Информационное. 28 мая выступаю на АнтиТеррор

Добрый день, дорогие читатели! В четверг 28 мая я выступаю на научно-практической конференции "Опыт организации мероприятий по противодействию идеологии терроризма. Научные и практические подходы к оценке их эффективности" в качестве независимого эксперта в рамках мероприятия АнтиТеррор в г. Красноярске. Мое выступление пройдет в рамках Секции № 2 (Конференц-зал № 2, Гранд Хол) "Практика организации мероприятий по защите информационного пространства от распространения идеологии терроризма. Механизмы оценки результативности их реализации". Тема доклада - "Практические вопросы защиты персональных данных". Регламент: 15 минут.

В доклад я бы хотела включить следующие вопросы, но понимаю, что на все времени не хватит:

1. Автоматизированная или нет? Этот важный вопрос волнует многих – как понять, какая обработка ПДн на бумаге не попадает под действие федерального закона? В статье 1 ФЗ № 152 указано, что характер действий, совершаемых при неавтоматизированной обработке, должен быть аналогичен характеру действий с использованием средств автоматизации, иначе закон не распространяется. 
2. Что такое ПДн? Определение ПДн слишком широко. Сколько раз мне задавали вопрос: «А это ПДн?», столько раз приходилось отвечать: «Да». 
3. Что выходит за рамки трудовых отношений? Одним из «поводов» обработки персональных данных являются договорные отношения с субъектом. В таком случае согласие не берется. Обработка данных работников в это исключение попадает, но не вся. 
4. Биометрия или нет? Можно иметь разное мнение на этот счет, рознящиеся выводы регулятора от проверки к проверке это подтверждают.
5. Обрабатываем ли мы специальные категории? К примеру, что значит «данные о состоянии здоровья»? 
6. Можно ли хранить данные за рубежом? Вопросы закона 242-ФЗ, который вступит в силу в сентябре, неоднократно обсуждались коллегами. Мне, как и многим, непонятно, каким образом будут работать авиакомпании, туроператоры, социальные сети и почтовые службы. 
7. Как построить модель угроз? В Постановлении Правительства 1119 определено всего три типа угроз и операторам предлагается на основании решения об их актуальности определить уровень защищенности ИСПДн. А от уровня защищенности в свою очередь напрямую зависит, какие меры защиты нужно принимать. 
8. Какие документы нужно разработать? Операторам очень не хватает перечня необходимых для разработки документов с утвержденными формами. Можно ориентироваться на Постановление Правительства 211 в части перечня, но оно распространяется только на государственные и муниципальные учреждения. 
9. Как производить оценку вреда субъекту? Что будет, если утечет анкета клиента из магазина одежды? Как минимум покупатель получит непрошеные звонки, смс, e-mail от неизвестных фирм. Но каким образом и в каких единицах оценить этот вред - непонятно. 
10. Чем грозят нарушения? Это самый первый вопрос, который задает руководство специалисту по персональным данным. К сожалению, честный ответ на него заставляет задуматься, так ли уж необходимо их защищать. В статье 13.11 КоАП на сегодняшний день определены совсем уж мизерные штрафы, но специалисты уже несколько лет ждут поправок и возможно ответственность все-таки станет весомей. 

В связи с тем, что времени на доклад катастрофически мало и надо от чего-то из перечня отказываться, обращаюсь с вопросом к уважаемым читателям. Какие практические вопросы защиты персональных данных Вы считаете наиболее важными и интересными?

Страница ВК: https://vk.com/kshudrova - свежие посты, а также ссылки на интересные материалы других авторов.

Моя книга о защите персональных данных: Скачать можно здесь.