Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Data protection RU vs EU

14,885 views

Published on

Data protection RU vs EU

Published in: Law
  • Be the first to comment

Data protection RU vs EU

  1. 1. Data Protection: Russian Style vs European Style Andrey Prozorov, CIPP/E, CISM 2020-04-14
  2. 2. Зачем все это нужно знать? • В Европе сейчас накапливается огромный опыт по обработке и защите персональных данных, тема очень актуальна (в отличие от России) • Россия находится в позиции «догоняющей» («отстающей») • Надеемся на «железный занавес» и изоляцию? Выравнивать требования все равно придется...
  3. 3. Основные области отличия • Надзорные органы и их подходы • Минимизация данных и ограничение по цели • Основания для обработки • Оценка воздействия • Утечки данных • Передача данных в другие страны • И другое
  4. 4. Надзорные органы • Минимум рекомендаций, они низкого качества (а порой и противоречивые), темы не актуальные • Мало полномочий • Минимальные штрафы. Ну, кроме штрафа за отсутствие БД на территории РФ (до 6 млн) • Очень много рекомендаций и разъяснений по актуальным темам • Широкие полномочия надзорных органов (GDPR Art.58) • Большие штрафы, в основном за нарушение прав субъектов ПДн. Штрафы соразмерны размеру (и обороту) компании и имеют «сдерживающее воздействие»
  5. 5. Минимизация данных1 152-ФЗ Статья 14. Право субъекта персональных данных на доступ к его персональным данным 3. … Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Finnish Data Protection Act Section 29 Processing of personal identity codes A personal identity code may be processed if the data subject has given consent to it or if so provided by law. A personal identity code may also be processed if it is necessary to uniquely identify the data subject: 1) in order to perform a statutory duty; 2) in order to implement the rights and duties of the data subject or the controller; or 3) for scientific or historical research purposes or statistical purposes. … A personal identity code shall not be unnecessarily entered into documents printed out from or drawn up based on a filing system.
  6. 6. Минимизация данных2 • Минимизация сбора ПДн заявляется, но, по факту, реализуется как придется… • Примеры: сканирование паспортов в гостиницах и на проходных, покупка билетов, запросы субъектов ПДн, содержащие полные паспортные данные, и пр. • Очень много законодетельных требований для сбора. А надо ли? • Лучше собрать меньше, чем больше • ID только для установления личности • Минимизация данных – важная идея Data protection by design and by default
  7. 7. Основания для обработки • 12 оснований, «законный интерес» практически не используется • Получение согласие – основной механизм легализации сбора ПДн. Его берут по любому поводу и без (прием на работу, гостиницы, мед.услуги, пропуск на территорию и пр.). Без согласия услуги не предоставляют… • Сбор согласия при наличии других оснований для обработки – Ок (152-ФЗ ст.9) • 6 оснований для обработки • Согласие – самый не популярный и рисковый вариант легализации сбора ПДн • Уточняется, что согласие под принуждением (если дается зависимой стороной) не имеет юридической силы. • Сбор согласия при наличии других оснований для обработки – нарушение (и штраф) • Законный интерес часто используют для легализации СЗИ (privacy in working life)
  8. 8. Оценка воздействия • Требование есть, но оценка и контроль обычно не производятся Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим ФЗ 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ она, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим ФЗ • GDPR Section 3. Data protection impact assessment and prior consultation (2 стр.) • DPIA – один из элементов подтверждения Accountability • Если риски высоки, то надо уведомить надзорный орган • Есть рекомендации, шаблоны и ПО (CNIL) • Рекомендуется все процессы и новые технологии проводить через такую оценку. В том числе и при внедрении новых СЗИ (DLP, CCTV, NGFW, SIEM, UEBA)…
  9. 9. Утечки данных • Не утечки, а информационные атаки :))) • Требований (и практики) по уведомлению нет, штрафов нет*, даже проверки обычно не проводят (максимум запрос) • *Есть штраф КоАП 13.11 п.6 про защиту ПДн на носителях без использования средств автоматизации (по сути, бумага), до 50 000 рублей • Data breach – это не только утечка, а, в целом, нарушение КЦД • Об инцидентах необходимо уведомлять надзорный орган и субъектов ПДн (в зависимости от возможного ущерба) • Можно получить штраф и за нарушение безопасности данных и за несвоевременное уведомление • Много рекомендаций
  10. 10. Передача данных в другие страны • Россия: США не обеспечивает адекватную защиту • Россия: ЕС обеспечивает адекватную защиту прав субъектов ПДн • Операторы ПДн обязаны обрабатывать ПДн с использованием БД на территории РФ. За это максимальные штрафы • ЕС: США обеспечивает адекватную защиту только для компаний, подпадающих под Privacy Shield • ЕС: Россия НЕ обеспечивает адекватную защиту прав субъектов ПДн. Для передачи должны быть дополнительные основания и информирование субъектов о возможных рисках
  11. 11. Другие отличия • Transparency • Accountability • Data protection by Design and by Default • Anonymisation and pseudonymization • Appropriate technical and organisational measures • Records of processing activities • Simpler requirements for SMEs • Certification • DPO • …
  12. 12. 12 Андрей Прозоров, CIPP/E, CISM • Мой Патреон (ISMS and GDPR toolkits) - www.patreon.com/AndreyProzorov • Мой блог - http://80na20.blogspot.com • Эл.почта - prozorov.info@gmail.com Спасибо!

×