имена, письма, номера телефонов, ответы на секретные вопросы, пароли т. д.

Прибыльные инвестиции

Узнайте, как правильно и куда есть смысл инвестировать. Получите бесплатную консультацию.

Подробнее

Компания обратилась к своим пользователям. Если у вас был аккаунт в любое время между 1.01.2012 и 31.12.2016 и вы являетесь резидентом США или Израиля, можете подать заявку на часть расчетного фонда. Речь о $117 500 000. Компенсация предполагается разная: выплата $100-358,80, возмещение до $25 000 для покрытия личных расходов, возврат до 25% за премиум аккаунт Yahoo и до 25% за почтовую службу Yahoo Small Business User.

Компания сделала сайт, где есть отдельные формы для каждого типа претензии. Ясное дело, пользователям не приходится что-либо оплачивать наперед.

Заключение

Фонд защиты персональных данных – это лохотрон. Торговая комиссия США не занимается подобными выплатами. Фонд симулирует проверки и начисление компенсаций. Его истинная цель – убедить вас приобрести “временный” SSN. Проявите благоразумие: не верьте, что вам кто-то пришлет долларовую компенсацию. Это стандартная схема мошенничества: пообещать большую сумму, но попросить “немного” денег наперед.

Обратите внимание на противоречие. Легенда мошенников базируется на защите персональных данных. Но они сами украли фотографии человека и используют их для обмана. Создатели проекта – лицемеры, и они заработали себе отягчающее обстоятельство в суде.

ЧИТАЙТЕ ТАКЖЕ:Как распознать криптовалютную пирамиду

Потеряли деньги на лохотронах?

Узнайте способы возврата ваших средств

Вернуть деньги

Персональные данные: ответственность и проверки. К сожалению или к счастью, человеческая цивилизация не достигла той стадии.

Массовые утечки персональных данных в Украине

О заполнении уведомления

Практика показывает, что у многих операторов персональных данных возникают вопросы — как правильно заполнять те или иные поля уведомления. О самом уведомлении оператора персональных данных мы немного поговорим в этой статье, но вот туториал по заполнению уже тянет на отдельную.

Вас также могут попросить прислать по почте копии документов, регламентирующих защиту персональных данных в организации — приказы, инструкции, модель угроз и вот это все.

Итак, вы получили такое письмо от Роскомнадзора, что делать?

На самом деле тут проще сказать чего категорически не следует делать — игнорировать эти письма. К сожалению, на практике многие поступают именно так. Кто-то забывает ответить, кто-то не знает, что писать в ответ и не отвечает, а кто-то надеется, что про них забудут и все спустится само собой на тормозах. Нет, не забудут, не в этом случае.

Может у каких-то ведомств и распространена такая практика — написать письмо в организацию «для галочки» и забыть, но только не у РКН. Поэтому отвечать желательно в установленный в письме срок, иначе организация будет наказана по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган». Можно зайти на сайт своего регионального управления Роскомнадзора (%номер _региона%.rkn.gov.ru) в раздел «Новости». В 2016 году добрая половина новостей была посвящена привлечению юридических лиц к ответственности по той самой статье КоАП РФ. Причем в каждой новости могло фигурировать до 10-15 организаций. Сейчас такие новости тоже есть, но меньше, связано это, скорее всего с тем, что сам РКН стал менее активно рассылать «письма счастья».

Штраф по 19.7 КоАП РФ небольшой — 3-5 тысяч рублей, но тут нужно помнить, что после того как вы заплатите штраф, затребованные в изначальном письме сведения все равно придется предоставить.

Скриншот сайта Управления Роскомнадзора по Приморскому краю, 2016 год

Если по содержанию присланного вам письма что-то непонятно, то в конце обычно указан исполнитель письма и его контактные данные. Всегда можно позвонить и уточнить, что же регулятор все-таки от вас хочет.

Про документарные проверки, пожалуй, добавить нечего, перейдем к выездным.

Выездные проверки

Из самого названия уже становится ясно, что проверяющие как минимум два-три раза окажутся на вашей территории. По нашему опыту можем сказать, что процесс проверки выглядит примерно так:

  • проверяющие приезжают в организацию, знакомятся с руководителем, вручают ему уведомление о проверке, делают запись в журнале проверок юридического лица контролирующими органами (отсутствие такого журнала, кстати, это уже нарушение);
  • затем представители РКН просят предоставить документацию, которая имеется в организации по защите персональных данных, тут-то вы и тащите всю эту гору документов — приказы, инструкции, положения, политики, модель угроз;
  • бегло ознакомившись с составом документов, проверяющие либо просят выделить им помещение, где они будут их изучать, либо просят предоставить копии всей документации и удаляются в свои кабинеты изучать предоставленную вами информацию;
  • в процессе ознакомления с документами могут возникать вопросы по их содержанию или пожелания по внесению в них каких-либо изменений;
  • в один из дней проверки, представители РКН обязательно пройдутся по кабинетам, где обрабатываются персональные данные, осмотрят места хранения ПДн на бумажных носителях — шкафы, сейфы, полки (тут наверняка вам намекнут на необходимость приобретения запираемых железных шкафов, если ПДн хранятся как-то иначе), также могут посмотреть информационную систему;
  • в конце проверяющими делается запись в том же журнале учета проверок об итогах проверки (выявлены замечания или нет) и вручается акт по итогам проверки.

Здесь, пожалуй, стоит рассказать о том, что нужно помнить во время проведения выездной проверки.

Во-первых, ни в коем случае не нужно идти с проверяющими на конфликт и как-либо препятствовать проведению проверки («терять» ключ от кабинета с документами и тому подобные уловки). Да, проверяющие тоже могут ошибаться. Яркий пример такой ошибки, связанной с чрезмерным увлечением запретами всего и вся случилась у нас в Приморском крае в 2015-2016 годах. Синдром вахтера никто не отменял, и в процессе проверки могут предъявляться совершенно противоправные и необоснованные требования. Но это никак не отменяет простых правил человеческого общения. Если вы с чем-то не согласны, выскажите это спокойно, попросите ссылку на законодательство, чем обусловлено сомнительное требование.

Во-вторых, неважно какие претензии будут высказаны проверяющими во время проверки, важно только то, что будет написано в акте по итогам проведенной проверки. Приведу простой пример, на одной из проверок представители РКН утверждали, что необходимо разделять информационные системы персональных данных «Бухгалтерия» и «Кадры» и в документах соответственно их описывать раздельно. Требование совершенно ничем не подкреплено законодательно, а само определение ИСПДн из 152-ФЗ не запрещает объединять информационные системы и описывать их так, как мы этого сами захотим. Мы можем в лечебном учреждении объединить документально систему с медицинскими данными с теми же кадробухами, и сказать, что это у нас одна ИСПДн. Правда в этом случае нужно помнить, что вероятно кадробухов придется защищать по более высокому уровню защищенности персональных данных, который будет определен для части информационной системы с медициной. Но вот бухгалтерию отделять от кадров и для каждой системы отдельно плодить горы приказов, инструкций и моделей угроз даже с точки зрения здравого смысла совсем не правильно. Так вот, главное в этой истории то, что в акте по итогам проверки было написано «нарушений законодательства не было выявлено». И это перечеркивает все словесные неправомерные замечания проверяющих.

В-третьих, обязательно необходимо проинструктировать всех своих сотрудников, участвующих в обработке каких-либо персональных данных что можно, а что нельзя делать и говорить во время проверки. Например, можно обрабатывать ПДн в соответствии с инструкциями и правилами, но нельзя разбрасывать на рабочем столе копии паспортов сотрудников.

Уведомление оператора персональных данных

Первое место по рейтингу причин, по которым выдаются предписания о нарушении законодательства, по итогам проверок занимает указание неполных или несоответствующих действительности сведений в уведомлении оператора персональных данных на портале персональных данных или отсутствие такого уведомления. А значит первое, что нам нужно сделать — выяснить, попадает ли наш случай обработки персональных данных под случаи, в которых оператор может не подавать уведомление в Роскомнадзор. Такие исключения перечислены в разделе 2 статьи 22 федерального закона № 152-ФЗ «О персональных данных». Все пункты перечислять не будем, так как там есть и весьма экзотические, но вот наиболее применимые из них для большинства организаций:

  • уведомление можно не подавать, если ПДн обрабатываются только в соответствии с трудовым законодательством;
  • уведомление можно не подавать, если вы обрабатываете персональные данные клиентов, которые являются стороной договора с вами, и при этом их ПДн не передаются третьим лицам без соответствующего согласия субъекта;
  • персональные данные обрабатываются только в неавтоматизированном режиме (то есть без использования средств вычислительной техники).

Стоит заметить, что и здесь есть подводные камни. Например, сейчас многие организации, особенно государственные, реализуют зарплатные проекты по перечислению кровнозаработанных рублей сотрудникам прямиком на банковские карты. Это очень удобно и для работодателей и для сотрудников, и банку тоже выгодно. Но при осуществлении такого проекта, как ни крути, приходится передавать данные своих сотрудников в банк. И такая передача персональных данных третьим лицам уже не регламентируется трудовым законодательством, а значит, первое исключение из списка выше не работает, следовательно, нужно подавать уведомление об обработке персональных данных в Роскомнадзор.

Как проверить наличие уведомления в реестре и что делать дальше

Далее, не зависимо от того, какой результат мы получили на предыдущем этапе, нужно проверить, есть ли запись о вашей организации в реестре операторов персональных данных. Здесь легко можно найти запись в реестре по названию или ИНН организации.

Дальше ваши действия должны выглядеть примерно следующим образом.

Если организация попадает под исключения и уведомления нет — отлично, так и должно быть! Ничего не делаем.

Если организация попадает под исключения, но уведомление есть в реестре. Что ж, возможно кто-то несколько лет назад, например, по указанию уже ушедшего на пенсию руководителя, направил это уведомление. Но это можно исправить. Предусмотрена процедура по исключению организаций из реестра операторов ПДн. Для этого нужно просто написать письмо в территориальное управление Роскомнадзора с указанием номера уведомления и описанием причин, почему ваша организация не обязана находиться в реестре операторов персональных данных. Затем в том же письме просим удалить соответствующую запись из реестра. Ждем 30 дней. Проверяем. Если запись осталась в реестре, созваниваемся с Роскомнадзором и уточняем получено ли и отработано ли ваше письмо.

Если организация не попадает под исключения, но уведомления в реестре нет — срочно идем заполнять уведомление! Почему срочно? Да потому что по закону уведомление необходимо заполнять до начала обработки персональных данных, если такая обработка не попадает под все те же исключения из 22 статьи закона №152-ФЗ «О персональных данных». О том, как правильно и грамотно заполнить уведомление с нуля или прокачать уже существующее планируется одна из следующих статей.

Ну и последний вариант: организация не попадает под исключения, но уведомление в реестре есть. Хотел бы я тут написать, как и в первом случае, что ничего не нужно делать, но нет. Не зря я выше сказал, что помимо отсутствия уведомления как такового, одной из частых причин предписания по итогам проверки и выписывания штрафа по статье 13.11 КоАП РФ является несоответствие данных в уведомлении тому, что происходит на самом деле. Например, указаны не все категории обрабатываемых персональных данных или не указаны меры по обеспечению безопасности ПДн. Причин такому несоответствию может быть много, но вот две основные:

  • уведомление заполнялось давно и в организации действительно с тех пор изменились многие условия обработки персональных данных;
  • уведомление заполнялось для галочки без должного анализа ситуации и сбора информации.

Для таких случаев на портале персональных данных предусмотрена форма для внесения изменений в существующее уведомление.

После заполнения формы о внесении изменений (или первичного уведомления) необходимо распечатать получившийся на выходе документ, подписать, поставить печать (если есть) и отправить аналоговым письмом в территориальное управление Роскомнадзора. Только на основании бумажного письма будет внесена запись в реестр или внесены изменения в уже существующую запись.

Документация к проверке

Хотелось оставить этот торжественный момент на конец статьи. Но что уж там, раз уже перешли к разговору о комплекте необходимой документации, то вот ссылка на наш комплект шаблонов. В архиве 4 папки и шаблон «Модели угроз». Здесь мы будем говорить только о документах из папок «Общее» и «ПДн». «Общее» — это документы, которые могут применяться плюс-минус для любых информационных систем, а «ПДн» это чисто роскомнадзоровская часть. Полное описание состава документов в архиве можно посмотреть у нас на сайте.

Статья получилась итак достаточно объемная, поэтому разбирать из каких конкретно требований появился тот или иной документ (или раздел документа) здесь не будем. Это тема для отдельной статьи. Давайте пройдемся по общим моментам.

Состав документов

Итак, первым делом перед специалистом, которому поручили подготовиться к грядущей проверке встает вопрос – а какие вообще документы нужны. Специалист обращается к законодательству и… Не находит практически ничего полезного. Ну не то чтобы прям совсем ничего. Да, наверное, специалист наткнется на постановление Правительства РФ от 21.02.2012 №211 и скажет: «Вот, вы были не правы, вот, есть же список документов!». Да, есть. Только специалиста здесь ждет своего рода ловушка. Если обзавестись только документами из этого списка, организация получит предписание по итогам проверки, потому что список не перекрывает и малой части требований законодательства. Плюс в списке встречаются такие несуразности как, например, необходимость отдельно утверждать перечень ИСПДн. Зачем для этого делать отдельный документ, когда можно перечислить ИСПДн в «Положении об обработке и защите ИСПДн» или в «Политике информационной безопасности» — непонятно. Ну и наконец, постановление №211 относится только к государственным и муниципальным органам, поэтому к большинству операторов ПДн – не применимо. И, кстати, в нашем наборе документов по постановлению 211 нет, так как большинство вопросов итак учтены в других документах.

Хорошо, давайте посмотрим, что там у нас есть еще в законодательстве.

В федеральном законе «О персональных данных» напрямую говорится только о необходимости разработки «Модели угроз безопасности» (хотя «напрямую» тоже не совсем верно сказано, в законе написано, что нужно определять угрозы безопасности ПДн) и о публикации «Политики в отношении обработки персональных данных».

О процессе разработки Модели угроз мы, возможно, также подробнее напишем в одной из последующих статей.

Все остальное описано неоднозначно, примерно в таком духе:

Оператор обязан принимать меры… К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

И так далее. Поскольку прямого указания выпускать тот или иной документ нет, читать и понимать 152-ФЗ следует именно так: если написано про осуществление внутреннего контроля, то для выполнения этого требования должны быть разработаны документы, определяющие план, порядок такого контроля, а также некие акты или журналы, в которых отражены результаты контроля. Проверяющих не устроит рассказ о том, что вы выполнили требование по назначению ответственного за организацию обработки персональных данных просто устно обозначив такую ответственность одному из сотрудников. Должен быть документ! В этом конкретном случае — приказ о назначении такого ответственного.

Если есть ответственный, то ему полагается инструкция – за что он отвечает, и какие у него есть права и полномочия. Часто такую инструкцию называют «должностной», что на наш взгляд в большинстве случаев не совсем правильно. Ведь «ответственный за организацию обработки персональных данных» это, как правило, не отдельная должность, а лишь дополнительная обязанность, которая возлагается на того или иного сотрудника.

В общем и целом нам необходимо досконально изучить законодательство по защите персональных данных, выискивая намеки на необходимость наличия различных документов. При этом можно написать одно «Положение об обработке и защите персональных данных», а можно сделать отдельно «Положение об обработке…» и «Положение о защите…». Здесь уже как кому больше нравится.

Содержание документов

Хорошо, с составом документов понятно, а что там с содержанием? А с этим еще хуже. Есть редкие рекомендации регуляторов, как например здесь, но это скорее исключения. В целом здесь можно дать такие общие рекомендации:

  • Описания ИСПДн, систем защиты, технологических процессов обработки ПДн и прочих индивидуальных вещей должны быть конкретными, отражающими реальную картину происходящего. Если это все будет описано слишком общими и абстрактными фразами, можно получить претензию от проверяющего.
  • Различные перечни (субъектов ПДн, самих ПДн) должны соответствовать действительности.
  • Документы должны быть актуальными. Если ответственным за организацию обработки персональных данных назначен давно уволившийся сотрудник, то это гарантированное предписание.
  • Журналы должны быть хотя бы минимально заполнены. Хотя бы те журналы, по которым не получится обосновать их абсолютную чистоту. Например, есть журнал учета обращений субъектов ПДн. На самом деле не такая уж и редкая ситуация когда к оператору никто никогда не обращался с подобными запросами. А есть журнал учета инструктажей по информационной безопасности. И вот уже если этот журнал чистый – могут быть вопросы.
  • Письменное согласие субъекта на обработку его персональных данных должно соответствовать статье 9 закона «О персональных данных». Так, например, многие забывают указать в согласии юридический адрес оператора, которому дается согласие. Также нужно помнить, что согласие должны быть сознательным и конкретным. Раньше многие любили добавлять фразу «даю свое согласие на передачу моих персональных данных третьим лицам». Сейчас такая практика пресекается, необходимо указать какие именно ПДн будут передаваться, кому именно и с какой целью.
  • Все причастные сотрудники к тому или иному документу должны быть ознакомлены с этим документом. Например, все допущенные к обработке персональных данных должны быть под роспись ознакомлены с приказом, утверждающим соответствующий список.

В конце раздела хотелось бы еще попросить не вестись на рассылки различных мошенников, которые предлагают «сертифицированный комплект документов по защите персональных данных». Зачастую такие мошенники пытаются выдать себя за госорганизацию и иногда делают это очень правдоподобно. Заплатив им деньги, вы в лучшем случае получите набор болванок хуже качеством, чем у представленных здесь бесплатно.

Заключение

Давайте подытожим, что нам нужно сделать, чтобы подготовиться к проверке РКН по вопросам выполнения законодательства в сфере защиты персональных данных и успешно ее пройти.

  1. Проанализировать необходимость подачи уведомления оператора ПДн. Проверить наличие уведомления, проверить корректность информации в уведомлении. Внести изменение в уведомление, при необходимости.
  2. Провести подробную инвентаризацию обрабатываемых персональных данных, информационных систем персональных данных, законность обработки различных персональных данных, технологические процессы обработки персональных данных и т. д. Эта информация нам понадобится при разработке документов.
  3. Назначить ответственных.
  4. Разработать комплект документации по защите персональных данных. Документация должна быть конкретизированной в отношении определенной организации и/или определенной ИСПДн. Уделяя время разработке документации по защите и обработке ПДн в информационных системах, не забыть о регламентировании неавтоматизированной обработки ПДн.
  5. Опубликовать политику в отношении обработки персональных данных на сайте (хотя допускается и другой вид организации беспрепятственного доступа к документу, если вы не гос- или муниципальный орган).
  6. Ознакомить всех причастных сотрудников с разработанной документацией.
  7. Заполнить журналы.
  8. Проинструктировать своих сотрудников о том, что проверяющим не нужно говорить лишнего и о том, что не нужно разбрасывать документы с ПДн по всему офису.
  9. Вести себя корректно с проверяющими. Выразить свою готовность исправлять мелкие недочеты в процессе проверки.

Вы могли заметить, что в статье практически ничего нет о средствах защиты информации, особенностях технической защиты персональных данных, криптографических средствах. Все верно, тк эти вопросы регулируются другими органами – ФСТЭК России и ФСБ России.

А еще у нас есть учебный центр! Ближайшие курсы состоятся 20 мая и 22 мая по продуктам FortiGate. С полным списком учебных курсов можно ознакомиться здесь. Да, мы находимся во Владивостоке, но у нас есть большой опыт организации выездных курсов.

А как быть украинским пользователям Facebook, если их данные без их ведома и (Закон Украины «О защите персональных данных»).

РКН начинает проверку работодателей по защите персональных данных. Как подготовиться

Достоверно выяснить, утекли ли ваши данные в интернет, очень сложно. Большинство утечек, как правило, компаниями скрываются. Те, утечки, о которых мы читаем в СМИ – лишь небольшая доля от всех инцидентов.

Существуют несколько сервисов по проверке своих данных на предмет утечек. Например, сайт www.haveibeenpwned.com. Но не спешите пользоваться ими. Специалисты предупреждают, что подобные сервисы тоже несут определенные угрозы. Таким способом злоумышленники могут подтверждать владельцев данных и тем самым повышать стоимость украденных баз. К примеру, вбивая на таких сайтах запрос, вы подтверждаете, что вы есть и вы живой. Данные о вас уходят в отдельную, более дорогостоящую базу.

Понять то, что ваши данные утекли в открытый доступ, можно по косвенным причинам. Например, оставив где-то определенные данные, вам тут же поступает коммерческое предложение, основанное на них. К примеру, купив автомобиль, на следующий день вам начинают поступать десятки звонков компаний с предложением оформить страховку, пройти тестовое сервис-обслуживание, записаться на бесплатную переобувку резины. В данном случае очевидно, что источник утечки – автосалон. Перепроверьте все документы, касающихся ваших взаимоотношений с ним, убедитесь, что вы не разрешали делиться данными с третьими лицами, и смело пишите жалобу в Роскомнадзор.

А вообще, чтобы не стать жертвой утечки, соблюдайте простые правила. Вот самые важные:

1) Заводите сложные пароли — желательно для каждого сервиса или сайта отдельный. Периодически обновляйте их.

2) При заключении договоров читайте условия обработки персональных данных. Если в договоре есть пункт о передачи данных третьим лицам по усмотрению организации – уточните, зачем это нужно. Цели использования ваших данных должны соответствовать конкретной услуге, оказываемой вам.

3) Не устанавливайте малоизвестные приложения, которые требуют предоставить доступ к данным смартфона. Тем более не регистрируйте в них личные кабинеты, используя логин-пароль от своих аккаунтов в соцсетях. Устанавливая красивую клавиатуру в стиле Iphone, имейте в виду, что все данные, которые вы будете вводить с ее использованием (пин-коды, пароли, личные сообщения) могут утекать в неизвестном направлении.

4) Не вводите логины-пароли, заходя в интернет в незнакомой Wi-Fi сети. Эти данные видны владельцу этой сети и, соответственно, могут утечь.

Как и ранее, основная периодичность плановых проверок составляет три года. При этом проверки операторов государственных.