В закладки

Российский юридический портал

Присоединяйтесь Вконтакте
Главная Апелляционная жалоба Управление персональными данными в интернете. Проблемы управления персональными данными. Забыли обновить данные работника

Управление персональными данными в интернете. Проблемы управления персональными данными. Забыли обновить данные работника

-> Дополнительно

Под условиями использования в панели следует понимать набор документов, регламентирующий использование провайдером персональных данных клиентов. Полный набор существующих условий отображается на странице → "Условия использования" .

При обновлении панели до версии 5.153 произойдёт автоматическая конвертация имеющихся ссылок из раздела "Настройки" → "Настройки бренда" → "Авторское право" на политику конфиденциальности и условия использования в документы раздела "Условия использования" . В разделе будет создано два обязательных условия (документа): "User agreement" и "Privacy policy" . Ссылки на документы не изменятся. Если в настройках бренда ссылки на политику конфиденциальности и условия использования не были указаны, то при обновлении конвертация не выполняется.

Условия могут быть двух типов:

  • политика конфиденциальности;
  • пользовательское соглашение;

Условия на стороне администратора

Параметры условия

Настройка условия выполняется на странице "Управление персональными данными" "Условия использования" → выделить условие → кнопка "Изменить" :

Редактирование документа

Тип условия - тип условия использования. Может принимать значения:

  • Политика конфиденциальности - согласие клиента с условием такого типа означает, что он принимает политику конфиденциальности провайдера;
  • Пользовательское соглашение - согласие клиента с условием такого типа означает, что он принимает условия пользовательского соглашения провайдера.

Название документа - локализованное наименование условия (документа). Отображается в полном списке существующих условий использования.

Описание условия - локализованное описание условия. Отображается на выбранных формах: опции "Отображать на форме регистрации" и "Отображать после авторизации".

Дата вступления в силу - дата вступления документа в силу. Условие не будет доступно клиентам, пока документ не вступил в силу.

Локализация - локализации, на которых доступен данный документ.

Обязательное согласие - флаг для принятия условия появится на форме после авторизации. Без согласия с таким условием невозможно продолжить работу в панели.

Отображать после авторизации - флаг будет отображаться для зарегистрированных пользователей при первой авторизации после внесения изменений в настройки конфиденциальности провайдера. Становится активным и блокируется для изменения, если активен флаг "Обязательное согласие".

Отображать в предупреждениях - флаг для отображения ссылок на документы над полями, где происходит указание персональной информации.

Журнал

Действия, совершённые пользователем и относящиеся к условиям использования персональных данных, логируются и отображаются в разделе "Управление персональными данными" "Журнал" :

Каждая запись в журнале содержит:

  • тип действия (согласие или отказ);
  • имя пользователя;
  • IP-адрес, с которого выполнялось действие;
  • дату и время действия.

Условия на стороне пользователя

Форма после авторизации

Все активные условия с включённой опцией "Отображать после авторизации" будут отображаться пользователя при первой авторизации после внесения изменений в настройки конфиденциальности.

Информация о сборе и обработке данных

В разделе "Настройки" "Настройки пользователя" пользователь может ознакомиться с документами о сборе и обработке персональных данных, с журналом согласий и отказов, а также запросить информацию об используемых персональных данных. Также пользователь может создать запрос на экспорт данных в CSV файл, удаление и ограничение использования персональных данных:

Эта форма - не обращение в поддержку.
Мы не можем идентифицировать вас и ответить на ваше сообщение.

02.12.2009 Валерий Васенин, Кирилл Шапченко

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов остались открытыми. Без их решения многие из положений закона не смогут быть реализованы на практике.

ФЗ №152, принятия которого ждали долгие годы, законодательно регламентирует все процессы оперирования персональными данными, но ряд вопросов, связанных в первую очередь с механизмами обеспечения информационной безопасности, в силу объективных технологических причин остались открытыми. Попробуем систематизировать некоторые из них и обозначим подходы к их решению.

Рассматривая вопросы обеспечения информационной безопасности, возникающие при сборе, обработке, хранении и использовании персональных данных, следует выделить несколько условных уровней их разрешения.

Уровень 1. Персональные данные находятся под контролем субъекта, к которому они относятся. В этом случае вся ответственность по обеспечению их безопасности на этапах сбора, первичной обработки и систематизации, хранения и предоставления другим пользователям возлагается на самого субъекта. Исходя из положений ФЗ-152 он определяет политику безопасного использования таких данных, архитектуру и набор средств защиты, собственно их аппаратно-программное обеспечение. В этом случае ответственность за реализацию нормативных актов ложится на субъекта персональных данных. Регулятор может оказывать субъекту методическую помощь и содействие.

Уровень 2. Управление персональными данными берет на себя посредник – юридическое или физическое лицо, заключающее с субъектом персональных данных договор, определяющий условия их сбора, обработки, хранения и использования. В этом случае вся полнота ответственности за их информационную безопасность возлагается на организацию-посредника.

Уровень 3. Управление персональными данными осуществляют субъекты таких данных вместе с организацией той или иной формы собственности, которая не специализируется в области управления персональными данными, однако по роду своей деятельности обладает таковыми в составе коллекций других документов и вынуждена собирать их, обрабатывать и хранить. К числу таких организаций относятся, например, банки, различного рода другие кредитные организации, учреждения социальной направленности и ведомства силового блока. Посредником в таком взаимодействии могут выступать и организации, специализирующиеся в области управления персональными данными. Как следствие, при этом возникают угрозы несанкционированной утечки персональных данных через различные каналы связи, а также извлечения персональных данных из других коллекций данных и документов более общего характера. В ходе работы с документами в подобных организациях сложно гарантировать, в первую очередь с позиций технологических и административно-организационных, что будут приняты все декларируемые положениями ФЗ-152 меры по обеспечению безопасности персональных данных и соблюдению права субъекта на санкционированный доступ к своим персональным данным в коллекциях документов и на обработку его персональных данных.

Разработка механизмов эффективной реализации положений и требований закона в полном объеме, выпуск спецификаций к реализующим такие механизмы программным средствам, создание высокофункционального, верифицируемого и отчуждаемого программного обеспечения информационных систем обработки персональных данных – все это относится к важнейшим задачам государства. Но далеко не все вопросы на этом направлении сегодня решены. Рассмотрим отдельные положения ФЗ-152, требования к функциям информационных систем для обработки персональных данных, к механизмам их реализации, которые заслуживают особого внимания и диктуют необходимость проведения дополнительных теоретических и прикладных исследований.

Отправные положения и функциональные требования

Статья 3 закона определяет ряд основных понятий, касающихся действий, которые производятся с персональными данными: распространение, блокирование, уничтожение и обезличивание персональных данных. Эти операции должны составлять основу бизнес-процессов информационной системы для работы с персональными данными. В контексте целей настоящей публикации обратим внимание на отмеченное в пункте 2 данной статьи функциональное требование к такой информационной системе – предоставление гарантий по ограничению срока хранения данных в зависимости от состояния процесса их обработки.

Интерпретируя статью 19, в первую очередь следует отметить цели обеспечения безопасности, связанные с защитой персональных данных от несанкционированного доступа при выполнении таких операций, как чтение, изменение и удаление данных. Требование защиты от неправомерного блокирования персональных данных влечет за собой необходимость обеспечения не только их конфиденциальности и целостности, но и доступности. Более детальные требования, согласно пункту 2 статьи 19, утверждаются Правительством РФ. Одним из документов, регулирующих этот аспект информационных систем персональных данных, является Постановление Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В пунктах 11 и 12 перечисляются основные требования и мероприятия по обеспечению безопасности, устанавливаются требования по перманентному контролю за состоянием защищенности информационной системы персональных данных, повышенные требования по восстановлению после сбоев и несанкционированных действий, а также по разработке и описанию модели угроз персональным данным, по созданию системы их защиты. Разработка методических материалов по обеспечению безопасности информационных систем для работы с персональными данными возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК) и на Федеральную службу безопасности Российской Федерации в пределах их полномочий. Реализация перечисленных требований – технологически сложная задача, механизмов решения которой в полном объеме сегодня нет.

В статье 21 закона отмечается необходимость реализации таких служебных операций в информационных системах персональных данных, как блокирование и снятие блокировки с персональных данных, а также их надежное удаление. Такие операции должны быть «привязаны» к статусу обрабатываемых персональных данных и к состоянию процессов их обработки, а именно – должны выполняться по завершении обработки и в случаях обнаружения неправомерных операций с данными либо выявления их недостоверности. Указанное обстоятельство свидетельствует о повышенных требованиях к механизмам управления бизнес-процессами в организации-посреднике при работе с персональными данными. Разработка таких механизмов, регламентов их применения и программных реализаций с использованием традиционных средств вычислительной техники с позиций требований руководящих документов ФСТЭК, других стандартов и рекомендаций – отдельная, технологически сложная задача.

Дополнительное требование к функциональным возможностям информационных систем обработки персональных данных определяется в статье 14 закона. Пункт 4 этой статьи указывает на необходимость предоставления субъекту персональных данных служебной информации о процессах обработки таких данных. Выполнение этих требований возможно только с применением механизмов детального протоколирования процессов обработки и использования персональных данных, в том числе – протоколирования информации о режиме доступа к таким данным. Реализация этих требований в полном объеме с использованием традиционных информационных систем на настоящее время пока не представляется возможной.

Перечисленные отдельные положения закона требуют более детального осмысления, в первую очередь – с позиции их применения на практике, разработки необходимого для этого математического и программного обеспечения.

Требования к информационным системам

Проанализируем некоторые положения закона с точки зрения требований к механизмам и формальным моделям, удовлетворяющим букве ФЗ-152. Во-первых, отметим, что в информационной системе для обработки персональных данных должен вводиться дополнительный класс объектов – класс персональных данных. Правила доступа к объектам этого класса необходимо задавать отдельно от других. Кроме того, возможно определение отдельных категорий данных такого вида с отличающимися правилами доступа к ним. Как следствие, может быть востребована реализация процедур изменения категории доступа к персональным данным, например, при их обезличивании.

Отмеченные обстоятельства указывают на необходимость разработки формальных моделей логического разграничения доступа к данным и реализующих их программных средств, адаптированных к потребностям и особенностям обработки и использования персональных данных. В том числе представляется целесообразным при формировании механизмов блокирования и снятия блокировки с персональных данных в максимальной степени использовать традиционные в системах защиты информации средства разграничения доступа. На основе верификации программного кода и, как следствие, корректной программной реализации моделей и механизмов логического разграничения доступа может быть выполнена часть требований к защите персональных данных, представленных в части 1 статьи 19. Заметим, что их следствием является высокий оценочный уровень доверия к автоматизированным системам. Суть этих требований сводится к предотвращению несанкционированного доступа к персональным данным с целью их чтения или изменения, а также к предоставлению гарантий на потоки данных в информационной системе, включая копирование и распространение.

С точки зрения разработки механизмов и программных средств автоматизированного управления персональными данными важно отметить необходимость реализации механизмов их надежного удаления из информационной системы. Надежное удаление, как правило, подразумевает уничтожение самого удаляемого объекта и всех его копий, включая резервные и временные, которые создаются под потребности используемых аппаратно-программных средств. Разработка механизмов и программного обеспечения такого удаления – отдельная и достаточно тонкая задача, требующая своего решения.

Для того чтобы эффективно контролировать сроки хранения персональных данных и выполнять процедуру их своевременного надежного удаления, должны быть созданы механизмы мониторинга состояния процессов обработки и использования персональных данных. Представляется целесообразным совместить решение этой задачи с созданием специализированной системы управления бизнес-процессами, адаптированной для выполнения действий над персональными данными. Срок выполнения ряда операций над персональными данными может устанавливаться неявно, например через условие, что обработка данных завершена либо перестала быть необходимой. Своевременное реагирование на выполнение такого условия, в свою очередь, приводит к необходимости формального описания, проектирования средств автоматизации процессов обработки персональных данных с целью обеспечить гарантированное (с высокой вероятностью) выполнение операций их удаления по истечении срока хранения.

Принимая во внимание упомянутые требования закона по реализации своевременной выдачи субъекту персональных данных информации о процессах их обработки, необходимо строго поставить и решить задачу о выборе адекватной схемы хранения самих персональных данных и информации об операциях с ними. Поскольку информация, которая должна быть выдана субъекту, содержит как непосредственно персональные данные о нем, так и метаданные, связанные с процедурой их обработки, необходимо вести оперативный учет и обладать возможностями получения подобной дополнительной информации по требованию. Механизмов и программных средств, обладающих должным оценочным уровнем доверия и позволяющих реализовать такие функции, в составе автоматизированных систем, представленных на ИТ-рынке, сегодня не существует. Разработка таких систем в развитие положений Постановления Правительства РФ № 781 – важная задача.

Отметим, что требования по организации перманентного контроля за обеспечением надлежащего уровня защищенности персональных данных, изложенные в Постановлении, указывают на необходимость проведения исследований, разработки механизмов и создания комплекса средств для проведения аудита информационных систем персональных данных на предмет оценки уровня их защищенности как в целом, так и обрабатываемых с их помощью персональных данных в частности. В состав подобного комплекса целесообразно включать инструментальные средства для проведения такого исследования экспертом-аудитором и автоматизированные системы активного аудита, позволяющие в режиме реального времени производить оценку состояния защищенности подконтрольных информационных систем и принимать решения по противодействию деструктивным воздействиям, если такие обнаруживаются. Принимая во внимание относительно высокий оценочный уровень доверия, которым должны обладать системы для обработки персональных данных, выбор соответствующих средств вычислительной техники и архитектурно-технологических решений обязан быть предметом отдельного исследования с привлечением критериальных подходов к оценке безопасности.

Предложения по реализации

В рамках работ по созданию теоретических и методических основ обеспечения безопасности персональных данных, а также последующей реализации поддерживающих такие данные специализированных информационных систем представляется целесообразным провести ряд мероприятий.

    Разработать проект типовой информационной системы, включающий описание ее архитектуры и набора моделей, адекватно отражающих: схему хранения персональных данных; модель логического разграничения доступа, позволяющую учитывать персональные данные как отдельный класс объектов доступа; процедуры, гарантирующие выполнение требований, указанных в законе, а также формальные модели, строго подтверждающие их выполнение; модель организации эффективного доступа к персональным данным для выполнения санкционированных действий с ними; модель предоставления гарантий на потоки персональных данных; архитектуру средств обеспечения безопасности в составе информационной системы персональных данных.

    На основе разработанной и формально проверенной теоретической модели произвести выбор программных средств, их последующую модификацию и интеграцию в информационную систему персональных данных. В числе таких средств должны присутствовать следующие программные компоненты: механизмы логического разграничения доступа и их настройки; средства, гарантирующие выполнение заданных процессов обработки персональных данных с установленными для таких процессов требованиями; дополнительные средства защиты, в том числе средства контентной фильтрации, реализующие функциональные возможности по предотвращению утечек персональных данных через каналы их передачи, контроль над которыми не может быть обеспечен с использованием традиционных механизмов разграничения доступа; средства активного мониторинга состояния работоспособности элементов информационной системы персональных данных, позволяющие своевременно обнаруживать сбойные ситуации и оперативно реагировать на них.

Коллекции персональных данных, как информационные активы повышенных категорий защищенности (уровней доверия), представляют собой национально значимые объекты. Они так же, как, например, потенциально опасные и критически важные объекты, требуют особого внимания со стороны государства. Поиск ответов на представленные в статье вопросы является не только актуальной, но и национально значимой задачей. Без ее решения многие из положений ФЗ «О персональных данных» не смогут быть реализованы на практике.

Валерий Васенин, Кирилл Шапченко ({vasenin,shapchenko}@msu.ru) - сотрудники Института проблем информационной безопасности МГУ им. М. В. Ломоносова (Москва).

Несмотря на то что федеральные службы разработали ряд нормативных документов, регламентирующих работу с персональными данными, сам ФЗ-152 и ряд сопутствующих подзаконных актов вызвали неоднозначную реакцию у всех участников рынка информационной безопасности.

Что должны сделать ИТ-компании, чтобы соответствовать ФЗ №?152?



С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

  • На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
  • Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
  • Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
  • Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
  • Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

  • Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
  • Добавим страницу «Соглашение об обработке персональных данных»
  • Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
  • Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
  • Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
  • Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
  • Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
  • Проконсультируем по любым возникшим вопросам

25 мая 2018 года регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступает в силу в полном объеме, он касается любой компании в мире, занимающейся обработкой и хранением персональных данных лиц, проживающих в ЕС. Новый акт предоставляет людям больше прав касательно управления их персональными данными (Personally Identifiable Information, PII), осуществляемого компаниями. Также он предусматривает крупные штрафы за его неисполнение и нарушение конфиденциальности данных - до 4% годового дохода компании. Кроме того, компании должны в течение 72 часов предоставлять отчеты об утечках данных. (См. подробную информацию о данном регулирующем акте в «Требованиях, нормативных сроках и фактах “Общих положений о защите данных (GDPR) "».)

Даже если вы не ведете бизнес с ЕС, вероятнее всего, новый закон окажет влияние на стандарты обеспечения глобальной безопасности в перспективе. Поэтому компании, работающие в ЕС или с данными, на которые распространяется действие GDPR, пытаются быстро и заблаговременно обеспечить соответствие этому документу. Службам безопасности необходимо будет убедиться в том, что данные, идентифицирующие личность, надлежащим образом защищены и соответствующие процедуры отчетности имеются.

По словам Брайана Вечи, технического евангелиста компании Varonis, которая специализируется на разработке систем по контролю и управлению правами доступа к распределенным файловым ресурсам, большинство компаний совсем не готовы к работе в новых условиях. Есть американские компании, которые подпадают под действие этого нового документа о конфиденциальности лишь потому, что кто-то из ЕС подписался на их информационную рассылку. И если в вашей организации имеются персональные данные гражданина одной из 28 стран - членов Сообщества, то этот акт касается и вас.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

Оливье ван Хуф, менеджер по предварительным продажам в Европе бельгийской компании Collibra, разрабатывающей ПО, считает, что GDPR начинается с управления данными: «Вы должны установить платформу управления данными прежде, чем вы действительно сможете начать защищать данные. Это значительно больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем переходят к рассмотрению логических процессов, используемых при сборе данных, и затем - к самим физическим данным. GDPR - это также понимание того, что данные действительно принадлежат личности. Вы же в действительности лишь размещаете у себя эти данные».

Что GDPR подразумевает под персональными данными?

Определение персональных данных в GDPR значительно шире, чем ранее существовавшие. Оно включает в себя любую информацию, касающуюся конкретного человека, будь то личные, публичные или профессиональные данные. Это не только имена, адреса и финансовая информации, но и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Обеспечение соответствия GDPR означает, что вы не только должны обеспечивать защиту большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

Страны, затрагиваемые GDPR, должны будут идентифицировать в силу своих возможностей информацию, которая не отслеживалась или не индексировалась ранее. Например, записанный звонок в службу поддержки клиентов, возможно, необходимо будет локализовать, защитить, отследить и внести в отчет.

Каковы новые права пользователей в сфере персональных данных?

Документально оформленное добровольное согласие лица на использование информации должно даваться каждым человеком (или его официальным представителем). Согласие должно однозначно определять собираемые данные, цель их использования и длительность их хранения. Пользователи могут отозвать свое согласие в любое время и отправить запрос на удаление их персональных данных (при условии, что они укажут обоснованную причину).

В соответствии с GDPR физические лица могут также контролировать, что происходит с их персональными данными. Они могут рассчитывать на исправление фактических ошибок, видеть, какая информация о них хранится, и даже экспортировать ее для своего персонального просмотра и использования. Эти важные права являются новыми для большинства организаций.

Большинству компаний сначала просто нужно понять, какие положения GDPR у них уже выполняются. Им необходимо выяснить, где хранятся эти данные и подпадают ли они под действие GDPR. Затем им необходимо обеспечить их защиту по принципу минимальных привилегий и отслеживание их изменений. Компания Varonis так и делала с самого начала. Она специализируется не только на поиске данных, но и на определении, кто к чему имеет доступ и нужен ли им доступ к этим данным. Прежние нормативные документы, касающиеся защиты данных, требовали обеспечивать защиту данных от доступа извне. Теперь их необходимо лучше защищать изнутри, поскольку статья 25 GDPR гласит, что данные должны быть защищены по принципу минимальных привилегий намеренно и по умолчанию. И вы не можете сделать это, не понимая, где они находятся и кто может получить к ним доступ.

Каким образом GDPR влияет на структуру служб безопасности?

GDPR дает определение многочисленных функций участников процесса, прописывает правила и обязанности каждого из них. Субъект данных - это лицо, чьи персональные данные собираются. Управляющий данными - это организация, собирающая данные. Обработчик - это организация, обрабатывающая данные по поручению управляющего данными. Управляющие и обработчики обязаны вести письменный учет того, какие данные были собраны, каким образом они были собраны, как они были использованы, когда они были удалены.

Службам безопасности предстоит не только защищать данные от традиционных угроз, но и делать это так, чтобы процесс был прозрачным, документально оформленным и пригодным для возможного использования в отношении большого количества субъектов данных, и все это при строгом обеспечении безопасности данных. Каждому члену службы компьютерной безопасности необходимо разъяснить методы обеспечения соответствия требованиям GDPR.

Многие предприятия-участники, частные и государственные, должны иметь ответственного за защиту данных (data protection officer, DPO). Руководитель по защите данных должен обладать техническими знаниями или иметь персонал для защиты данных и обеспечения преемственности бизнеса. В ЕС считают, что позиция DPO настолько важна, что разработали отдельный, подробный 18-страничный документ о данной позиции.

Может показаться, что позиция по защите данных больше всего подходит руководителю информационной безопасности, однако руководитель по защите данных должен четко понимать требования к конфиденциальности и обеспечению соответствия, что обычно лучше понимают директора по вопросам конфиденциальности (chief privacy officer, CPO) или другие защитники конфиденциальности, однако они могут не понимать технической стороны вещей. В малом бизнесе все может закончиться назначением «наиболее подходящего» работника в качестве управляющего данными или даже выбором внешнего руководителя по защите информации. В любом случае GDPR требует, чтобы такой руководитель был независимым аудитором соответствия требованиям и был доступен для субъектов данных, для организации, следующей предписаниям данного акта, и для инспекторов GDPR.

Ван Хуф отмечает, что большинство европейских компаний уже наняли директоров по защите данных.

Отчеты о защите и обработке данных должны храниться и предоставляться для текущих и регулярных проверок не только аудиторам, но и субъектам данных. Каким образом организация обеспечит доступ к отчетам для индивидуальной частной проверки и в то же время защитит их от несанкционированного просмотра? Потребуется ли для каждого отдельного субъекта новая система сопровождения управления идентичностью и контроля доступа с учетом того, что потенциально возможных субъектов данных миллионы? Может ли организация соответствовать требованиям GDPR, просто распечатывая личные отчеты и рассылая пользователям бумажные копии? Это важные моменты, которые должны проработать директора по защите данных, руководящий состав и служба безопасности.

Национальные органы управления защитой данных

Каждая страна - член Сообщества имеет национальный орган управления защитой данных (data protection authority, DPA). DPA несут ответственность за установление соответствия и проведение в жизнь соответствующих законов на национальном уровне, но обязаны быть независимыми даже от контроля со стороны собственного национального правительства.

Страны - члены Сообщества могут иметь один или более органов управления. Каждая организация может выбрать один DPA, который контролирует соответствие GDPR для организации в целом. Единый надзорный орган имеет возможность контролировать обработку и защиту данных, обеспечиваемые в других странах-членах. Критики справедливо отмечают, что компании, работающие в нескольких странах - членах Сообщества, могут выбрать для работы наиболее гибкий DPA подобно тому, что они уже сегодня делают для снижения налогов и организационной независимости.

DPA созданы в рамках предыдущего закона ЕС о защите данных, но были значительно усилены в регулирующем акте. DPA фактически являются официальными государственными регулирующими и надзорными органами в структуре GDPR. Орган управления защитой данных помогает принимать решения в правовых вопросах и может расследовать деятельность компаний в случае нарушений и приостанавливать работу управляющих данными и обработчиков, несущих юридическую ответственность за нарушения GDPR, и определять штрафные санкции. Кроме того, он решает, может ли организация передавать данные за пределы ЕС, и если да, то какие механизмы защиты следует применить. В конкретной организации основным лицом, поддерживающим связь с DPA, вероятно, будет руководитель по защите данных.

Если субъект данных понимает, что произошло нарушение, он может связаться либо с DPO, либо с DPA, который был выбран данной компанией и контакты которого были переданы субъекту. На практике это может быть очень неудобно, поскольку DPO или DPA компании, управляющей данными или обрабатывающей их, может не находиться в той же стране.

Об утечках данных следует сообщать незамедлительно

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган - DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Службы безопасности, вероятно, будут испытывать больше давления, поскольку должны убедиться в том, что все персональные данные надлежащим образом зашифрованы или обезличены. Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия GDPR, скорее всего, приведет к большому спросу на еще большее шифрование данных во всей компании.

Также службы безопасности будут подвергаться повышенному давлению из-за необходимости быстрее, чем раньше, определить, явилась ли утечка данных событием, требующим отчетности. 72 часа - слишком малое время для многих организаций, особенно если пытаться понять, может ли какой-либо факт предотвратить необходимость сообщать об утечке затронутым субъектам данных или в прессу.

Руководство компаний не готово к GDPR

Руководство компаний излишне самоуверенно и недостаточно серьезно готовится к вступлению в силу регулирующего акта Евросоюза GDPR.

Согласно результатам опроса Trend Micro, руководство компаний знает о принципах, которые заложены в документе, более того, 85% подробно изучили его требования, а 79% компаний уверены, что их данные находятся в полной безопасности.

Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены: 64% не знали, что дата рождения клиентов относится к категории персональных данных, 42% респондентов не относят к этой категории маркетинговые базы данных адресов электронной почты, 32% таковыми не считают физические адреса, а 21% - почтовые адреса клиентов.

66% респондентов спокойно относятся к сумме штрафа за отсутствие требуемых мер по защите данных. Только 33% признают, что эта сумма может составить до 4% их годового оборота. Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных.

Как подготовиться

Любой сотрудник компаний, подпадающих под действие GDPR, занятый сбором, хранением, обработкой данных, уже должен знать основы регулирующего акта. Необходимо сформировать группы людей, которые будут заниматься подготовкой к введению GDPR в действие и обеспечением его выполнения. Наиболее важные сотрудники должны пройти обучение по GDPR с проверкой их знаний. При необходимости назначьте или наймите сотрудника, ответственного за обеспечение соответствия данных требованиям GDPR.

Оцените готовность вашей компании выполнить требования GDPR (например, персонал, инструменты и процессы), отметив области, требующие наибольшего внимания. Простое определение имеющихся данных, уже соответствующих требованиям GDPR, будет серьезной первоначальной задачей. Большинство компаний столкнутся с необходимостью создать новые системы для отслеживания изменений данных в соответствии с нормами GDPR или изменить существующие системы.

Заранее определите, что вашей компании придется делать в случае утечки персональных данных. С кем вы будете связываться? Какую информацию вы должны передать? Кто определяет, следует ли уведомить субъектов данных?

GDPR - это новый стандарт по защите конфиденциальности персональных данных. Он призван дать субъектам данных больше возможностей по контролю данных и обеспечить прозрачность операций и защиту. Это отличная вещь для защиты конфиденциальности, но масса работы для тех, кто должен выполнять требования этого акта.

***

Многие компании видят в GDPR лишь еще одну обузу, дополнительные расходы. Но, может быть, следует его рассматривать как возможность? Часто бывает, что компании собирают данные в течение длительного времени и даже не уверены, нужны ли они им. А GDPR заставит их пересмотреть причину сбора этих данных, срок их хранения, способ их обработки. Это шанс оптимизировать не только данные, но и работу, связанную с этими данными.

− Roger A. Grimes. How to protect personally identifiable information under GDPR. CSO. August 14, 2017



Рекомендуем другие статьи

Видеть во сне свой дом. Сонник: дом во сне. К чему снится дом? Полное толкование сна про дом. Азбука толкования сновидений

Видеть во сне свой дом. Сонник: дом во сне. К чему снится дом? Полное толкование сна про дом. Азбука толкования сновидений

Формула естественного прироста населения

Формула естественного прироста населения