Б-152: защита персональных данных

PRIVACY-ЗАВТРАК ДЛЯ ФАРМКОМПАНИЙ, ИТОГИ Вчера прошел наш первый privacy-завтрак. На нем мы обсудили актуальные вызовы в сфере защиты персональных данных, влияние новых регуляторных норм и кейсы участников. Спикерами выступили эксперты Б-152 – коммерческий директор Егор Кузнецов и Руководитель направления защиты персональных данных Никита Володин. Главные темы обсуждения: ✅ Обработка персональных данных в процессах фармаконадзора – от необходимости согласий до удобных инструментов документооборота. ✅ Передача персональных данных при работе с контрагентами – когда и как требуется согласие сотрудника? ✅ Локализация и трансграничная передача данных – что изменится с 1 июля 2025 года? ✅ DPO и уголовная ответственность – как защитить себя в новых реалиях? ✅ Как правильно собирать согласия с помощью TG чат-ботов? ✅ Работа с базами врачей третьих лиц – могут ли такие базы быть полностью легальными? Цифры и факты: В 2024 году в сеть утекло более 710 млн записей с персональными данными россиян. Роскомнадзор фиксирует рост штрафов и готовит новые требования к защите данных. Новый законопроект об ужесточении ответственности за нарушение правил обработки ПДн. Выводы: – Прозрачный документооборот и грамотная работа с согласиями – ключ к снижению рисков. – Трансграничные передачи требуют строгого контроля, особенно после 1 июля 2025 года. – DPO нужны четкие алгоритмы защиты от персональной ответственности. – Главный вывод - встречи подобного формата очень продуктивны для всех участников. Спасибо всем участникам за активные вопросы и обмен опытом! Следите за новыми мероприятиями – будем рады видеть вас.

ФРЕЙМВОРК “5WHY” ДЛЯ DPO и ИБ Мы продолжаем исследовать управленческие и процессные фреймворки для использования в работе DPO и ИБ. Сегодня разберем фреймворк 5Why/5 "почему" – один из самых простых, но мощных инструментов анализа причинно-следственных связей. Этот метод был разработан в Toyota и широко используется в различных сферах, включая compliance и информационную безопасность. Его суть – последовательное задавание вопроса "почему?" к выявленной проблеме на каждом шаге, пока не будет достигнута её корневая причина. Чем полезен этот фреймворк? 🔵Позволяет глубже понять, почему произошли нарушения в обработке данных. 🔵Помогает находить корневые причины инцидентов, а не только их последствия. 🔵Упрощает работу с рисками и помогает предотвращать будущие ошибки. 🔵Улучшает коммуникацию с руководством и коллегами, структурируя логику анализа. Как использовать 5Why в работе? 1️⃣ Формулируем проблему – например, "Мы получили предписание от Роскомнадзора". 2️⃣ Спрашиваем последовательно 5 раз "почему?", например: - Почему мы получили предписание? → Потому что у нас не было актуального согласия на обработку. - Почему не было актуального согласия? → Потому что политика обновлений документов не выполнялась. - Почему политика не выполнялась? → Потому что не было ответственного за мониторинг изменений. - Почему не назначили ответственного? → Потому что не было утвержденного процесса контроля. - Почему не было процесса? → Потому что не анализировали изменения в законодательстве вовремя. Иногда получается выяснить корневую проблему раньше, как на схеме, но нужно пытаться задавать не менее 5 вопросов. 3️⃣ Используем выводы – теперь понятно, что нам нужно внедрить процесс регулярного мониторинга законодательства и назначить ответственного. Простой, но эффективный инструмент, который можно применять в анализе любых инцидентов, оптимизации процессов и обучении сотрудников. 📌 Пробовали использовать 5Why в своей практике? Делитесь опытом в комментариях!

СВЕЖИЕ ВАКАНСИИ Доброе утро! Пока мы отбираем для вас интересные новости за неделю, есть время изучить свежие вакансии для DPO. 🔵 Data Protection Officer (DPO) в Spice IT 🔵 Специалист по информационной безопасности (разработка документов) в АО Федеральная корпорация по развитию малого и среднего предпринимательства (АО Корпорация «МСП») 🔵 Главный специалист по информационной безопасности и защите персональных данных в Управление защиты населения и территорий города от чрезвычайных ситуаций администрации муниципального образования Город Саратов 🔵 Методолог по информационной безопасности с функционалом DPO в Алгоритмика 🔵 Менеджер по организации обработки персональных данных в АО ВТБ Лизинг 🔵 Главный специалист отдела по организации работы с персональными данными в ЗАО Банк ВТБ (Беларусь). Back-office 🔵 Есть позиция DPO в известной российской компании 🔵 Специалист / юрист по персональным данным в Российскую Кинологическую Федерацию 🔵 Юрисконсульт/ Консультант по персональным данным в Радиум 🔵 Специалист по защите персональных данных в ОТЛК ЕРА

ПРАЙВАСИ-ЗАВТРАК ДЛЯ ФАРМКОМПАНИЙ В этом году уже через 3 месяца вступают в силу изменения закона, принятые в прошлом году. Среди вас много ответственных за обработку персональных данных. И есть представители фармкомпаний. А мы за свою практику собрали достаточное количество кейсов с фармой, чтобы помочь вам разобраться в насущных вопросах. Мы приглашаем вас принять участие в прайваси-завтраке – неформальную встречу с коллегами, где можно обсудить реальные вызовы в области защиты персональных данных. Вас ждут практические кейсы, обмен опытом с экспертами и работающие решения для аудитов, проверок и работы с чувствительными данными. Это бесплатно) От вас - готовность общаться и делиться опытом. Для кого: DPO и ответственные за обработку ПДн в фармкомпаниях. Когда: 11 марта (вторник) в 9:30 Где: Серебряническая наб. 29, (Курская) Количество мест ограничено, успейте забронировать свое участие. ЗАРЕГИСТРИРОВАТЬСЯ Также, все участники получат необычный, но полезный подарок от нас.

СВЕЖИЕ ВАКАНСИИ Привет. Прошла неделя и у нас новые вакансии. Что-то точно вам подойдет! ⚡️Специалист по работе с персональными данными в ООО TRUE INTELLIGENCE ⚡️Эксперт по работе с персональными данными в АО Россети Цифра ⚡️Специалист по внутреннему контролю за обработкой персональных данных в 5 элемент ⚡️Юрист по защите персональных данных в ООО Датаюниверс ⚡️Специалист по защите персональных данных (DPO) в Банк Жилищного Финансирования ⚡️Cпециалист по защите персональных данных / DPO в Simple. Дирекция по информационным технологиям ⚡️Главный специалист по защите персональных данных в ПАО «Газпром нефть» ⚡️Специалист по информационной безопасности (защите персональных данных) в Метр квадратный Удачи!

КЕЙС: КАК «РЕСУРС ГРУПП» ИЗБЕЖАЛА РИСКОВ УТЕЧЕК ДАННЫХ И ЧТО ИЗ ЭТОГО ВЫШЛО? Компания «Ресурс Групп» активно развивается в сфере управления и обслуживания транспорта. Но вместе с ростом бизнеса возникли и новые вызовы: ⚡️ Распределённая структура компании с филиалами по всей России. ⚡️ Удалённая работа сотрудников на личных устройствах. ⚡️ Устаревшая документация по информационной безопасности. ⚡️ Неочевидные уязвимости в системе управления автопарком. Руководство понимало: если не выстроить системный подход к безопасности, можно столкнуться с утечками данных, репутационными рисками и штрафами от регуляторов. Как мы, в Б-152, помогли «Ресурс Групп» защитить бизнес? ✅ Провели аудит и выявили критичные пробелы в защите информации. ✅ Обосновали необходимость найма специалиста по ИБ (и руководство согласилось!). ✅ Внедрили продвинутые меры защиты: контроль доступа, мониторинг рисков, обучение персонала. ✅ Показали, что ИБ — это не просто формальное соответствие требованиям, а важный элемент стратегического управления. Этот кейс — не просто история о прохождении аудита. Это пример того, как грамотный подход к информационной безопасности помогает бизнесу избежать проблем и выстроить защиту на долгие годы вперёд. Читать полный разбор кейса

SMART-ЦЕЛЕПОЛАГАНИЕ ДЛЯ DPO и ИБ Наш прошлый описанный фреймворк (матрица Эйзенхауэра) в применимости к работе DPO - подтвердил нас в мнении, что вам эта тема интересна. А некоторые даже активно пользуются. Это замечательно. Продолжаем. Сегодня мы решили напомнить про то, как ставить цели и гипотезы - у специалистов по безопасности персданных их не меньше, чем у других специалистов. “Зачем придумывать какие-то “фреймворки для целей”? Как то раньше обходились без них.” – можете сказать вы. И да и нет. Хорошо поставленная задача - это половина результата. При этом неважно кому вы ее ставите: команде, подчиненному, GPT-агенту или самому себе. А если вы не задумывались о том, чтобы привести в порядок такой процесс, как поставновка целей, то сейчас может быть самое время. --- Что такое SMART-цели? Хорошо поставленная цель должна определаться по 5 параметрам: SMART — это Specific (конкретные), Measurable (измеримые), Achievable (достижимые), Relevant (релевантные) и Time-bound (ограниченные во времени). Разберем их применимость в прайваси. 1. Specific (Конкретные) Почему это важно? Четкие цели помогают избежать неэффективных мер и сфокусироваться на конкретных решениях. Примеры: - Развернуть систему мониторинга и защиты данных. - Внедрить многофакторную аутентификацию. - Разработать политику реагирования на инциденты и обучить сотрудников. 2. Measurable (Измеримые) Почему это важно? Без измерений невозможно понять, достигнута ли цель. Измеряемые параметры помогают оценить эффективность защиты данных. Мерять можно как вам удобно, главное - увидеть результат “до” и “после”. Примеры: - Обнаруживать несанкционированные попытки доступа с точностью 95%. - Проводить аудит защиты данных каждые 6 месяцев. - Снизить утечки данных на 30% за год. 3. Achievable (Достижимые) Почему это важно? Недостижимые цели демотивируют и мешают выполнению задач. Реалистичность учитывает ресурсы и возможности компании. Примеры: - Создать команду из 5 специалистов за 6 месяцев. - Внедрить шифрование данных за год. - Разработать политику управления инцидентами за 3 месяца. 4. Relevant (Релевантные) Почему это важно? Цели должны соответствовать регуляторным требованиям и бизнес-приоритетам компании. Примеры: - Внедрить защиту данных в соответствии с GDPR и ФЗ-152. - Разработать политику обработки персональных данных. - Проводить тренинги по кибербезопасности. 5. Time-bound (Ограниченные во времени) Почему это важно? Без сроков задачи могут затягиваться, снижая их эффективность. Четкие дедлайны помогают контролировать процесс. Примеры: - Внедрить систему защиты данных за 6 месяцев. - Разработать новую политику безопасности за 4 месяца. - Провести тестирование системы защиты от кибератак за 3 месяца. Итак: Применение методики SMART позволяет: - Формулировать четкие задачи без размытости. - Объективно оценивать эффективность мер защиты. - Рационально распределять ресурсы. - Обеспечивать соответствие требованиям законодательства. SMART превращает защиту данных в понятную и управляемую систему действий. Внедряйте и адаптируйте этот подход для эффективного управления персональными данными!

СВЕЖИЕ ВАКАНСИИ Не пропустите очередную порцию возможностей! 🛑 Data privacy officer в Alta Personnel 🛑 Юрист по защите персональных данных в СДЭК 🛑 Юрист IT/IP (персональные данные) в Зарцын и партнеры 🛑 Эксперт службы информационной безопасности (Защита персональных данных) в ФГБУ Федеральный центр подготовки спортивного резерва 🛑 Специалист по вопросам обработки и защиты персональных данных в отдел кадров в ФБУ РФЦСЭ при Минюсте России 🛑 Ведущий специалист по информационной безопасности в АО ФК Спартак-Москва 🛑 Специалист по организации обработки персональных данных в ООО Инжиниринг Строительство Обслуживание 🛑 Юрист по персональным данным в AB Lawyers 🛑 Специалист по организационно-правовой защите персональных данных (Методолог ФЗ-152) в Abi Удачи!

🗣Усиление ответственности за утечку и обработку персональных данных в 2025 году Ассоциация компаний по защите и хранению персональных данных совместно с РАЭК и Б-152 проводит вебинар, на котором эксперты обсудят тему работы с персональными данными: ⏺Новые требования законодательства 2025 года в сфере ПДн ⏺Как оптимизировать бизнес-процессы компании под новые правила ⏺Лучшие практики 2024-2025 года для снижения рисков утечек данных ⏺Механизмы минимизации финансовых потерь от утечек 📍Подробности: 21 февраля, 10:00 (по Москве) 🔗 Регистрация доступна по ссылке

🗣Кейс-вебинар «Персональные данные в интернет-маркетинге: ключевые аспекты 2025 года» 📅 19 февраля, 10:00 Ведущие эксперты обсудят актуальные решения и лучшие отраслевые практики в сфере персональных данных. На вебинаре разберем: ⏺Как работать с лидами без сбора персональных данных? ⏺Как привести процессы в соответствие с ФЗ-152? ⏺Какие данные можно собирать в неавторизованной зоне? Мероприятие проходит при поддержке РАЭК, Ассоциации компаний по защите и хранению персональных данных и компании Б-152 Программа и регистрация по ссылке 🔗

КАК МАТРИЦУ ЭЙЗЕНХАУЭРА АДАПТИРОВАТЬ ДЛЯ DPO? В классической матрице Эйзенхауэра мы делим дела на “важные/срочные” и “неважные/несрочные”. Но когда речь идёт о защите персональных данных, к привычным критериям добавляется регуляторный контекст (штрафы, риск утечек, репутация). Например, утечка ПД может потребовать уведомления регуляторов в жёсткие сроки, а любые задержки грозят значительными финансовыми потерями. Что меняется? ✅ Срочные и важные задачи — не просто дела, требующие немедленной реакции, а потенциальные инциденты с данными: утечки, атаки, нарушения. ✅ Важные, но несрочные задачи — долгосрочные проекты (обучение сотрудников, разработка политик), которые создают фундамент защиты. ✅ Срочные, но неважные задачи — мелкие запросы, автоматизируемые рутинные операции. ✅ Несрочные и неважные — всё, что не приносит пользы для безопасности и может быть сокращено. Польза адаптации 🔵 DPO становится эффективнее: фиксирует “горящие” инциденты и не забывает о стратегическом развитии. 🔵 Операционная нагрузка снижается — можно делегировать и автоматизировать. 🔵 Долгосрочные инициативы (внедрение SIEM, аудиты, обучение) не страдают от вечного «тушения пожаров». Такой подход берёт за основу проверенный временем инструмент, но учитывает специфику рисков и регуляторных требований. Результат — стройная система приоритетов, где работа над безопасности никогда не сваливается в хаос, а важные процессы успевают развиваться планомерно. *** Мы в Б-152 постоянно ищем новые методики, чтобы повысить эффективность работы с персональными данными и делимся находками, чтобы ваша деятельность стала немного проще. Если нужно больше, чем советы — например, аудиты процессов или разработка безопасных ИСПДн, приходите, будем рады помочь.

📕 Privacy Professional: курс, который подготовит вас к реальным вызовам Сегодня стартуют первые встречи студентов курса Privacy Professional. За 14 потоков наше обучение прошли более 510 студентов, среди которых юристы, DPO, IT-специалисты и руководители. Выпускники уже внедряют знания в крупнейших российских компаниях, консультируют бизнес и защищают данные на практике. Что вас ждет на курсе? 🟣 20 модулей с актуальной информацией 🟡 60 дней обучения без лишней воды 🔵13 практических семинаров, кейс-батлы, воркшопы 🟢 Домашние задания, реальные кейсы и обратная связь 📌 Поддержка менторов — от выпускников курса до ведущих DPO Выберите свой уровень подготовки: ✔️ "Расширенный" — топовый тариф с менторами-практиками, места на который быстро заканчиваются ✅ "Оптимальный" — доступен для записи, а еще к нему мы добавили крутой бонус ✔️ "Эксклюзивный" — личное сопровождение от Максима Лагутина Разница в тарифах: Кто ментор: выпускник курса / опытный DPO / Максим Лагутин Срок доступа: 3 месяца / 6 месяцев / 6 месяцев + сертификация ПРО ПД Адаптация под нишу: помощь в подборе ментора с учетом вашей специфики Присоединяйтесь