Соблюдение законодательства о персональных данных в кредитно-финансовых учреждениях в 2025 году. Усиление ответственности за незаконную обработку и утечки персональных данных
24 июня
Вебинар
Описание
Аннотация
Уникальный вебинар по наиболее сложным проблемам реализации законодательства Российской Федерации в области персональных данных, созданный на основе реальных проектов по защите персональных данных в кредитно-финансовых учреждениях, выполненных автором вебинара М.Ю. Емельянниковым, аналитических исследований, проведенных, в том числе, в составе экспертных групп по применению законодательства о персональных данных при Совете Федерации, Минкомсвязи, Роскомнадзоре и Ассоциации российских банков.
На вебинаре будут проанализированы изменения законодательства, в частности, внесенные Федеральным законом от 14.07.2022 № 266-ФЗ и вступившие в силу в 2022-2024 годах, которые вполне справедливо называют реформой законодательства о персональных данных и которые затрагивают многие аспекты деятельности операторов и их взаимоотношений с субъектами персональных данных и органами власти. Во исполнение требований нового закона приняты многочисленные нормативные правовые акты – постановления правительства РФ и приказы Роскомнадзора, уполномоченного органа по защите прав субъектов персональных данных и проведению мероприятий федерального государственного контроля и надзора за обработкой персональных данных.
Будет проведен детальный анализ новых федеральных законов от 30.11.2024 №№ 420 и 421, устанавливающих с 30 МАЯ 2025 года новые составы уголовных преступлений и административных правонарушений, связанных с незаконной обработкой и утечкой персональных данных, значительно ужесточающих наказания операторов персональных данных и физических лиц за утечку и незаконный доступ к персональным данным с введением реальных сроков лишения свободы и штрафов, исчисляемых миллионами рублей, в том числе оборотных штрафов до 500 миллионов рублей.
Будут рассмотрены изменившиеся требования закона и положения постановлений Правительства РФ от 29.06.2021 № 1046, от 29.12.2022 № 2526, от 10.01.2023 № 6, от 16.01.2023 № 24, от 04.02.2023 № 161, приказов Роскомнадзора от 05.08.2022 № 128, от 27.10.2022 № 178, от 28.10.2022 № 179, от 28.10.2022 № 180, от 14.11.2022 № 187, приказа ФСБ России от 13.02.2023 № 77.
Также рассматриваются организация федерального государственного контроля (надзора) за обработкой персональных данных с 1 июля 2021 года, определенная Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», статьей 23.1 закона «О персональных данных» и Постановлением Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных», а также мораторий на проведение плановых и внеплановых проверок, введенный Постановлением Правительства РФ от 10.03.2022 № 336 и последующими изменениями в него, границы моратория и исключения из него в 2025 году.
Федеральным законом от 08.08.2024 № 233-ФЗ определен порядок обезличивания с сентября 2025 года персональных данных для их последующей обработки в государственной информационной системе, которая будет создана Минцифры России в целях обучения искусственного интеллекта, и в государственной информационной системе ДИТ г. Москвы для разработки и внедрения технологий искусственного интеллекта, требования к пользователям таких систем и передаче результатов обработки.
Закон с 8 августа 2024 года снимает запрет на доступ к персональным данным при проведении проверок реализации организационных и технических мер их защиты ФСБ России, обязывает операторов применять для уничтожения персональных данных прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.
1 ИЮЛЯ 2025 ГОДА вступает в силу Федеральный закон от 28.02.2025 N 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации", изменяющий формулировку требований части 5 статьи 18 закона «О персональных данных» в части необходимости локализации в период сбора персональных данных россиян в базах данных на территории Российской Федерации. В ходе вебинара будет проведен сравнительный анализ старой и новой редакции статьи, сделаны выводы о необходимости каких-либо дополнительных действий оператора для обеспечения соответствия требованиям законодательства.
В рамках вебинара будут анализироваться требования смежных законов, в частности, Трудового кодекса РФ, закона о банках и банковской деятельности, об архивном деле и др. Рассматриваются особенности отнесения к специальным категориям сведений о состоянии здоровья и инвалидности, допустимость и порядок обработки сведений о судимости, персональных данных кандидатов на вакантные должности организации, близких родственников работников, различных категорий субъектов, не состоящих с банками в договорных отношениях, но чьи персональные данные обрабатываются банками (лиц, в пользу которых заключается договор вклада, лиц, имеющих право распоряжения средствами на счетах клиентов, пользователей банковских ячеек, посетителей, представителей контрагентов и т.д.), вопросы отнесения к биометрическим данным фотографических и видео- изображений.
Аудитория
· Руководители и специалисты структурных подразделений кредитно-финансовых учреждений, в ведении которых находится обработка персональных данных.
· Лица, ответственные за организацию обработки персональных данных.
· Специалисты служб безопасности и информационной безопасности.
· Юристы кредитно-финансовых учреждений.
· Должностные лица, ответственные за управление рисками и выполнение требований законодательства (комплаенс), за реализацию правил внутреннего контроля и проведение внутреннего аудита.
· Руководители и специалисты операционных подразделений.
Предварительная подготовка
Общее представление о законодательстве Российской Федерации в области персональных данных, организации бизнес-процессов, связанных с обработкой персональных данных в кредитно-финансовых учреждениях.
Программа вебинара
1. Реформа законодательства о персональных данных в России
· Экстерриториальность Федерального закона «О персональных данных».
· Расширение полномочий Роскомнадзора.
· Уведомление об утечках персональных данных, сроки и состав уведомлений.
· Оценка вреда субъектам персональных данных.
· Подтверждение уничтожения персональных данных, содержание акта об уничтожении и выгрузки из журнала регистрации событий в информационной системе персональных данных.
· Новые особенности получения согласия субъекта на обработку его персональных данных оператором.
· Изменения порядка поручения обработки персональных данных иному лицу.
· Трансграничная передача персональных данных в новой редакции закона. Недопустимость любой трансграничной передачи без уведомления Роскомнадзора с 1 марта 2023 года.
· Новые права субъектов персональных данных.
· Новые обязанности оператора.
· Изменения в порядке уведомления Роскомнадзора о намерении обрабатывать персональные данные. Надо ли подавать новое уведомление в связи с изменением закона и особенности подачи уведомления о произошедших изменениях в организации обработки.
2. Обработка персональных данных работников банка, членов их семей, соискателей вакантных должностей, акционеров и аффилированных лиц.
· Общие требования при обработке работодателем персональных данных работников.
· Передача персональных данных работников между структурными подразделениями банка и иным лицам.
· Согласие работника банка на передачу персональных данных в письменной форме.
· Персональные данные, не требующие обеспечения конфиденциальности. Раскрытие кредитной организацией информации о лицах, под контролем либо значительным влиянием которых он находится, о квалификации и опыте работы руководителей, об аффилированных лицах на сайте банка. Особенности раскрытия этих сведений в 2025 году.
· Особенности обработки персональных данных специальных категорий. Сведения о судимости. Персональные данные, избыточные по отношению к заявленным целям обработки.
· Биометрические персональные данные и фотографии работников.
· Видеонаблюдение в банке.
· Принятие решений в отношении работников на основании исключительно автоматизированной обработки.
· Обработка персональных данных членов семей работников.
· Обработка персональных данных соискателей вакантных должностей.
3. Обработка персональных данных о клиентах и иных лицах, не состоящих с банком в трудовых отношениях.
· Клиенты банка-субъекты персональных данных и субъекты, не являющиеся работниками и клиентами, чьи данные обрабатываются банком в рамках оказания банковских услуг.
· Общедоступные персональные данные о клиентах. Федеральный закон 152-ФЗ «О персональных данных» и № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».
· На обработку каких персональных данных клиента надо получать его согласие и как?
· Уведомление банков субъектов, не являющихся клиентами, о начале обработки их персональных данных.
· Получение персональных данных при обращении в банк. Требования закона «О защите прав потребителей» и административная ответственность за их несоблюдение.
· Продвижение услуг и продуктов банка путем прямых контактов с клиентами с использованием средств связи. Позиция ФАС и Банка России.
· Содержание договоров с клиентами и их согласий на обработку персональных данных. Характерные ошибки и несоответствия законодательству о персональных данных в договорах с клиентами. Позиция Роскомнадзора, Банка России.
· Получение персональных данных клиентов через сеть Интернет. Использование данных из социальных сетей и других общедоступных ресурсов Интернета для оценки кредитоспособности клиента.
4. Ужесточение ответственности за неправомерную обработку персональных данных.
· Изменения в Кодексе Российской Федерации об административных правонарушениях
° Новые части статьи 13.11 КоАП РФ. Ответственность за утечку персональных данных, неуведомление об обработке персональных данных и их утечку.
° Ответственность за нарушения, связанные с обработкой биометрических персональных данных при взаимодействии с Единой биометрической системой.
° Новое нарушение прав потребителей.
° Кто еще рассматривает теперь дела по нарушениям, предусмотренным статьей 13.11.
° Сроки рассмотрения дела об административном правонарушении.
° Особенности уплаты штрафов за допущенные нарушения.
· Новая статья Уголовного кодекса Российской Федерации и ответственность за незаконный доступ к персональным данным при их компьютерной обработке и незаконное использование полученных таким образом персональных данных. Возможные случаи привлечения к ответственности.
· Особенности новых законов и проблемы их возможного правоприменения
5. Федеральный государственный контроль (надзор) за обработкой персональных данных.
· Надзорные органы и их полномочия.
· Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных (Постановление Правительства РФ от 29.06.2021 № 1046). Объекты контроля. Риск-ориентированный подход к проведению проверок. Группы Категории рисков, группы тяжести и группы вероятностей. Отнесения к категориям риска и их учет при проведении контрольных мероприятий. Профилактика рисков причинения вреда (ущерба). Инспекционный визит, документарная и выездная проверка. Мероприятия по контролю без взаимодействия с контролируемым лицом.
· Контроль и надзор в сфере идентификации и аутентификации.
· Проверочные листы и самоконтроль.
· Мораторий на проверки в 2025 году и его границы.
6. Изменения в законодательстве о персональных данных в части обезличивания
с 1 сентября 2025 года.
· Требования новой статьи 13.1 Федерального закона «О персональных данных»: формирование составов обезличенных данных и их передача в ГИС Минцифры России; пользователи ГИС Минцифры России, требования к ним, обработка пользователями данных в ГИС; кто и для каких систем устанавливает требования к обезличиванию и методы обезличивания.
· Особенности формирования региональных составов персональных данных, полученных в результате обезличивания, в ГИС ДИТ г. Москвы.
· Средства защиты информации для уничтожение персональных данных с 08.08.2024.
· Снятие с 08.08.2024 ограничений для ФСБ России по доступу к персональным данным в ходе проверок.
7. Локализация персональных данных в период их сбора в новой редакции закона.
· Краткая история вопроса.
· Изменения формулировки требования о локализации в новой редакции закона с 01.07.2025.
· Риски использования зарубежных метрических систем для анализа файлов cookies.
· Дорожная карта использования зарубежных информационных систем персональных данных без нарушений требований законодательства.
Вебинар
14690 руб.|
Предложить тему семинара
|
