Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Новые требования Европейской Экономической Зоны
(European Economic Area)
в области обработки и защиты Персональных Данных
...
Содержание
Развитие требований по обработке и защите персональных
данных в Европейском Союзе / ЕЕА
3
Основные термины 4
Кл...
3
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Развитие требований по обработке и защите...
4
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Основные термины
Персональные данные
(ПДн...
5
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (1/4)
1. Штраф за н...
6
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (2/4)
3. Единый над...
7
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (3/4)
5. Реестр про...
8
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (4/4)
7. Новые прав...
9
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Внедрение GDPR в российских компаниях
ИБ
...
Kонтакты
Николай Самодаев, CISA, MBCI
Партнер, Руководитель практики в области управления
информационными технологиями и И...
Upcoming SlideShare
Loading in …5
×

Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y

754 views

Published on

Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y

Published in: Economy & Finance
  • Be the first to comment

  • Be the first to like this

Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y

  1. 1. Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных General Data Protection Regulation (GDPR) Июнь 2017
  2. 2. Содержание Развитие требований по обработке и защите персональных данных в Европейском Союзе / ЕЕА 3 Основные термины 4 Ключевые аспекты GDPR 5-8 Внедрение GDPR в российских компаниях 9 Наши контакты 10
  3. 3. 3 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Развитие требований по обработке и защите персональных данных в Европейском Союзе / ЕЕА ► 24 октября 1995 г была представлена Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (Директива). Директива определяла термин «персональные данные», а также формулировала требования к сбору и обработке персональных данных ► Развитие информационных технологий и переход бизнеса в цифровое пространство потребовали пересмотра регуляторных требований к обработке и защите персональных данных. Как результат в 2016 г был выпущен General Data Protection Regulation (GDPR), который заменит требования Директивы 95/46/ЕС ► Новое законодательство вступит в силу с 25 Мая 2018 г
  4. 4. 4 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Основные термины Персональные данные (ПДн) Любая информация, относящаяся к идентифицированному или идентифицируемому физического лица (субъект ПДн) (включая, IP-адрес) Идентифицируемое физическое лицо Физическое лицо, которое может быть идентифицировано прямо или косвенно, в частности с использованием идентификатора, например: имени, идентификационного номера, данных о местоположении, онлайн-идентификатора; или с использованием параметров, характеризующих данное физическое лицо с физиологической, генетической, психологической, экономической, культурной или социальной точки зрения Обработка ПДн Любая операция или набор операций, выполняемых с ПДн или с набором ПДн как с использованием средств автоматизации, так и без использования оных, включая: сбор, запись, структурирование, хранение, адаптацию или изменение, использование, распространение, ограничение, уничтожение Контроллер ПДн Физическое или юридическое лицо, государственный орган, учреждение, которое в одиночку или совместно с другими определяет цели и средства обработки ПДн Оператор ПДн Физическое или юридическое лицо, государственный орган, учреждение, которое обрабатывает ПДн по поручению контроллера ПДн Псевдонимизация ПДн Обработка ПДн, при которой ПДн не могут быть отнесены к конкретному субъекту ПДн без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и защищена техническими и организационными мерами, для того чтобы исключить ассоциацию ПДн с идентифицированным или идентифицируемым физическим лицом
  5. 5. 5 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Ключевые аспекты GDPR (1/4) 1. Штраф за несоответствие требованиям GDPR ► GDPR увеличивает максимальный штраф за несоответствие до 20 миллионов Евро или 4 % глобального годового оборота компании за предыдущий период (выбор в пользу большей суммы) ► Наличие доказательств применения адекватных технических и организационных мер по защите ПДн потенциально может быть учтено регулятором, что в свою очередь, может повлиять на размер штрафа 2. Территориальное распространение Требования GDPR будут применимы к операторам и процессорам ПДн, находящимся внутри ЕЕА (European Economic Area == страны ЕС + Норвегия + Исландия + Лихтенштейн), вне зависимости от места непосредственной обработки ПДн. Для операторов ПДн, находящихся вне EEA, требования будут применимы в случае: ► Если оператор предлагает товары или услуги для граждан ЕС (в том числе на безвозмездной основе) ► Если обработка ПДн выполняется с целью мониторинга действий владельцев персональных данных, находящихся внутри ЕС
  6. 6. 6 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Ключевые аспекты GDPR (2/4) 3. Единый надзорный орган в ЕС ► Согласно текущим требованиям контроллеры и операторы ПДн внутри ЕС должны взаимодействовать с соответствующим локальным регулятором в каждой из 28 стран ЕС ► Согласно GDPR 28 локальных регуляторов были объединены под эгидой единого надзорного органа – для организации единого подхода по взаимодействию с контроллерами и операторами ПДн 4. 72 часа на уведомление регулятора ► Контроллер и оператор ПДн должны уведомить регулятора в течение 72 часов с момента обнаружения фактов нарушений в обработке или защите ПДн (в том числе компрометации ПДн) ► Описание выявленных нарушений, потенциальные последствия, а также компенсирующие меры по минимизации рисков должны быть задокументированы ► Своевременное уведомление регулятора в совокупности с детальным документированием выявленных нарушений может повлиять на размер потенциального штрафа (см. статью 83 GDPR) ► В случае если выявленные нарушения могут повлечь за собой реализацию рисков относительно прав и свобод субъекта ПДн, контроллер и оператор ПДн должен незамедлительно уведомить субъекта ПДн
  7. 7. 7 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Ключевые аспекты GDPR (3/4) 5. Реестр процессов обработки ПДн Контроллеры и процессоры обязаны* создать и поддерживать в актуальном состоянии реестр процессов обработки ПДн, отражающий: ► Наименование и контактные данные контроллера/процессора, представителя контроллера/процессора и DPO (data protection officer’а) ► Цель обработки ПДн (применимо к контролерам) ► Описание категорий субъектов ПДн, а также состав обрабатываемых ПДн ► Категории получателей (организации/физ. лица) соответствующих ПДн (включая трансграничную передачу данных) ► Срок хранения ПДн ► Общее описание применяемых технических и организационных мер по защите ПДн *Комментарий: GDPR предусматривает ряд исключений (п.5 Article 30) 6. Риск-ориентированный подход по организации защиты ПДн ► В рамках планирования и организации мер по защите GDPR требует проведения оценки влияния процессов обработки ПДн на права и свободы владельцев ПДн (data protection impact assessment – DPIA) ► В отдельных случаях, когда по мнению контроллера и/или оператора ПДн минимизация выявленного уровня риска невозможна (в виду отсутствия соответствующих технологий на рынке или чрезмерной стоимости внедрения подобных технологий), необходимо провести консультации с регулятором до начала обработки соответствующих ПДн
  8. 8. 8 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Ключевые аспекты GDPR (4/4) 7. Новые права владельцев ПДн ► Право «на забвение» Субъект ПДн имеет право поручить контролеру ПДн удалить соответствующие ПДн, а контролер ПДн обязан удалить соответствующие ПДн в случае: ► ПДн более не являются необходимыми для выполнения целей, в соответствие с которыми они были собраны/обрабатывались ► Владелец ПДн отозвал согласие на обработку ПДн, при этом отсутствуют другие юридические основания для обработки ПДн ► Незаконной обработки ПДн ► ПДн должны быть удалены в соответствие с требованиями законодательства ЕС или соответствующих стран-членов ЕС ► Полный перечень условий см. в статье 17 GDPR ► Право на перенос ПДн между организациями-операторами: Если обработка ПДн осуществляется при помощи средств автоматизации, субъект ПДн имеет право на получение своих персональных данных в структурированном, общепринятом и распознаваемом автоматизированными системами формате для последующей передачи другому оператору ПДн. Данное право применяется в случае, если обработка ПДн основывается на согласии субъекта ПДн или в рамках исполнения договора.
  9. 9. 9 Все права защищены ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017 Внедрение GDPR в российских компаниях ИБ Ю/ЕСЮ/РФ РБП GDPR Оценка влияния требований GDPR на: ► Существующие процессы обработки персональных данных ► Существующую систему информационной безопасности ► Требования смежных законодательных актов по защите информации в ЕС ► Опыт юридического сопровождения проектов по GDPR ► Требования законодательных актов по ИБ и защите информации в РФ ► Требования смежных законодательных актов РФ ► Понимание индустриальной специфики бизнес-процессов ► Выявление и описание потоков персональных данных, целей обработки, сроков хранения и т.п. ► Встраивание функции по управлению соответствием требованиям GDPR в систему риск-менеджмента ► Разработка и внедрение контрольных процедур
  10. 10. Kонтакты Николай Самодаев, CISA, MBCI Партнер, Руководитель практики в области управления информационными технологиями и ИТ-рисками Тел: +7 (495) 755-9869 E-mail: Nikolay.Samodaev@ru.ey.com Евгений Ким, CISA, ISO20000-1 LA Старший менеджер, Отдел по управлению информационными технологиями и ИТ-рисками Тел: +7 (495) 705-9739 E-mail: Evgeny.A.Kim@ru.ey.com

×