152-ФЗ для детсада. Как не упасть в обморок, если вы — заведующий

В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих правах: жалобы в случае разглашения информации о ребенке могут привести к проверке и санкциям. Одной публикации на сайте списка детей или фотографий без согласия достаточно, чтобы создать проблемную ситуацию. Таким образом, владеть базовыми знаниями о 152-ФЗ сегодня необходимо каждому руководителю ДОУ. Поэтому, а еще потому что у большинства детских садов нет собственного специалиста по защите персональных данных, а приглашать внешнего эксперта часто не позволяет бюджет я решил написать эту статью. Надеюсь она поможет разобраться ответственным лицам (заведующим, директорам, юристам дошкольных образовательных учреждений (ДОУ)). Большинство общих обзоров закона о персональных данных, к сожалению, мало пригодны для решения практических задач в детском саду. Моя цель – изложить требования максимально прикладным языком, с акцентом на реальных ситуациях ДОУ. Предположу, что читателю уже знакомы базовые понятия: кто такой оператор и лицо, действующее по поручению оператора, какие принципы обработки данных установлены законом, что включает в себя политика оператора по ПДн, а также общие меры защиты информации. Не вдаваясь глубоко в теорию, сконцентрируюсь на специфике дошкольных учреждений и дам пошаговые рекомендации. Статья структурирована так, чтобы ее можно было легко прочитать и использовать как справочник – вы сможете цитировать отдельные разделы или пересылать коллегам.

https://habr.com/ru/articles/969844/

#152фз #152фз #пдн #персональные_данные

ПДн в нашем доме или 152-ФЗ в практике ЖКХ

В последнее время так совпало, что я много общался с ЖКХ не как юрист и ИБ-специалист, а как обычный собственник жилья. Споры с управляющей компании, перерасчёты, общие собрания, домовые чаты, запросы в ГИС ЖКХ — в общем полный набор «бытового» взаимодействия. И почти в каждом эпизоде, где всплывали персональные данные, картина была одинаковая:

https://habr.com/ru/articles/966946/

#152фз #152фз #пдн #персональные_данные #жкх

Согласие на обработку ПДн: где обязательно, где нет и как всё оформить правильно

Что-то очень много вопросов про согласие и его оформление задают мне в последнее время. Поэтому решил написать много текста в виде максимально развернутого ответа на эту тему. Надеюсь кому-то поможет разобраться в теме. Так что наливаем чай или кофе, и приступаем :)

https://habr.com/ru/articles/955092/

#ПДн #персональные_данные #152фз #152фз

Как правильно уничтожать персональные данные по требованиям Роскомнадзора

Прежде чем рассматривать порядок и случаи уничтожения, важно понимать определение этого понятия. Уничтожение персональных данных в российском законодательстве означает действия, после которых невозможно восстановить содержание персональных данных в информационной системе и/или в результате которых уничтожаются материальные носители персональных данных consultant.ru . Иными словами, данные должны быть удалены безвозвратно, чтобы ни в электронном виде, ни на бумажных носителях нельзя было восстановить информацию о субъекте данных.

https://habr.com/ru/articles/946790/

#пдн #персональные_данные #152фз #152фз

Можно ли бизнесу вести каналы, общаться с клиентами и делать чат-ботов в Telegram? Разобрались вместе с юристами

В июле ужесточили законодательство относительно использования иностранных мессенджеров: вместо привычных Telegram и WhatsApp рекомендуется использовать мессенджеры из реестра российского ПО, такие как VK, Max, СберЧат и Яндекс Чат. Сначала некоторым компаниям запретили вести коммуникацию в иностранных мессенджерах, а потом и для всех компаний ужесточили требования по сбору и обработке персональных данных. Проблема в том, что аудитория не привыкла пользоваться этими мессенджерами, а бизнес не готов терять аудиторию.

https://habr.com/ru/articles/946282/

#персданные #152фз #чатбот #чатботы_в_телеграм #мессенджеры

Кто на самом деле отвечает за защиту информации в организации: зона ответственности ИТ и ИБ

Когда происходит утечка, кто виноват первым? Конечно, айтишники. Сервер они настраивали, доступ они выдали, антивирус не сработал — все логично. Вот только это неправильная логика . Потому что ИТ в большинстве случаев отвечают за инфраструктуру, а информационная безопасность — совсем другая функция . Стоит спросить себя: кто и как в вашей компании должен реагировать на инциденты? Кто по документам ответственный за защиту конфиденциальной информации? Кто и как проводит расследования, моделирует угрозы, разрабатывает политику безопасности и объясняет бизнесу, что нельзя хранить Excel с данными клиентов в открытый Google Диск? Если на все вопросы ответ: «технический директор» или «наш админ», то это означает одно — в компании нет организованной ИБ-функции .

https://habr.com/ru/articles/946122/

#152фз #разграничение_ит_и_иб #ciso

Почему посольство просит скинуть фото паспорта в WhatsApp — и что с этим не так

Казалось бы, какое отношение беспорядки в Непале могут иметь к информационной безопасности в России? Примерно так я и думал, пока мне прямо с утра в глаза не бросился выделенный брутальным красным цветом пост в официальном Telegram‑канале МИД России, призывающий сограждан передавать свои персональные данные «для учета» через WhatsApp.

https://habr.com/ru/articles/945784/

#Минцифры #министерство_цифрового_развития #госуслуги #whatsapp #мид #персональные_данные #152фз

Почему одно письмо с ФИО в почте делает вас оператором персональных данных?

Периодически мне задают следующий вопрос — «Наша компания не имеет базы данный по клиентам, не ведет кадровый учет и вообще не собирает, не хранит и не обрабатывает ПДн. Если клиент прислал нам электронное письмо на корпоративную почту и подписался (ФИО, телефон), является ли это обоснованием считать нас оператором ПДн и обязывает ли выполнять требования 152-ФЗ?» Короткий ответ: да, ваша компания становится оператором ПДн уже в момент, когда вы настроили корпоративную почту и получили/прочитали/сохранили письмо, содержащее ФИО и телефон отправителя. Это уже «обработка» ПДн (запись, хранение, использование, удаление и т. д.), а вы — лицо, организующее обработку и определяющее её цели и средства (деловая переписка через корпоративный e‑mail). Значит, на вас распространяются требования 152-ФЗ.

https://habr.com/ru/articles/944004/

#пдн #152фз #152фз #персональные_данные

Мы доверяли фрилансеру. Он ушёл — и унёс всю инфраструктуру с собой

Кажется, выстраиваешь стартап на доверии, а потом внезапно обнаруживаешь, что главный технический специалист… не оставил тебе даже пароля от GitHub. Ни в шутку, ни в полсилы. Всё, с чем работала команда: домены, серверы, CI/CD, база клиентов, мониторинг - оказалось привязано к личным аккаунтам подрядчика. Контроль потерян. А вернуть всё не факт, что возможно. И самое болезненное: с юридической точки зрения уязвимы не только основатели, но и инвесторы, заказчики, партнёры. Ни один NDA тут не спасёт, если изначально не были расставлены границы доступа, конкретный перечень информации и ответственности. В этом тексте не морализаторство, а подробный разбор, как такие истории случаются, чем они грозят и что можно сделать заранее, чтобы однажды не зависеть от настроения одного человека.

https://habr.com/ru/articles/940352/

#devops #itинфраструктура #безопасность #доступы #github #sso #история_коммитов #152фз #персональные_данные #интеллектуальная_собственность

Сбор ПДн через Яндекс.Формы: как соблюсти 152-ФЗ

Недавно разбирали с заказчиком вопрос - как правильно использовать Яндекс-формы для сбора заявок и при этом не нарушить 152-ФЗ. Кратко и по существу ниже. При сборе ПДн через форму организация должна получить у клиента согласие на обработку его персональных данных (ст. 6 ч. 1 п. 1 закона), если отсутствуют иные законные основания. В практическом плане это означает включение в форму явного соглашения: например, фраза с чекбоксом «Я даю согласие ООО “Х” на обработку моих персональных данных (ФИО, телефон, email) в целях рассмотрения заявки…», с ссылкой на политику конфиденциальности. Важно: если планируется, что данные будут передаваться третьим лицам (в данном случае – сервису Яндекс), в тексте согласия следует отдельно указать согласие на передачу (поручение) данных этому третьему лицу. Ниже приведен пример, как может выглядеть согласие на обработку персональных данных с учетом использования Яндекс.Форм (адаптируйте под вашу ситуацию):

https://habr.com/ru/articles/940178/

#информационная_безопасность #персональные_данные #152фз #пдн

Как правильно обезличить ПДн

В связи с вступлением в силу новых правил по обезличиванию персональных данных ( писал об этом тут ) пришлось разбираться, а как же правильно делать обезличивание, что бы выполнить требование о необратимости процесса. В результате получился тако чек-лист по проверке необратимости обезличивания данных. 1) Прямые идентификаторы удалены Что это: ФИО, телефоны, e-mail, паспорт/ИНН/СНИЛС, точный адрес, ID устройств/аккаунтов. Как сделать: выгрузите список полей и проверьте, что этих столбцов нет (или они очищены/заменены кодами, не связанными с реальными данными). Инструменты: Excel (фильтр по названию колонок), DLP/регэксп-поиск по шаблонам. ОК, если: в наборе нет явных персональных полей.

https://habr.com/ru/articles/936334/

#информационная_безопасность #152фз

Как провести инвентаризацию информационных систем с персональными данными (ПДн)

После 30 мая в связи с вступлением в силу изменений в законе о защите персональных данных (152-ФЗ) многие компании озаботились соответствием требованиям этого закона, но не знают с чего начать и за что хвататься. Начинать я рекомендую с инвентаризации. Инвентаризация информационных систем персональных данных (ИСПДн) – это базовый шаг для построения системы защиты данных. Она позволяет понять, где и как хранятся персональные данные , кто имеет к ним доступ и какие угрозы нужно нейтрализовать. Без полного учета таких систем есть риск пропустить уязвимые места, а при проверке контролирующими органами можно столкнуться с неожиданными вопросами: какие у нас системы обрабатывают ПДн, какие данные там содержатся, где расположены базы, какими средствами защиты они защищены? Если заранее этого не знать, проверки могут обернуться паникой. Ниже рассмотрим небольшой пошаговый план, как правильно провести инвентаризацию ИСПДн, чтобы избежать подобных проблем и обеспечить соответствие требованиям законодательства.

https://habr.com/ru/articles/935660/

#информационная_безопасность #персональные_данные #152фз #испдн

Новые правила обезличивания персональных данных с 1 сентября 2025 года

С 1 сентября 2025 года в силу вступают важные изменения в законодательстве России о персональных данных, касающиеся обезличивания (анонимизации) персональной информации. Цель - установить чёткие правила обезличивания и дать бизнесу и государству новые возможности для безопасного использования больших данных и технологий искусственного интеллекта.

https://habr.com/ru/articles/931348/

#информационная_безопасность #персональные_данные #152фз #152фз #законодательство

Нужно ли согласие сотрудников на обработку их персональных данных?

Российское законодательство обязывает работодателей соблюдать строгие правила при работе с персональными данными сотрудников. HR-менеджеры, руководители отделов и специалисты по безопасности часто задаются вопросом: нужно ли получать отдельное согласие от сотрудника на обработку его персональных данных в рамках трудовых отношений? Проще говоря, обязаны ли мы при каждой ситуации брать у работника письменное согласие, или закон допускает обработку данных и без него? Рассмотрим это на основе российского Федерального закона № 152-ФЗ «О персональных данных» и разъяснений Роскомнадзора, простым языком.

https://habr.com/ru/articles/930408/

#152фз #152фз #персональные_данные

Что делать при утечке персональных данных согласно 152-ФЗ: полный алгоритм действий

Всем уже известно, что с 30 мая 2025 года в России значительно ужесточились штрафы за нарушения в сфере персональных данных. Одно из таких нарушений — утечка персональных данных, — которая влечёт за собой весьма серьёзный штраф. Особенно уязвимыми к этому нарушению становятся малые и средние компании, где зачастую нет выделенных специалистов по информационной безопасности и юридической компетенции в области 152-ФЗ. Утечка ПДн — это не просто техническая проблема, а правовой и репутационный кризис. Важно не только устранить последствия, но и правильно отреагировать в первые часы после инцидента, чтобы избежать ещё больших санкций. В этой статье мы разберём, какие риски несёт утечка и какие шаги должен предпринять бизнес в соответствии с требованиями Федерального закона 152-ФЗ.

https://habr.com/ru/articles/922286/

#152фз #пдн

Как работать с биометрическими персональными данными

К концу 2024 года количество зарегистрированных биометрических образцов достигло 1,8 миллионов. Компании прибегают к использованию биометрических данных для упрощения работы с клиентами. Например, благодаря биометрической идентификации пользователю не нужно запоминать пароль — вместо него можно использовать, скажем, отпечаток пальца. А активно внедряемый способ оплаты улыбкой помогает клиентам совершать покупки, не имея при себе наличных или банковской карты. Но, конечно, все не так просто. Привет, Хабр! Меня зовут Алена Третьякова, я аналитик по ИБ

https://habr.com/ru/companies/selectel/articles/920862/

#selectel #информационная_безопасность #персональные_данные #биометрия #биометрическая_идентификация #биометрическая_аутентификация #152фз #законодательство

МТС ID KYC: система для идентификации клиентов с распознаванием документов на базе технологий Smart Engines

Привет, Хабр! Меня зовут Иван Кузьмин, я продакт-менеджер в МТС и отвечаю за МТС ID KYC — модульную платформу для идентификации. Она позволяет компаниям идентифицировать своих клиентов по 115-ФЗ, проверять данные по государственным базам, а также бороться с мошенниками с помощью скорингов от МТС Big Data. В МТС ID KYC мы используем технологии распознавания паспорта РФ и других стран от компании Smart Engines . В этом посте я расскажу, что из себя представляет наш сервис, как его можно интегрировать в свои системы и какие возможности Smart ID Engine мы используем.

https://habr.com/ru/companies/ru_mts/articles/870084/

#МТС_ID_KYC #Smart_Engines #удаленная_идентификация #антифрод #152фз #115фз #распознавание_паспорта #проверка_подлинности_паспорта #управление_разработкой #искусственный_интеллект

Ужесточение ответственности за нарушение 152-ФЗ: разбор изменений в области защиты персональных данных

Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым. За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов. В статье мы рассмотрим ответственность за нарушение требований 152-ФЗ и 572-ФЗ.

https://habr.com/ru/companies/ussc/articles/865676/

#информационная_безопасность #законодательство #законодательство_и_ит #152фз #персональные_данные #пдн #коап_рф #защита_персональных_данных #утечка_персональных_данных #ук_рф

Кто пытался сделать политики конфиденциальности и обработки ПД чуточку понятнее, и к чему привели такие попытки

Разные компании по-разному оформляют свои политики конфиденциальности — единого формата нет. Подавляющее большинство из них написано тяжелым юридическим языком, поэтому многие даже не пытаются изучать их, например, чтобы понять, как тот или иной сервис будет работать с персональными данными. Есть множество инициатив, призванных повысить прозрачность таких документов: от унифицированных иконок на сайтах до браузерных расширений, и новые проекты продолжают появляться. Мы решили взглянуть на ситуацию со стандартизацией политик конфиденциальности и обсудить, нужен ли им единый формат.

https://habr.com/ru/companies/mws/articles/837654/

#политики_конфиденциальности #privacy_policy #персональные_данные #152ФЗ

Защищаемся от непрошеных звонков и рассылок — внимательно читаем закон о персональных данных

Персональные данные стали ценным ресурсом, за которым, кажется, охотятся все. От безобидного «‎анонимного» опроса‎ до навязчивых рекламных звонков — путь личных сведений может быть непредсказуемым. Давайте разберемся в тонкостях обработки персональных данных, научимся читать между строк пользовательских соглашений и узнаем, как противостоять большому брату в лице жадных до информации компаний. Приготовьтесь к погружению в лабиринты закона «О персональных данных» и хитросплетения документов, которые так часто подписывают не глядя. Вашим проводником выступит Анастасия Буренкова — специалист по защите персональных данных Бастион.

https://habr.com/ru/companies/bastion/articles/834114/

#законодательство_в_it #персональные_данные #ПДн #защита_персональный_данных #152фз #согласие_на_обработку_ПДн #закон_о_персональных_данных