Сергей Кормилицин| Конфиденциально. Юрист о персональных данных и бизнесе
89 subscribers
114 photos
7 videos
4 files
83 links
Основатель Юридического бутика Polegis

Про персональные данные и бизнес простым языком.

Уникальный контент без юридического занудства.

Обо мне: https://taplink.cc/sk_advokat
Связь: https://t.me/sk_advokat
Полезные материалы:
https://t.me/polegis_bot
Download Telegram
👍Друзья, у нас отличные новости!

👍Обновили чек-лист "8 признаков, что ваш сайт нарушает закон"
👍Выложили целое руководство по работе с персональными данными для медицинских организаций: там максимально детально и понятно рассказываем про персональные данные в клиниках, как с ними работать и не ошибаться.

📌 Где найти?
Заходите в бот → «Полезные материалы» → «Гайды».

😱Перейти на канал

😀😀😀😀

#полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥421
Ответ ООО «СК «Согласие».docx
105.4 KB
👍Ситуация из личного

Покупал ОСАГО на сайте СК «Согласие":
👍Прям перед оплатой "галочка": согласие на обработку данных, с политикой конфиденциальности, с пользовательским соглашением.
😀Внутри - согласие на получение рекламных рассылок, в том числе от партнеров страховой компании.
👍Хочешь купить полис - автоматически соглашаешься на получение рекламы.

☺️Но яжюрист, поэтому направил заявление с требованием прекратить обработку моих данных с целью рассылки мне рекламы😅

☺️Жаловаться никуда не стал, ждал насколько адекватно ответят.
Ответили корректно - сказали посмотреть вложенный файл, еще и поблагодарили😁

💡В чем вывод для бизнеса: не мешайте все в кучу.
При обработке персональных данных маркетинговые цели - всегда отдельным согласием и без навязывания при покупке вашего товара или услуги.
😳Иначе это прямой риск жалобы, а дальше проверка и штраф.

🙌 Остались вопросы - пишите.

😱Перейти на канал

😀😀😀😀

#кейсы
Please open Telegram to view this post
VIEW IN TELEGRAM
👏52👍11
👍Первый штраф по утечке
В марте было вынесено первое решение с "крупным" штрафом за утечку персональных данных

☺️Арбитражный суд Москвы привлек онлайн-академию Юкидс к ответственности и назначил штраф 400 000 рублей за утечку данных более 100 000 пользователей.

Чем для всех нас примечательно решение:

✍️данные утекли из Битрикс24
👍Это важно для всех сфер, потому что ссылаться на то, что данные утекли из сторонней информационной системы, будь то CRM, МИС и т.д., и поэтому вы не виноваты - практически невозможно, по крайней мере, пока это особо никому не удавалось.
Вы - оператор данных, значит вы и отвечаете, а какой информационной системой вы пользуетесь - ваши проблемы.

✍️штраф снижен до 400 000 рублей вместо 10 000 000 рублей
👍малые предприятия могут просить уменьшить штраф, и, как видим, это работает.

✍️база была слита в закрытом телеграмм-канале, инспектор Роскомнадзора при проверке сопоставлял утекшие данные с фактической базой в организации

✍️если вы уведомили РКН об утечке - это не освобождает вас от ответственности
👍Помним, что если вы не будете уведомлять, то можете дополнительно получить 1 млн штрафа за отсутствие уведомления об утечке.

☺️Вот такие дела, друзья. Проверяйте подрядчиков, настраивайте доступы внутри своей компании, разрабатывайте все необходимые документы и технически защищайте данные. Иначе - штрафы неизбежны

🙌А если нужна помощь - обращайтесь

😱Перейти на канал

😀😀😀😀

#мнение
Please open Telegram to view this post
VIEW IN TELEGRAM
32🔥1
👀Смотрю на тебя как на субъекта персональных данных

😱Перейти на канал

😀😀😀😀

#пятничныймем
Please open Telegram to view this post
VIEW IN TELEGRAM
43😁2
Дошли руки выложить майские картинки 🐌

В бане - парился 🌟
В футбол - играл
С семьёй время - проводил 👶🏻

Скоро будет экспертный контент!

#жизнь
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
8🥰6
Почему уведомление в Роскомнадзор (РКН) совсем не про защиту персональных данных?

Общаясь с потенциальными клиентами из малого бизнеса, очень часто я слышу
Мы подали уведомление в РКН, у нас с персональными данными все в порядке


Сейчас дам непрошенный совет, почему это неправильно 😁

☺️Уведомление в РКН решает всего две задачи:
1. Избавляет от штрафа за его неподачу до 300 000 рублей (обычно суды назначают 50 000 - 100 000 рублей).
2. Фиксирует для проверяющего органа информацию о том, какие данные ваш бизнес обрабатывает, с какими целями, на каких основаниях, чьи это данные и как они защищаются.

Так почему уведомление вообще не про защиту:
1. Для РКН это отличный источник информации - прям бери и начисляй штрафы, только рук не хватает пока у них.
2. Информация в уведомлении, документах и бизнес-процессах организации расходится.

😳Главный вывод - уведомление легко может стать доказательством для начисления штрафов по другим нарушениям
В одном из недавних примеров, клиника в уведомлении РКН указала всего одну цель обработки данных - соблюдение законодательства в сфере здравоохранения.
По факту, в любой клинике будут цели обработки данных по сотрудникам, по пенсионному законодательству, маркетинговые цели.

😳А ведь неуказание цели в уведомлении легко приравнять к отсутствию уведомления - вот и основание для штрафа. А если для цели требуется согласие, то и еще один штраф.

3. Информация указана "наобум"

У одного из клиентов до начала работы с нами было про защиту информации:
👍в политике конфиденциальности - и разграничение доступа к базам данных, и антивирусное ПО, и всякие межсетевые экраны, и восстановление данных в случае несанкционированного доступа.
👍в уведомлении - малая часть из этого.
👍по факту - ничего из этого😁

☺️Если смотреть на практику привлечения к ответственности, то именно соблюдение всех мер защиты, фактическое, а не только на бумаге, позволяет попробовать уйти от штрафа

Мы всегда рекомендуем выстраивать полноценную систему защиты персональных данных в бизнесе, потому что одним уведомлением или согласием на сайте не получится даже формально соблюсти требования закона и избежать штрафов.

🙌 Обсудить вашу задачу

😱Перейти на канал

😀😀😀😀

#полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
33🔥1
👍Вы знаете, что такое категорирование КИИ и во что обойдется незнание?

Большинство клиник не знают об обязанности пройти категорирование критической информационной инфраструктуры.

В последнее время медицинские организации получают запросы о прохождении процедуры категорирования и предоставлении подтверждающих документов

О чем речь?
КИИ в медицине - это информационные системы и сервисы, нарушение работы которых может повлиять на оказание медицинской помощи, работу клиники или доступность медицинских услуг.

Категорировании КИИ сегодня - обязанность клиник (№ 187-ФЗ)


Как организовать процесс категорирования КИИ?
1. Сформировать комиссию
2. Определить перечень объектов КИИ и перечень бизнес-процессов, которые с ними связаны
3. Присвоить категорию (или обосновать, что система не относится к КИИ)
На основе полученных оценок объекту присваивается одна из трёх категорий: I (высшая), II (средняя) или III (базовая). Если ни один критерий не достиг порогового значения, фиксируется отсутствие необходимости присвоения категории
4. Подготовить акт категорирования для ФСТЭК
5. Отправить документы в ФСТЭК
и следить за статусом

😳Важно: даже если категория не присваивается, процедуру всё равно нужно пройти

😳Частые ошибки клиник:
😀не учли все используемые системы;
😀неправильно определили значимость объекта;
😀подготовили неполный комплект документов;
😀допустили ошибки при оформлении акта категорирования.

🤑Последствия халатности:
✍️Штрафы - до 500 000 рублей
✍️В отдельных случаях инциденты на объектах КИИ могут повлечь ответственность, предусмотренную ст. 274.1 УК РФ

☺️Мы помогаем пройти эту процедуру под ключ, вы получаете:
😀подготовку документов для создания комиссии;
😀анализ объектов КИИ;
😀определение категории значимости;
😀комплект документов по категорированию;
😀сопровождение взаимодействия с ФСТЭК

🙌  Если вы хотите, чтобы процедура прошла быстрее и спокойнее, пишите, поможем!

😱Перейти на канал

😀😀😀😀

#полезное
Please open Telegram to view this post
VIEW IN TELEGRAM
5😎3
👍Мало пишу, т.к. сейчас высокая рабочая загрузка 🤓

☺️В работе:
😀Проект по персональным данным в медицинской клинике
😀Категорирование критической информационной инфраструктуры в сети офтальмологий
😀Подготовка договоров и системы защиты персональных данных в онлайн-платформе для картингов
😀Документы по персональным данным для корпоративной платформы

✍️А еще никто не отменял абонентку, привлечение клиентов и работу по маркетингу😁

🙌 Так что, вот фоточки из Питера, был на прошлой неделе на Петербургском медицинском форуме, скоро напишу пост про него

😱Подписывайтесь на канал, чтобы не пропустить

😀😀😀😀

#жизнь
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥44
👍19 июня выступал на Петербургском медицинском форуме

Питер встретил прекрасной погодой: удалось погулять и даже посмотреть некоторые достопримечательности

Для этого доклада вместе с командой Polegis подготовили текстовый квест на тему "Персональные данные в медицине: проверки, ошибки и практические решения для клиник"


💡В этот раз решили отойти от стандартного формата лекции: придумали сценарий, нарисовали картинки, чтобы в ходе доклада слушатели могли встать на место руководителя клиники и влиять на исход придуманной нами истории (поглядите на картинки из квеста, как вам?)

☺️ Итог: аудитория довольна, материал лучше усвоился благодаря вовлеченности и личному участию

😱Перейти на канал

😀😀😀😀

#жизнь #события
Please open Telegram to view this post
VIEW IN TELEGRAM
33🔥1