пятница, 20 ноября 2020 г.

Интервью. Денис Лукаш о Business privacy forum

Ксения Шудрова: Добрый день, Денис! Жду возможности выступить на Business privacy forum, а пока хотела бы задать пару вопросов о мероприятии.

Расскажи о своем опыте в защите персональных данных. 

Денис Лукаш: Заниматься персональными данными начал в территориальном Управлении Роскомнадзора по Мурманской области, где работал до 2014 года, возглавлял отдел, который занимался защитой прав субъектов персональных данных. В то время я также являлся членом нескольких специализированных комиссий, например, Региональной комиссии по защите информации в Мурманской области (при губернаторе). Помню, что много общался по проблемным вопросам контрольно-надзорной деятельности в области персональных данных с коллегами других управлений по России.   

С 2014 года я возглавил юридическую практику в телеком-холдинге, где занимался вопросами телеком-права и персональными данными. Как ты отметила, это можно больше назвать защитой персональных данных, хотя понимание возможного воздействия  на права субъектов персональных данных благодаря прошлой работе  очень помогало. Документировал процессы в компаниях, сопровождал проверки и запросы Роскомнадзора, представлял операторов персональных данных в суде, делал многое другое. 

С 2018 года я присоединился к команде Центра Цифровых прав, а позднее к EY (Ernst & Young). Где с юридической и инженерной стороны консультировал по вопросам 152-ФЗ и GDPR. Кстати, GDPR я стал заниматься еще до вступления его в силу, одним из первых разбирался с его принципами и подходами. Информации по нему было очень мало, как и не было правоприменительной практики европейских надзорных органов. Именно тогда я решил, что мне и таким как я не хватает какого-то сообщества для быстрого обмена информацией и мнениями. Так была создана группа в фейсбук GDPR&152ФЗ, которая превратилась в самое большое сообщество русскоязычных экспертов по персональным данным.

Сейчас я занимаюсь Privacy в Infobip, под моим контролем теперь Privacy процессы в Турции, Украине и многих других странах. 


К.Ш.: Что натолкнуло на идею создания форума?


Д.Л.: С участием Роскомнадзора ежегодно проводился ЗПД Форум, это было знаковое мероприятие, где можно было услышать что-то новое от лучших экспертов страны, руководителей Роскомнадзора, приглашенных иностранных экспертов. В этом году его отменили, потребность в информации осталась. Я решил, что остались спикеры, которым есть, чем поделиться и бизнес, которому нужна информация. Я попросил моего Европейского коллегу, у которого большой опыт работы по Европейскому праву в области информационной приватности, и некоторых других нынешних спикеров выступить. Все с удовольствием согласилась. Так пошло развитие программы и присоединение новых спикеров. Конечно, коммуникацию упростило то, что меня знают и есть некоторый задел доверия среди экспертов.


Единственное, что я хотел сделать, это перевести экспертный формат на уровень управления процессами и бизнесом. У нас много говорят как должен работать ответственный за обработку, как эффективно работать бизнесу с ответственным за обработку говорят мало. Формата “Privacy для руководителей не хватало”. Это формат очень важен и для privacy-экспертов, которых нанимает все-таки бизнес. Ведь, как мы знаем, целью предпринимательской деятельности - это извлечение прибыли. 


Кстати, такая конференция сама по себе ценность. Заработать на конференции мысли не было, конференция бесплатная для спикеров и участников, технические вопросы конференции было решить не сложно.   


К.Ш.: Это первое мероприятие по вопросам персональных данных, которое ты организовываешь?


Д.Л.: У нас есть закрытый чат прайваси экспертов "Privacy Club". Открою тайну читателям, Ксения в нем тоже есть. В чате Privacy-эксперты крупнейших консалтинговых и продуктовых компаний, туда можно вступить только по рекомендации. В рамках профессионального клуба я организовывал несколько закрытых мероприятий (очно и онлайн).  

Был опыт подготовки в составе редакционной коллегии таких мероприятий как PrivacyDay, GDPRday, некоторых других. Если честно, не рассчитывал, что Business Privacy Forum станет настоящим событием с лучшими экспертами страны, стараюсь поддерживать марку, уделяя должное внимание организационным моментам.


К.Ш.: Расскажи о спикерах. Это ИТ-специалисты или юристы?


Д.Л.: Лично я инженер и юрист, мне сложно делить Privacy экспертов по такому признаку. Я знаю юристов, разбирающихся на необходимом для них уровне в ИТ, и инженеров, разбирающихся в правовых вопросах. Хотя, конечно, таких людей гораздо меньше в целом. 

Поскольку Privacy все больше получает юридическую обертку, оказалось, что на уровне управления процессами среди спикеров больше тех, кто в Privacy пришел через юриспруденцию или занимается только правовыми вопросами защиты информации. 


К.Ш.: Можешь немного подробнее рассказать о темах докладов? Что их объединяет?


Д.Л.: Темы объединяет близость к проблемам руководителей бизнеса. Изначально просил спикеров развивать темы на уровне инвестиций, затрат, рисков, управления людьми, бизнес - отношениями с контрагентами и т. п. Сейчас есть много мест и курсов, где можно прокачать принципы работы Privacy-эксперта, а вот бизнес-компетенции улучшаются через опыт, через общение с опытными коллегами. 

Чтобы доклады экспертов оставались на интересном для бизнес руководителей уровне, я попросил Юрия Ларина стать модератором некоторых докладов. Юрий очень опытный бизнес-стратег, он сразу заметит расхождения. Вместе с этим, вряд ли придется вмешиваться, спикеры очень компетентны.


Что еще уникального. У нас образовалось за последние пару лет несколько Privacy сообществ, я решил их собрать вместе. Вижу у них много качественного контента для экспертов, однако интересно послушать, что они могут дать бизнесу, какой концептуальный у них взгляд, чем они полезны и т.п. Не видел, чтобы их вместе кто-то собирал и откровенно разговаривал. 


К.Ш.: Кому будет интересно послушать доклады? 


Д.Л.: Я думаю, интересно будет широкому кругу. Например, HR лидерам рекомендую не пропустить доклад Артема Дмитриева, Стартапам Александры Орехович, аудитор международной группы компаний? - секция о GDPR для Вас. И так далее.


К.Ш.: Смогут ли участники мероприятия в реальном времени задать вопросы?


Д.Л.: Можно будет задавать вопросы в реальном времени в чате, не уверен, что получится ответить на все. График докладов очень плотный. Однако, участники могут прислать вопросы по теме доклада заранее, я передам их спикерам. 


К.Ш.: Я так понимаю, тема дискуссии, в которой я участвую – это взаимоотношения бизнеса и субъектов. На какую сторону тебя больше тянет?


Д.Л.: Я работаю на стороне бизнеса, у предпринимателей  проблемы сложнее и интересней. Вместе с этим, я разбираю возможности воздействия на права субъекта персональных данных. Это позволяет лучше понимать риски. Ведь риск штрафа или убытков может реализоваться со стороны субъекта персональных данных. 

Я вообще благодарен своему всестороннему опыту и бэкграунду. Это позволяет не ограничиваться во взглядах на проблему, а всестороннее ее рассматривать, эффективней и быстрее решать задачи. С инженерной или юридической стороны, со стороны субъекта данных или бизнеса, как консультант или как инхаус - это все разные стороны одной медали, взгляд с разных сторон помогает.


К.Ш.: Спасибо за ответы!

Д.Л.: Буду рад видеть тебя на форуме и послушать, чем RISC полезен и зачем он нужен предпринимателям.


Дополнительная информация: 


Конференция о персональных данных для руководителей

Программа конференции по ссылке http://privacyforum.ru 


Обсуждение:

1. Чат на данной Youtube странице 

2. Чат конференции в телеграм

3. Комментарии в Facebook

4. Privacy Club - приватный чат для спикеров и Privacy-экспертов 


Текущая информация о конференции:

1. Телеграм-канал "Прайваси эксперты"

2. Группа в Facebook "GDPR&152ФЗ"


Информационные партнеры:

1. Группа в Facebook GDPR&152ФЗ

2. Телеграм-канал "Прайваси эксперты"

3. DPO LLC

4. IP CLUB

5. Телеграм-канал "Листок бюрократической защиты информации"

6. Блог "Рупор бумажной безопасности"

7. Блог "Защита персональных данных и не только - книга рецептов"

8. Телеграм-канал "ОрдерКом"




По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

четверг, 5 ноября 2020 г.

Выступаю на BUSINESS PRIVACY FORUM 2020

Добрый день, коллеги! В этом году все онлайн, что с одной стороны плохо, так как нет живого общения, но с другой стороны хорошо, так как уравнивает наши шансы попасть на классное мероприятие из любого города страны. Вот так и я, не садясь в самолет, из пригорода Красноярска окажусь на конференции про персональные данные BUSINESS PRIVACY FORUM 2020. А сказать мне есть что.

Итак, давайте по порядку. 

Для кого: для всех, кто работает с персональными данными.

Дата и время: 24 ноября, начало в 12:00 по московскому времениЯ участвую в дискуссии в 17:40.

Участие бесплатное! Ссылка

Будут: Денис Лукаш, Михаил Емельянников, Алексей Мунтян и другие эксперты. Действительно, приятная компания.

О чем будем говорить? О персональных данных в бизнесе, о GDPR (на английском), о контроле над работниками, о некоммерческих организациях (я представляю RISC).

Также мой блог является информационным партнером мероприятия.

Почему я участвую в этом мероприятии? Потому что теме персональных данных нужно внимание, мы должны говорить о субъектах, о бизнесе, о балансе интересов. Чем больше будет таких мероприятий, тем гармоничнее будет развиваться отрасль. Поэтому приходите, будет полезно!


По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova  

среда, 28 октября 2020 г.

Межблогерский вебинар. Современные технологии в обучении ИБ

Добрый день, коллеги! В пятницу 30.10 в 16 ч по Москве нас ждёт Межблогерский вебинар!

Регистрация здесь. 

Ссылка на вебинар придет в день мероприятия.

Кто выступает?

1. Сергей Борисов, УЦСБ, "Геймификация и современные технологии в корпоративном обучении ИБ".
2. Ксения Шудрова (Лебедева), RISC, СибГУ, "Корпоративное обучение сотрудников киберграмотности: учимся у ВУЗов".
3. Вячеслав Золотарев, заведующий кафедрой безопасности информационных технологий в СибГУ "Игровые методы обучения ИБ в университете".
4. Мария Сидорова, руководитель сообщества RISC, "Как решение кейсов по ИБ сокращает разрыв между теорией и практикой в обучении".

Кому будет полезно? Каждому, кто так или иначе связан с обучением в ИБ: своих сотрудников, клиентов, студентов, школьников. Мы поговорим о том, как сделать обучение полезным и интересным для всех участников процесса.


И не забываем регистрироваться на кейс-чемпионат для студентов и аспирантов здесь.
Кейс-чемпионат по ИБ – единственное в своем роде мероприятие для студентов и аспирантов, которое проходит в формате case-study (или ситуационного анализа). Главной задачей чемпионата является формирование у будущих специалистов по ИБ практических навыков и опыта решения реальных задач. В ходе кейс-чемпионата команды решают кейсы, взятые из практики российских и зарубежных специалистов по ИБ. Кейс-чемпионат – это возможность проверить, насколько хорошо студенты усвоили теорию и готовы ли столкнуться с реальными проблемами безопасности в организации.

По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova  

четверг, 8 октября 2020 г.

Основные Документы Министерства связи и массовых коммуникаций РФ и Роскомнадзора в сфере информационной безопасности

  Добрый день, коллеги! Привожу здесь продолжение своей шпаргалки по законодательству.
 
Основные Федеральные законы здесь.
Основные Указы Президента РФ здесь.
Основные Постановления Правительства РФ здесь.

  1. Приказ Министерства связи и массовых коммуникаций Российской Федерации "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных" от 14.11.2011 N 312.
  2. Приказ Роскомнадзора "Об утверждении требований и методов по обезличиванию персональных данных» (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") от 05.09.2013 N 996.
  3. Приказ Роскомнадзора "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения" от 30.05.2017 N 94.
  4. Приказ Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных" от 15.03.2013 N 274.
  5. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14.12.2012.
  6. Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки от 02.09.2013.
  7. Комментарий Роскомнадзора к Федеральному закону "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" от 21.07.2014 N 242-ФЗ.
  8. Методические рекомендации Роскомнадзора по применению приказа Роскомнадзора "Об утверждении требований и методов по обезличиванию персональных данных" от 05.09.2013 N 996.
  9. Методические рекомендации Роскомнадзора по организационной защите физическим лицом своих персональных данных.

Patrick Antonelle. City Lights. Источник


По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova  

вторник, 6 октября 2020 г.

Судебная практика. Персональные данные. Образование

 Добрый день, коллеги! Знаю, что многим неудобно вытаскивать информацию из видеозаписи вебинара, поэтому прилагаю выборку судебной практики в текстовом формате.

Источник: https://sudrf.ru/.

Дело 1. Костромская область. Спортивная школа
Кратко: Межрайонная прокуратура провела проверку соблюдения требований действующего законодательства при организации трудовой занятости несовершеннолетних и выявила нарушения требований законодательства о защите персональных данных.
Доводы суда: 
Нет Политики обработки ПДн и других локальных актов по вопросам обработки ПДн.
Нет ЛОООПДн.
Нет мест хранения материальных носителей  персональных данных работников.
Нет внутреннего контроля.
Нет оценки вреда.
Нет ознакомления работников.
Нет мер защиты ПДн.
Результат: предупреждение.

Дело 2. Тольятти. Школа
Кратко: Прокуратура района провела проверку исполнения законодательства в сфере соблюдения прав несовершеннолетних в МБУ «Школа №» и выявила несоответствие действительности сведений из уведомления об обработке ПДн.
Доводы суда: Установлено, что в уведомлении об обработке ПДн, отсутствует информация о лице, ответственном за обработку персональных данных, однако, такое лицо было назначено приказом.
Результат: предупреждение.

Дело 3. Самара. Частный медицинский университет
Кратко: В отношении частного учреждения образовательной организации высшего образования «Медицинский университет «…» составлен протокол об административном правонарушении по ст. 19.7 КоАП РФ.
Доводы суда: В уведомлениях Университет указал все категории персональных данных, обрабатываемых в отношении всех категорий субъектов персональных данных. Сведения о наличии инвалидности для физических лиц, указаны в уведомлении в составе сведений о состоянии здоровья.
Результат: прекращено производство по делу об административном правонарушении.

Дело 4. Архангельск. Техникум
Кратко: N обратилась в суд с иском о признании незаконным приказа об объявлении ей выговора за нарушение должностных обязанностей. 4 марта 2019 года сотрудник отдела кадров N подготовила архивную справку о подтверждении обучения X по специальности «Морское судовождение» (1979-1982 гг.), присвоения ему по диплому специальности техника-судоводителя. Архивная справка направлена в инспекцию подготовки и дипломирования моряков министерства инфраструктуры Украины.
Доводы суда: На период временного отсутствия начальника техникума лицо, временно исполняющего его должностные обязанности, не было определено, N имела право подписи архивной справки техникума в соответствии с пунктом 2.6 должностной инструкции. 
Письменное согласие X  на обработку его персональных данных имелось и поступило вместе с запросом из инспекции подготовки и дипломирования моряков министерства инфраструктуры Украины.
Результат: приказ о привлечении к дисциплинарной ответственности признан недействительным, в пользу истицы взыскана денежная компенсация в размере 1000 рублей.

Дело 5. Пермь. Университет
Кратко: X работает в филиале университета начальником центра дополнительного профессионального образования, к ней было применено дисциплинарное взыскание в виде выговора, за нарушения п. 10.4 Положения «О порядке обработки и защиты персональных данных работников и лиц, обучающихся в Университете», п. 6.3. Инструкции «О порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные» и за ненадлежащие исполнение должностной инструкции. X обратилась в суд с иском к университету об отмене дисциплинарного взыскания и компенсации морального вреда в размере 30 000 рублей.
Доводы суда: В ходе переговоров о проведении обучения с ПАО «…» X посредством электронной почты направила  в качестве образца копии свидетельства ранее прошедших обучение Y и Z. Копии свидетельств были направлены с письменного согласия получателей удостоверения, X представлены письменные согласия в части их использования при составлении образцов документов.
Результат: Взыскать с ФГБОУ ВО «…» в пользу X компенсацию морального вреда в размере 2 000 рублей.

Иван Шишки. Первый снег. Ссылка

По вопросам сотрудничества и приобретения моих книг (электронных):
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

пятница, 25 сентября 2020 г.

Персональные данные в образовании

Добрый день, коллеги! Мы с Сергеем Борисовым ждем всех на очередном Межблогерском вебинаре. На этот раз говорить будем о защите персональных данных в образовательных учреждениях.  

Наш гость, Сергей Городилов (Аспект СПб), не понаслышке знает о защите персональных данных в этой отрасли, а практика слушать всегда интересно и полезно. Богатый практический опыт Сергея Борисова (УЦСБ) сомнений не вызывает, как обычно он припасет для слушателей что-нибудь полезное. Ну а про себя могу сказать, что тоже постараюсь не подвести! Тема образования для меня всегда была архиважной, а с сентября я еще и смотрю на нее изнутри, так сказать, как доцент кафедры безопасности информационных технологий СибГУ.

Вебинар пройдет 30 сентября в 15 ч. по московскому времени. 

Ждем всех заинтересованных, незаинтересованных заинтересуем!

По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 



среда, 23 сентября 2020 г.

Основные Постановления Правительства РФ в сфере информационной безопасности

 Добрый день, коллеги! Привожу здесь продолжение своей шпаргалки по законодательству.
 
Основные Федеральные законы здесь.
Основные Указы Президента РФ здесь
  1. Постановление Правительства РФ "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012 N 1119.
  2. Постановление Правительства РФ "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных" от 21.03.2012 N 211.
  3.  Постановление Правительства РФ "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" от 13.02.2019 N 146.
  4. Постановление Правительства РФ "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" от 15.09.2008 N 687.
  5. Постановление Правительства РФ "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" от 06.07.2008 N 512.
  6. Постановление Правительства РФ "О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию" от 04.03.2010 N 125.
  7. Постановление Правительства Российской Федерации "О представлении Президенту Российской Федерации предложения о подписании Дополнительного протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, касающегося наблюдательных органов и трансграничной передачи данных" от 12.12.2005 N 756.
  8. Распоряжение Правительства Российской Федерации "О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона "О персональных данных" от 15.08.2007 N 1055-р .
  9. Постановление Правительства РФ "Об утверждении Правил оказания услуг связи по передаче данных" от 23.01.2006 N 32.
  10. Постановление Правительства РФ "О лицензировании деятельности по технической защите конфиденциальной информации" от 03.02.2012 N 79.
  11. Постановление Правительства РФ "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" от 03.03.2012 N 171
  12. Постановление Правительства РФ "Об организации лицензирования отдельных видов деятельности" от 21.11.2011 N 957.
  13. Постановление Правительства РФ "Об утверждении типовой формы лицензии" от 06.10.2011 N 826.
  14. Постановление Правительства РФ "Об утверждении положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль" от 15.09.2008 N 691.
  15. Постановление Правительства РФ"О сертификации средств защиты информации" от 26.06.1995 N 608
  16. Постановление Правительства РФ "О вопросах государственного контроля (надзора) и признании утратившими силу некоторых актов Правительства Российской Федерации" от 05.06.2013 г. N 476.
  17. Постановление Правительства РФ "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд" от 16.11.2015 N 1236.
  18. Постановление Правительства РФ "Об утверждении Положения о Федеральном агентстве связи" от 30.06.2004 г. N 320.
  19. Постановление Правительства РФ "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" от 03.11.1994 N 1233.
  20. Постановление Правительства РФ "Об утверждении положения о защите информации в платежной системе" от 13.06.2012 N 584.
  21. Постановление Правительства РФ "Об утверждении правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" от 08.02.2018 N 127.
  22. Постановление Правительства РФ "О внесении изменений в Постановление Правительства Российской Федерации от 8 февраля 2018 г. N 127" от 13 апреля 2019 г. N 452.
  23. Постановление Правительства РФ "Об утверждении правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" от 17.02.2018 N 162.
Вяйнё Альфред Бломстедт. Ссылка

По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova