Законодательство о персональных данных для финансовых организаций

18 Июля 2017
10.00 - 17.30
г. Москва, ул. Крымский вал, д.3 стр.2 БЦ «Крымский Вал», оф.501
Посмотреть на карте

Лектор: Лукацкий А.В., Бизнес-консультант по информационной безопасности компании Cisco Systems.

Программа курса

1. ФЗ-152 и особенности его исполнения.

a. Что такое персональные данные?
b. Являются ли ИНН, номер паспорта, IP-адрес, телефон и адрес e-mail персональными данными?
c. Что такое изображение человека и любая ли фотография является биометрическими ПДн?
d. Почему так важно выбрать цель обработки ПДн?
e. Как долго можно хранить ПДн?
f. В каких случаях организация обрабатывает ПДн, но не является оператором ПДн?
g. Как уменьшить число случаев, когда надо уведомлять Роскомнадзор?
h. Как уменьшить число случаев, когда надо получать согласие субъекта ПДн?
i. Что такое согласие?
j. Как обрабатывать резюме или анкеты на получение микрозаймов или страховки, не имея согласия?
k. Можно ли обрабатывать информацию о судимости?
l. Могу ли я не отвечать на запросы субъекта ПДн?
m. Что такое обезличивание и как с его помощью можно решить многие проблемы?
n. Как архив может помочь уйти из под действия ФЗ-152?
o. Можно ли получить согласие в виде «галочки» на сайте?
p. Как оформить обработку получения ПДн от третьих лиц?
q. Как передавать ПДн третьим лицам?
r. Инвалидность и другие примеры «состояния» здоровья, а также что такое вообще «состояние здоровья»?
s. Почему субъект ПДн не может отказаться от данного согласия?
t. Можно ли хранить персональные данные россиян за пределами России?


2. Постановления Правительства по вопросам персональных данных.

a. ПП-512, ПП-687, ПП-1119, ПП-211 и другие


3. Как определить уровень защищенности своих персональных данных?
a. Как разработать собственную модель угроз?
b. Методики моделирования угроз ФСТЭК, ФСБ и Банка России
c. Надо ли согласовывать модель угроз с регуляторами?
d. Надо ли бороться с закладками в программном и аппаратном обеспечении?

4. Защита персональных данных 

a. Требования ФСТЭК
b. Требования ФСБ
c. Требования Банка России
d. Надо ли мне сертифицировать общесистемное и прикладное ПО по требованиям безопасности?
e. Обязан ли я получать лицензию ФСТЭК на техническую защиту конфиденциальной информации?
f. Могу ли я защитить ИСПДн несертифицированными средствами защиты?
g. Надо ли мне аттестовывать ИСПДн?
h. Налоговая и отсутствие лицензии ФСТЭК или ФСБ
i. Можно ли обойтись без криптографии?
j. Конфиденциальность и криптография: это одно и тоже?
k. Надо ли использовать сертифицированные СКЗИ для защиты ПДн?
l. Надо ли получать лицензию ФСБ для защиты ПДн?
m. Почему можно не использовать сертифицированные СКЗИ при передаче ПДн за пределы России?
n. В каких случаях я могу не использовать криптосредства при передаче по открытым каналам связи?

5. Типовые случаи обработки персональных данных
a. Деятельность кредитного бюро
b. Обработка ПДн ближайших родственников клиентов и сотрудников
c. Использование скоринговых систем
d. Прямой маркетинг товаров и услуг
e. Ведение и использование «черных списков» должников, мошенников и т.п.
f. ОСАГО, страховая медицина и иные страховые услуги
g. Работа роддомов и поликлиник
h. Контроль за электронной почтой сотрудников
i. Платежи третьим лицам
j. Открытие счетов
k. Использование видеонаблюдения
l. Обработка резюме и заявок на получение банковского кредита
m. Обработка ПДн членов Правления, Совета Директоров, Ревизионной комиссии и т.п.
n. Обработка ПДн при работе с международными платежными системами
o. Использование услуг курьеров и логистических компаний
p. Видеонаблюдение, аудиозапись, Call Center, контроль e-mail
q. Доверенности и представительство
r. ПДн генерального директора и главного бухгалтера клиентов банка
s. Коллекторские агентства
t. Аффилированные лица
u. Акционеры
v. Противодействие легализации отмыванию доходов, полученных преступных путем и обработка ПДн
w. Резервные копии и архивы
x. Регистрация Интернет-доменов
y. Пропускные бюро
z. Как получить согласие получателя платежа?
aa. Доверенности
bb. Модно ли передавать ПДн в органы власти без согласия субъектов?
cc. Как передавать ПДн аутсорсинговым партнерам?
dd. Зарубежные SaaS-сервисы и ПДн
ee. Можно ли обрабатывать ПДн при открытии вклада в пользу третьего лица?
ff. Завещательное распоряжение денежными средствами
gg. Можно ли распоряжаться денежными средствами по требованию третьих лиц?
hh. Как обрабатывать ПДн при оплате от имени или в пользу третьего лица?
ii. Расчет платежными поручениями и ПДн
jj. Надо ли уничтожать ПДн после проведения платежа?
kk. Обработка ПДн и действия в чужом интересе без согласия
ll. Обработка ПДн на Интернет-сайтах
mm. Обработка ПДн по телефону
nn. Обработка ПДн при корпоративном управлении (ПДн акционеров)
oo. Обработка ПДн соискателей
pp. Обработка ПДн в кадровом резерве
qq. Обработка ПДн уволенных работников
rr. Передача ПДн работников третьим лицам
ss. Опубликование ПДн работников в Интернет
tt. Обработка ПДн ближайших родственников работников
uu. Обработка спецкатегорий ПДн работников
vv. Обработка ПДн при пропускном режиме работников
ww. Брокерское обслуживание и ПДн
xx. Индивидуальные предприниматели, юрлица, акционеры в контексте 129-ФЗ «О государственной регистрации юрлиц и ИП»

6. Административное, дисциплинарное и уголовное наказание за несоблюдение законодательства по персональным данным.
a. Статьи Уголовного Кодекса
b. Статьи Кодекса об административных правонарушениях
c. Статьи Трудового Кодекса

7. Надзор и контроль за выполнением требованиями по защите персональных данных.
d. В каких случаях может «нагрянуть» проверка?
e. Может ли вообще регулятор придти меня проверять?
f. Что, как и когда может проверять Роскомнадзор?
g. Что, как и когда может проверять ФСТЭК?
h. Что, как и когда может проверять ФСБ?
i. Зачем приходит проверять УСТМ МВД?
j. О правомочности РКН и ФСТЭК проводить проверки технических мер коммерческих организаций
k. Какова процедура проверки со стороны РКН?
l. Должен ли я получать лицензию на защиту персональных данных?
m. Краткий анализ практики проверок Роскомнадзора
n. Краткий анализ практики проверок ФСТЭК и ФСБ
o. Административные регламенты проведения проверок со стороны регуляторов
p. Сводный план проверок Генпрокуратуры
q. Алгоритм опротестования результатов проверок надзорных органов
r. Какие документы запрашивают при проверках

8. Другие вопросы
s. Последние изменения законодательства о персональных данных

Организаторы оставляют за собой право внесения оперативных изменений в программу семинара.