Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR: Intro (Ru)

1,103 views

Published on

Вводная презентация про GDPR

Published in: Law
  • “Cookies, Device IDs, ID Syncs” is the first playbook of Softcrylic’s Marketer Playbook series. This series will be helpful in arming digital marketers. https://goo.gl/1QL96X
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • получается что европейские компании, имеющие здесь филиалы/производства и т.п под него не попадают?
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

GDPR: Intro (Ru)

  1. 1. GDPR: Intro Прозоров Андрей, CISM 80na20.blogspot.ru
  2. 2. Что такое GDPR? 2 • General Data Protection Regulation (GDPR) – это новый европейский регламент по защите персональных данных, единый для 28 стран ЕС • Заменяет собой Directive 95/46/EC (1995) • Принят 27 April 2016 • Вступает в силу 25 May 2018 • Регулятор: European Parliament, Council of the European Union • Очень много положений про «цифровые технологии» (IoT, профилирование, BigData, cookies и пр.)
  3. 3. Зачем в России знать GDPR? • Многие попадут в его область действия со всеми последующими рисками • Иностранные партнеры часто будут спрашивать про соответствие • GDPR – логичное развитие защиты ПДн, 152-ФЗ пойдет в эту же сторону • Это модно и актуально J • … 3
  4. 4. Полезные ссылки • Текст - http://bit.ly/1TlgbjI • Summary - http://bit.ly/2rmbDVP • Questions and Answers - Data protection reform -http://bit.ly/2waA26a • 2018 reform of EU data protection rules (ссылки) - http://bit.ly/2rjSp3M • Guide to the GDPR (ICO, UK) - https://ico.org.uk/for- organisations/guide-to-the-general-data-protection-regulation-gdpr • Data protection self assessment (checklists) - https://ico.org.uk/for- organisations/resources-and-support/data-protection-self-assessment • Article 29 working party- http://ec.europa.eu/newsroom/article29/news.cfm 4
  5. 5. Art.29 WP: Guidelines • Guidelines on Consent under Regulation 2016/679 (wp259 rev.01) • Guidelines on Transparency under Regulation 2016/679 (wp260 rev.01) • Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251 rev.01) • Guidelines on Personal data breach notification under Regulation 2016/679 (wp250 rev.01) • Guidelines on the application and setting of administrative fines (wp253) • Guidelines on the Lead Supervisory Authority (wp244 rev.01) • Guidelines on Data Protection Officers ('DPOs') (wp243 rev.01) • Guidelines on the right to "data portability" (wp242 rev.01) • Guidelines on Data Protection Impact Assessment (DPIA) (wp248 rev.01) 5
  6. 6. 6
  7. 7. Назначение и цели GDPR Статья 1. Предмет и цели 1. Настоящий Регламент устанавливает нормы, связанные с защитой физических лиц в отношении обработки персональных данных и нормы, касающиеся свободного перемещения персональных данных. 2. Настоящий Регламент защищает основные права и свободы физических лиц, и, в частности, их право на защиту персональных данных. 3. Свободное перемещение персональных данных в рамках Евросоюза не должно быть ни ограничено, ни запрещено для целей защиты физических лиц в отношении обработки персональных данных. 7
  8. 8. GDPR для субъектов ПДн GDPR для Бизнеса • Усиление контроля над личными данными (особенно в «цифровую эру») • Право на забвение • Легкий доступ к личным данным и право на перенос данных • Право знать об утечках данных • Гарантия защищенности ПДн (втч за счет высоких штрафов для бизнеса) • Повышение доверия со стороны субъектов ПДн • Единые правила для ЕС, взаимодействие с 1 надзорным органом / SA («one-stop-shop»). Экономия 2.3 млрд евро в год • Риск-ориентированный подход (с учетом экономической целесообразности) • Требования с учетом новых цифровых технологий («innovation-friendly rules» и «privacy-friendly techniques») • Технологический нейтралитет • Упрощенные требования для SME 8
  9. 9. 9 GDPR в России
  10. 10. 10 Мнение РКН…
  11. 11. Article 2 Material scope 1.This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. Статья 2 Существенная сфера применения 1.Настоящий Регламент применяется к обработке персональных данных обработанных полностью или частично автоматизированными средствами, а также к обработке персональных данных, обработанных иными неавтоматизированными средствами, которые являются частью системы учета либо неотъемлемой частью системы учета. 11
  12. 12. 2.This Regulation does not apply to the processing of personal data: (a) in the course of an activity which falls outside the scope of Union law; (b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU; (c) by a natural person in the course of a purely personal or household activity; (d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. 2.Настоящий Регламент не применяется к обработке персональных данных: (a) в отношении деятельности, которая выходит за рамки сферы действия права Евросоюза; (b) при осуществлении деятельности государств-членов, которая подпадает под действие Главы 2 Раздела V Договора о Европейском Союзе; (c) физическим лицом при осуществлении сугубо личной или бытовой деятельности; (d) компетентными органами в целях предотвращения, расследования, выявления уголовных преступлений или исполнения уголовных наказаний, включая защиту от угроз общественной безопасности и их предотвращения. 12
  13. 13. Article 3 Territorial scope 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not. Статья 3 Территориальная сфера применения 1.Настоящий Регламент применяется к обработке персональных данных в контексте деятельности по учреждению контролёра или обработчика в Евросоюзе, независимо от того, осуществляется ли обработка в Евросоюзе, или нет. 13
  14. 14. 2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union. 3.This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law. 2.Настоящий Регламент применяется к обработке ПДн субъектов ПДн, находящихся в Евросоюзе, обработанных контролёром или обработчиком, которые не учреждены в Евросоюзе, когда деятельность по обработке связана с: (а) предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в Евросоюзе; или (b) мониторингом их действий, поскольку их действия совершаются на территории Евросоюза. 3.Настоящий Регламент применяется в отношении обработки ПДн контролёром, не учрежденном в Евросоюзе, а учрежденном в том месте, в котором применяется право государства - члена в силу международного публичного права. 14
  15. 15. Обобщим про scope и ищем себя 15 GDPR прямого действия: 1. Организации, учрежденные в ЕС и являющиеся операторами (controllers) и/или обработчиками (processors) ПДн. Например, дочерние предприятия и филиалы российских компаний в ЕС. 2. Организации, не учрежденные в ЕС и являющиеся операторами (controllers) и/или обработчиками (processors) ПДн, и вид деятельности которых связан с: • Предоставлением товаров и сервисов субъектам ПДн в ЕС. Например, продажа европейцам билетов транспортных компаний через сайты в сети Интернет, продажа интернет-сервисов (например, онлайн- кинотеатры, музыка, онлайн-игры и пр.), бронирование гостиниц, оказание услуг мобильной связи в европейском роуминге и пр. • Мониторингом поведения субъектов ЕС. Например, сбор cookie- файлов посетителей сайта в сети Интернет. Но есть еще и GDPR опосредованного действия: 1. Обработка ПДн по поручению европейского оператора (controllers) и/или обработчика (processors) -> становимся обработчиком. В случае проблем (например, утечки ПДн) «спросят» с европейской компании, а она уже с нас в соответствии с договором… Например, хостинг данных в российском ЦОДе по поручению.
  16. 16. Кому в РФ стоит опасаться GDPR? 16 • Компаниям на территории ЕС (очевидно) • Компаниям, оказывающим услуги «в роуминге» (например, банки и телеком) • Компаниям, регулярно обрабатывающим ПДн граждан ЕС (например, гостиницы и тур.фирмы) • Компаниям, собирающим ПДн на сайтах в сети Интернет (особенно с системой оплаты) • Разработчикам приложений, собирающих ПДн пользователей • Просто крупным сайтам в сети Интернет (сбор cookies) • Компаниям, получающим ПДн субъектов из ЕС от других организаций на основании договора • Компаниям, собирающим общедоступные ПДн субъектов ПДн из ЕС !!! !! !
  17. 17. Субъекты правоотношений 17 Оператор ПДн (Controller) Обработчик ПДн (Processor) Субъекты ПДн (Subjects) Инспектор по защите данных Data Protection Officer, DPO (Art.37-39) Надзорный орган по защите данных Data Protection Authority, DPA / Supervisory authority, SA (Art.51-59) Представители контролёров или обработчиков, не учрежденных в ЕС* Representative (Art.27)
  18. 18. Только 15% людей чувствуют, что у них есть полный контроль над информацией, которуюони оставляют в сети Интернет… http://ec.europa.eu/justice/smedataprotect/index_en.htm 18
  19. 19. Право на информацию об обработке Right to be informed Article 13, 14 Право на доступ к данным Right of access by the data subject Article 15 Право на исправление данных Right to rectification Article 16 Право на удаление данных («право на забвение») Right to erasure (‘right to be forgotten’) Article 17 Право на ограничение обработки Right to restriction of processing Article 18 Право на переносимость данных Right to data portability Article 20 Право на возражение Right to object Article 21 Права в отношении автоматизированного принятия решений, включая составление профиля Rights in relation to automated decision making and profiling Article 22 +Право знать об утечках данных Communication of a personal data breach to the data subject Article 34 Права субъектов ПДн 19
  20. 20. «Контролёр» (controller) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки определяются правом Евросоюза или государства-члена, контролёр, либо конкретные критерии для его выдвижения, могут быть предусмотрены правом Евросоюза или государства-члена. «Обработчик» (processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра. 20
  21. 21. Supervisory authority, SA Статья 51. Надзорный орган 1. Каждое государство-член должно предусмотреть существование одного или нескольких самостоятельных полномочных государственных органов, являющихся ответственными за мониторинг применения настоящего Регламента, для того, чтобы обеспечить защиту основных прав и свобод физических лиц в отношении обработки, а также свободного движения персональных данных на территории Евросоюза. 21
  22. 22. Austria Belgium Bulgaria Croatia Cyprus Czech Rebublic Denmark Estonia European Union Finland France Germany Greece Hungary Iceland Ireland Italy Latvia Liechtenstein Lithuania Luxembourg Malta Netherlands Norway Poland Portugal Romania Slovakia Slovenia Spain Sweden Switzerland United Kingdom Datenschutzbehörde – Republik Österreich Commission de la Protection de la Vie Privee (CPVP) Commission for Personal Data Protection (CPDP) Agencija za zaštitu osobnih podataka (AZOP) Commissioner for Personal Data Protection Office for Personal Data Protection Datatilsynet Estonian Data Protection Inspectorate (AKI) European Data Protection Supervisor Office of the Data Protection Ombudsman Commission nationale de l’informatique et des libertés (CNIL) Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) Hellenic Data Protection Authority (DPA) Hungarian National Authority for Data Protection and Freedom of Information (NAIH) Icelandic Data Protection Authority Irish Data Protection Commissioner Garante per la Protezione dei Dati Personali Data State Inspectorate of Latvia (DVI) Datenschutzstelle (DSS) Liechtenstein State Data Protection Lithuania Commission Nationale pour la Protection des Donees (CNPD) Office of the Information and Data Protection Commissioner (IDPC) Autoriteit Persoonsgegevens Datatilsynet Norway Bureau of the Inspector General for the Protection of Personal Data (GIODO) Comissio National de Proteccao de Dados (CNPD) National Supervisory Authority for Personal Data Processing Office for Personal Data Protection of the Slovak Republic Information Commissioner Slovenia Agencia Espanola de Proteccion de Dattos (AEPD) Swedish Data Protection Authority Federal Data Protection and Information Commissioner (FDPIC) Information Commissioner’s Office (ICO) + см. http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm Supervisory authorities, SA 22
  23. 23. Задачи Надзорного органа (по ст.57) • Мониторинг применения GDPR • Повышение осведомленности • Консультирование и предоставление информации • Рассмотрение жалоб и проведение разбирательств • Сотрудничество с другими SA • Поощрение разработки кодексов поведения • Поощрение разработки механизмов сертификации • Проведение аккредитации органов по сертификации • … 23
  24. 24. Полномочия Надзорного органа (по ст.58.1 и 58.2) По разбирательствам По устранению недостатков • Запрос информации от контролера и обработчика • Аудиторские проверки защиты данных • Обзор сертификаций • Уведомление о нарушениях • Запрос доступа к ПДн • Запрос доступа к оборудованию, средствам обработки и в помещения • Предупреждение • Выговор • Предписание соблюдать запросы субъектов • Предписание выполнить требования GDPR • Предписание об уведомлении об утечках • Ограничение обработки ПДн (втч и запрет) • Предписание об устранении нарушений • Отзыв сертификатов • Наложение административных штрафов • Предписание о приостановке передачи данных в третьи страны 24
  25. 25. Базовая идея про штрафы Статья 83 Общие условия наложения административных штрафов 1. Каждый надзорный орган должен обеспечить, чтобы наложение административных штрафов, в порядке настоящей Статьи в отношении нарушений положений настоящего Регламента, предусмотренных в параграфах 4, 5 и 6, в каждом отдельном случае, было эффективным, соразмерным и имело сдерживающее воздействие. 25
  26. 26. 2. Административные штрафы, в зависимости от обстоятельств каждого конкретного случая, должны налагаться в дополнение, либо вместо мер, предусмотренных пунктами (а)-(h) и (j) Статьи 58 (2). При принятии решения по вопросу наложения административного штрафа и решения о размере административного штрафа, в каждом отдельном случае должно подлежать учету следующее: (a) характер, тяжесть и продолжительность нарушения, принимая во внимание характер, объем и цели соответствующей обработки, также как и количество затронутых субъектов данных, а равно и размер ущерба, понесенного ими; (b) умышленный или неосторожный характер нарушения; (c) любые меры, предпринятые контролёром или обработчиком, для смягчения ущерба, полученного субъектами данных; (d) степень ответственности контролёра или обработчика, принимая во внимание технические и организационные меры, осуществляемые ими в соответствии со Статьями 25 и 32; (e) любые соответствующие предыдущие нарушения контролёра или обработчика; (f) степень сотрудничества с надзорным органом для того, чтобы устранить нарушения и смягчить возможные неблагоприятные последствия нарушений; (g) категории персональных данных, затронутых нарушением; (h) способ, посредством которого надзорному органу стало известно о нарушении, в том числе, уведомил ли контролёр или обработчик об этом нарушении, и если да, то в какой степени; (i) соблюдение мер, предусмотренных Статьей 58 (2), ранее было предписано против соответствующего контролёра или обработчика в отношение того же вопроса; (j) соблюдение утвержденных кодексов поведения в соответствии со Статьей 40, или утвержденных механизмов сертификации,в соответствии со Статьей 42; и (k) любые иные отягчающие или смягчающие факторы, применимые к обстоятельствам дела, например, полученные финансовые выгоды или избежание потерь, прямо или косвенно связанных с нарушением. 26
  27. 27. Максимальные штрафы up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher до 20 000 000 Евро или применительно к хозяйствующему субъекту в размере до 4% от «обще- странового» годового оборота за весь предыдущий финансовый год, в зависимости от того, какая сумма больше 27
  28. 28. 28
  29. 29. Article 27 Representatives of controllers or processors not established in the Union 1.Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union. … 4.The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation. … Статья 27 Представители контролёров или обработчиков, не учрежденных в Евросоюзе 1.В том случае, когда применяется Статья 3 (2), контролёр или обработчик должны в форме письменного документа назначить представителя в Евросоюзе. … 4.Представитель контролёра или обработчика должен обладать полномочиями, предоставленными ему контролёром или обработчиком и рассматриваться наряду, либо вместо контролёра или обработчика, в частности, надзорными органами и субъектами данных по всем вопросам, связанным с … 29
  30. 30. 30
  31. 31. 31 • Экстерриториальный scope (Art.3) • Базовые принципы обработки (Art.5) • Согласие на обработку (Art.7) • Специальные категории ПДн (Art.9) • Право на доступ и исправление ПДн (Art.15,16) • Право на забвение (Art.17) • Право на перенос / получение копии данных (Art.20) • Профилирование и мониторинг (Art.21, 22) + cookies (п.30) • Контролер (Controller) и Обработчик (Processor) (Art.24-31) • Официальный представитель в ЕС (Art.27) • Записи об обработке ПДн (Art.30) • Проектируемая безопасность / «Data protection by design and by default» (Art.32) • Уведомление надзорного органа об утечках (Art.33) • Уведомление субъектов ПДн об утечках (Art.34) • Оценка воздействия (Data Protection Impact Assessment, DPIA) и предварительная консультация с надзорным органом (Art.35, 36) • Инспектор по защите данных (Data protection officer, DPO) (Art.37-39) • Сертификация защиты данных (Art.42) • Право на компенсацию материального и нематериального ущерба (Art.82) • Штрафы и санкции (Art.58.2, 83) Важные положения GDPR
  32. 32. Безопасность ПДн Статья 32 Безопасностьобработки 1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять соответствующие технические и организационные меры, обеспечивающие надлежащий уровень безопасности соразмерный этим рискам, включая, среди прочего, следующее: • (a) псевдонимизация и криптографическая защита персональных данных; • (b) средства для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг; • (с) средства своевременного восстановления доступности и доступа к персональным данным в случае природного или технического инцидента; • (d) процедура регулярной проверки и оценки эффективности технических и организационных мер, обеспечивающая безопасность обработки. 2. При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе риски, которые представляет собой сама обработка, в особенности риски от случайного или неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к персональным данным переданным, сохраненным либо или иным образом обработанным. … Статья 33. Уведомлениенадзорного органаобутечкеперсональныхданных Статья 34. Сообщение субъекту данныхоб утечке персональныхданных 32
  33. 33. Article 30 Records of processing activities 1.Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility... 2.Each processor and, where applicable, the processor's representative shall maintain a record of all categories of processing activities carried out on behalf of a controller … 4.The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request. Статья 30 Отчетные записи обработки данных 1.Каждый контролёр и, когда это применимо, представитель контролёра должен вести учетные записи обработки данных, находящейся под его ответственностью… 2.Каждый обработчик и, когда это применимо, представитель обработчика должны вести учет всех категорий обработки данных, осуществляемой от имени контролёра… 4.Контролёр или обработчик и, когда это применимо, представитель контролёра или обработчика должны предоставлять учетные записи в распоряжение надзорных органов по их требованию. 33
  34. 34. Записи об обработке ПДн • Наименование и реквизиты контролера / обработчика • Цели обработки • Категории ПДн и субъектов ПДн • Категории получателей данных • Передача в третьи страны • Сроки хранения • Описание технических и организационных мер безопасности 34
  35. 35. Section 3. Data protection impact assessment and prior consultation Article 35 Data protection impact assessment 1.Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks. Раздел 3. Оценка воздействия на защиту данных и предварительная консультация Статья 35 Оценка воздействия на защиту данных 1.В тех случаях, когда тип обработки данных, в частности при использовании новых технологий, а также принимая во внимание характер, объем, контекст и цели обработки, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен, до этой обработки, осуществить оценку воздействия предусмотренных операций обработки на защиту персональных данных. Отдельная оценка может быть проведена в отношении ряда аналогичных операций обработки, который представляет подобные высокие риски. 35
  36. 36. 2.The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment. 3.A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of: (a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; (b) processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or (c) a systematic monitoring of a publicly accessible area on a large scale. 2. Контролёр должен посоветоваться с инспектором по защите персональных данных, в случае если он назначен на должность, при проведении оценки воздействия на защиту данных. 3. Оценка воздействия на защиту данных, предусмотренная параграфом 1, требуется, в том числе, в случае: (a) системной и масштабной оценки персональных особенностей, касающихся физических лиц, которая основана на автоматизированной обработке, включая составление профиля, и на которых основаны решения, порождающие правовые последствия, связанные с физическим лицом, либо подобным образом значительно влияют на физическое лицо; (b) масштабной обработки особых категорий данных, предусмотренных Статьей 9 (1), либо персональных данных, связанных с уголовными приговорами и правонарушениями, в соответствии со Статьей 10; или (c) систематического мониторинга сфер, открытых для всех пользователей в широких масштабах. 36
  37. 37. 7.The assessment shall contain at least: (a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller; (b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes; (c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and (d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned. 7. Оценка должна содержать как минимум: (a) систематизированное описание предусмотренных операций обработки данных, а также целей обработки, в том числе, когда это применимо, законные права, осуществляемые контролёром; (b) оценку необходимости и соразмерности операций обработки по отношению к целям; (c) оценку рисков в отношении прав и свобод субъектов данных, предусмотренных параграфом 1; и (d) меры, предусмотренные в отношении рисков, в том числе гарантии, меры безопасности, а также механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента, принимая во внимание права и законные интересы субъектов данных и иных заинтересованных лиц. 37
  38. 38. 38
  39. 39. Article 4 Definitions (12) «Personal data breach» means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed. Статья 4 Понятийно-терминологическая основа (12) «Утечка персональных данных» – означает нарушение безопасности, приводящее к случайному или противозаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданных, хранящихся или обработанных иным образом. 39
  40. 40. GDPR: “(85) Утечка персональных данных, если она надлежащим образом и своевременно не была устранена, может привести к физическому, материальному или нематериальному ущербу для физических лиц, таким как утрата контроля над персональными данными или ограничение их прав, дискриминация, кража идентификационных данных или мошенничество с персональными данными, финансовые потери, несанкционированный отказ от псевдонимизации, ущерб репутации, нарушение конфиденциальности персональных данных, защищённых профессиональной тайной, или любые иные существенные экономические или социальные потери для соответствующих физических лиц…” 40 Почему важно контролировать утечки?
  41. 41. Supervisory authority (Надзорный орган) Art.33 Data subjects (Субъекты данных) Art.34 41 Уведомление об утечках по GDPR
  42. 42. Уведомление надзорного органа Уведомление субъектов Когда можно НЕ уведомлять • Если риск минимальный • Если риск НЕ большой • Если приняты надлежащие меры (например, криптографическая защита) • Если приняты адекватные последующие меры • Если требуются несоразмерные усилия Состав уведомления • Реквизиты DPO • Возможные последствия • Принятые меры • Характер утечки (категории и количество пострадавших субъектов и записей) • Реквизиты DPO • Возможные последствия • Принятые меры Срок уведомления • Без неоправданной задержки и, не позднее чем через 72 часа после выявления • Без неоправданной задержки 42
  43. 43. Фух, успел до 25 мая… 43
  44. 44. 152-ФЗ GDPR Актуально для России Да Да, но не всем Риски для бизнеса • Ст.13.11 КоАП, 7 оснований (до 75 000 рублей) • Компенсация материального и морального ущерба (но норма не работает) • Блокировка сайта • Крупные штрафы (до 20 млн евро / 4% годового оборота) • Компенсация материального и морального ущерба • Блокировка сайта / приостановление деятельности Фокус на соблюдение прав субъектов ПДн: • Право знать о порядке обработки • Право на забвение • Право на перенос / получение копии данных • Право знать об утечках … Да Да Нет Нет Да Да Да (Art.20) Да (Art.34) Оценка рисков ИБ • Оценка вреда субъекту 152-ФЗ (ст.18.1) • Модель угроз и модель нарушителя • Data Protection Impact Assessment (DPIA) (Art.35) Фокус на принцип «Data protection by design and by default» / «Проектируемая безопасность» (анонимизация, псевдонимизация, шифрование) Скорее Да, но об этом мало кто задумывается Да (Art.32) Выделенный ответственный сотрудник Да, и за обработку и за ИБ Да, Data protection officer (DPO) (Art.37-39) +Представитель в ЕС (Art.27) Уведомление надзорного органа об утечках ПДн Нет Да, за 72ч(Art.33) Разъяснения и Рекомендации Практически нет (нет полномочий) Да и много. Даже до вступления в силу 44
  45. 45. 45
  46. 46. https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-business-7-steps_en.pdf https://ico.org.uk/media/for-organisations/documents/1624219/preparing-for-the-gdpr-12-steps.pdf 46
  47. 47. «2018 GDPR Compliance report» byAlien Vault 47
  48. 48. 48 «2018 GDPR Compliance report» byAlien Vault
  49. 49. «2018 GDPR Compliance report» byAlien Vault 49
  50. 50. «2018 GDPR Compliance report» byAlien Vault 50
  51. 51. Чем хорош GDPR? (субъективно) • Реальный фокус на права субъектов ПДн с учетом современных ИТ • Реальные штрафы и полномочия SA • Защита ПДн с учетом экономической целесообразности • Очень много разъяснений и примеров • Упрощенные требования для SME (до 250 человек): без DPO, без записей об обработке ПДн, без уведомления об утечках 51
  52. 52. Спасибо! Прозоров Андрей, CISM 80na20.blogspot.ru 52

×