Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001, profile picture
Uploaded byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
17,776 views

Data protection RU vs EU

Документ сравнивает подходы к защите персональных данных в России и Европе, подчеркивая отставание России в этой области. Основные различия касаются надзорных органов, минимизации данных и легитимности их обработки. В то время как в Европе сфера защиты данных развивается с большим опытом и строгими требованиями, в России законодательство и его реализация остаются неэффективными.

Law

Embed presentation

Downloaded 14 times
Data Protection: Russian Style vs European Style Andrey Prozorov, CIPP/E, CISM 2020-04-14
Зачем все это нужно знать? • В Европе сейчас накапливается огромный опыт по обработке и защите персональных данных, тема очень актуальна (в отличие от России) • Россия находится в позиции «догоняющей» («отстающей») • Надеемся на «железный занавес» и изоляцию? Выравнивать требования все равно придется...
Основные области отличия • Надзорные органы и их подходы • Минимизация данных и ограничение по цели • Основания для обработки • Оценка воздействия • Утечки данных • Передача данных в другие страны • И другое
Надзорные органы • Минимум рекомендаций, они низкого качества (а порой и противоречивые), темы не актуальные • Мало полномочий • Минимальные штрафы. Ну, кроме штрафа за отсутствие БД на территории РФ (до 6 млн) • Очень много рекомендаций и разъяснений по актуальным темам • Широкие полномочия надзорных органов (GDPR Art.58) • Большие штрафы, в основном за нарушение прав субъектов ПДн. Штрафы соразмерны размеру (и обороту) компании и имеют «сдерживающее воздействие»
Минимизация данных1 152-ФЗ Статья 14. Право субъекта персональных данных на доступ к его персональным данным 3. … Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Finnish Data Protection Act Section 29 Processing of personal identity codes A personal identity code may be processed if the data subject has given consent to it or if so provided by law. A personal identity code may also be processed if it is necessary to uniquely identify the data subject: 1) in order to perform a statutory duty; 2) in order to implement the rights and duties of the data subject or the controller; or 3) for scientific or historical research purposes or statistical purposes. … A personal identity code shall not be unnecessarily entered into documents printed out from or drawn up based on a filing system.
Минимизация данных2 • Минимизация сбора ПДн заявляется, но, по факту, реализуется как придется… • Примеры: сканирование паспортов в гостиницах и на проходных, покупка билетов, запросы субъектов ПДн, содержащие полные паспортные данные, и пр. • Очень много законодетельных требований для сбора. А надо ли? • Лучше собрать меньше, чем больше • ID только для установления личности • Минимизация данных – важная идея Data protection by design and by default
Основания для обработки • 12 оснований, «законный интерес» практически не используется • Получение согласие – основной механизм легализации сбора ПДн. Его берут по любому поводу и без (прием на работу, гостиницы, мед.услуги, пропуск на территорию и пр.). Без согласия услуги не предоставляют… • Сбор согласия при наличии других оснований для обработки – Ок (152-ФЗ ст.9) • 6 оснований для обработки • Согласие – самый не популярный и рисковый вариант легализации сбора ПДн • Уточняется, что согласие под принуждением (если дается зависимой стороной) не имеет юридической силы. • Сбор согласия при наличии других оснований для обработки – нарушение (и штраф) • Законный интерес часто используют для легализации СЗИ (privacy in working life)
Оценка воздействия • Требование есть, но оценка и контроль обычно не производятся Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим ФЗ 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ она, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим ФЗ • GDPR Section 3. Data protection impact assessment and prior consultation (2 стр.) • DPIA – один из элементов подтверждения Accountability • Если риски высоки, то надо уведомить надзорный орган • Есть рекомендации, шаблоны и ПО (CNIL) • Рекомендуется все процессы и новые технологии проводить через такую оценку. В том числе и при внедрении новых СЗИ (DLP, CCTV, NGFW, SIEM, UEBA)…
Утечки данных • Не утечки, а информационные атаки :))) • Требований (и практики) по уведомлению нет, штрафов нет*, даже проверки обычно не проводят (максимум запрос) • *Есть штраф КоАП 13.11 п.6 про защиту ПДн на носителях без использования средств автоматизации (по сути, бумага), до 50 000 рублей • Data breach – это не только утечка, а, в целом, нарушение КЦД • Об инцидентах необходимо уведомлять надзорный орган и субъектов ПДн (в зависимости от возможного ущерба) • Можно получить штраф и за нарушение безопасности данных и за несвоевременное уведомление • Много рекомендаций
Передача данных в другие страны • Россия: США не обеспечивает адекватную защиту • Россия: ЕС обеспечивает адекватную защиту прав субъектов ПДн • Операторы ПДн обязаны обрабатывать ПДн с использованием БД на территории РФ. За это максимальные штрафы • ЕС: США обеспечивает адекватную защиту только для компаний, подпадающих под Privacy Shield • ЕС: Россия НЕ обеспечивает адекватную защиту прав субъектов ПДн. Для передачи должны быть дополнительные основания и информирование субъектов о возможных рисках
Другие отличия • Transparency • Accountability • Data protection by Design and by Default • Anonymisation and pseudonymization • Appropriate technical and organisational measures • Records of processing activities • Simpler requirements for SMEs • Certification • DPO • …
12 Андрей Прозоров, CIPP/E, CISM • Мой Патреон (ISMS and GDPR toolkits) - www.patreon.com/AndreyProzorov • Мой блог - http://80na20.blogspot.com • Эл.почта - prozorov.info@gmail.com Спасибо!

More Related Content

PDF
GDPR intro
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Про практику DLP (Код ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Тенденции ИБ в РФ (Минск)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр DLP при увольнении сотрудников (Прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Правила легализации DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр про ПДн
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Организационные и юридические аспекты использования DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
пр1 про пп1119 и soiso 2013 03-14
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про практику DLP (Код ИБ)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр DLP при увольнении сотрудников (Прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Правила легализации DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot

PDF
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр человек смотрящий для Risc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Все про Dlp 1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Intro законодательство по иб и юр.практики 2014 09 small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Pre dlp (юр.аспекты)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр стоимость утечки информации Iw для idc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Iw про compliance 2013 03-05 16на9
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
пр вебинар эволюция Dlp iw 07 2013
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Управление инцидентами ИБ (Dozor) v.2.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Юр.вопросы DLP (про суды)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Модель зрелости Dlp
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
1. intro dlp 2014 09
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Обзор законопроектов о КИИ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр GDPR breach
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
пр защита от инсайдеров это не только Dlp (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Увольнение за разглашение КТ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Обзор Методических рекомендаций по ГосСОПКА
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр человек смотрящий для Risc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Pre dlp (юр.аспекты)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр вебинар эволюция Dlp iw 07 2013
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor) v.2.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Юр.вопросы DLP (про суды)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Модель зрелости Dlp
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
1. intro dlp 2014 09
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр защита от инсайдеров это не только Dlp (прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Увольнение за разглашение КТ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Similar to Data protection RU vs EU

PDF
Последние изменения законодательства по ИБ и его тенденции
byAleksey Lukatskiy
 
PDF
GDPR and information security (ru)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Интернет-магазин как информационная система обработки персональных данных
byDemian Ramenskiy
 
PPT
яценко 20 21 сентября
byНадт Ассоциация
 
PPT
Vbяценко 20 21 сентября
byНадт Ассоциация
 
PPT
Михаил Яценко Закон «О персональных данных». Практика применения
byНадт Ассоциация
 
PDF
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
byDialogueScience
 
PDF
Что нас ждет в отечественном законодательстве по ИБ?
byCisco Russia
 
PPTX
Ey uisg iv privacy
byGlib Pakharenko
 
PDF
Планируемые изменения законодательства по ИБ в России
byAleksey Lukatskiy
 
PDF
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
byRISClubSPb
 
PPTX
нн 2013 chugunov_v 1
byEkaterina Morozova
 
PDF
пр про законодательство в области иб для нн в.2
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр мастер класс по пдн 2014-04
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
лукацкий алексей. обзор последних законодательных инициатив в области информа...
byelenae00
 
PDF
Последние законодательные инициативы по информационной безопасности
byAleksey Lukatskiy
 
PDF
Требования в области информационной безопасности и соответствующие им решения...
byCisco Russia
 
PPTX
закон о пдн_последние_изменения_разбегаев_в_авг_2014
byVladimir Razbegaev
 
PPTX
закон о пдн_последние_изменения_разбегаев_в_авг_2014
byVladimir Razbegaev
 
PPTX
Accountor - Поправки в Федеральный закон «О персональных данных» и их возможн...
byAccountor Russia and Ukraine
 
Последние изменения законодательства по ИБ и его тенденции
byAleksey Lukatskiy
 
GDPR and information security (ru)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Интернет-магазин как информационная система обработки персональных данных
byDemian Ramenskiy
 
яценко 20 21 сентября
byНадт Ассоциация
 
Vbяценко 20 21 сентября
byНадт Ассоциация
 
Михаил Яценко Закон «О персональных данных». Практика применения
byНадт Ассоциация
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
byDialogueScience
 
Что нас ждет в отечественном законодательстве по ИБ?
byCisco Russia
 
Ey uisg iv privacy
byGlib Pakharenko
 
Планируемые изменения законодательства по ИБ в России
byAleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
byRISClubSPb
 
нн 2013 chugunov_v 1
byEkaterina Morozova
 
пр про законодательство в области иб для нн в.2
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
byelenae00
 
Последние законодательные инициативы по информационной безопасности
byAleksey Lukatskiy
 
Требования в области информационной безопасности и соответствующие им решения...
byCisco Russia
 
закон о пдн_последние_изменения_разбегаев_в_авг_2014
byVladimir Razbegaev
 
закон о пдн_последние_изменения_разбегаев_в_авг_2014
byVladimir Razbegaev
 
Accountor - Поправки в Федеральный закон «О персональных данных» и их возможн...
byAccountor Russia and Ukraine
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

PDF
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Data protection RU vs EU

  • 1.
    Data Protection: Russian Stylevs European Style Andrey Prozorov, CIPP/E, CISM 2020-04-14
  • 2.
    Зачем все этонужно знать? • В Европе сейчас накапливается огромный опыт по обработке и защите персональных данных, тема очень актуальна (в отличие от России) • Россия находится в позиции «догоняющей» («отстающей») • Надеемся на «железный занавес» и изоляцию? Выравнивать требования все равно придется...
  • 3.
    Основные области отличия •Надзорные органы и их подходы • Минимизация данных и ограничение по цели • Основания для обработки • Оценка воздействия • Утечки данных • Передача данных в другие страны • И другое
  • 4.
    Надзорные органы • Минимумрекомендаций, они низкого качества (а порой и противоречивые), темы не актуальные • Мало полномочий • Минимальные штрафы. Ну, кроме штрафа за отсутствие БД на территории РФ (до 6 млн) • Очень много рекомендаций и разъяснений по актуальным темам • Широкие полномочия надзорных органов (GDPR Art.58) • Большие штрафы, в основном за нарушение прав субъектов ПДн. Штрафы соразмерны размеру (и обороту) компании и имеют «сдерживающее воздействие»
  • 5.
    Минимизация данных1 152-ФЗ Статья 14.Право субъекта персональных данных на доступ к его персональным данным 3. … Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Finnish Data Protection Act Section 29 Processing of personal identity codes A personal identity code may be processed if the data subject has given consent to it or if so provided by law. A personal identity code may also be processed if it is necessary to uniquely identify the data subject: 1) in order to perform a statutory duty; 2) in order to implement the rights and duties of the data subject or the controller; or 3) for scientific or historical research purposes or statistical purposes. … A personal identity code shall not be unnecessarily entered into documents printed out from or drawn up based on a filing system.
  • 6.
    Минимизация данных2 • Минимизациясбора ПДн заявляется, но, по факту, реализуется как придется… • Примеры: сканирование паспортов в гостиницах и на проходных, покупка билетов, запросы субъектов ПДн, содержащие полные паспортные данные, и пр. • Очень много законодетельных требований для сбора. А надо ли? • Лучше собрать меньше, чем больше • ID только для установления личности • Минимизация данных – важная идея Data protection by design and by default
  • 7.
    Основания для обработки •12 оснований, «законный интерес» практически не используется • Получение согласие – основной механизм легализации сбора ПДн. Его берут по любому поводу и без (прием на работу, гостиницы, мед.услуги, пропуск на территорию и пр.). Без согласия услуги не предоставляют… • Сбор согласия при наличии других оснований для обработки – Ок (152-ФЗ ст.9) • 6 оснований для обработки • Согласие – самый не популярный и рисковый вариант легализации сбора ПДн • Уточняется, что согласие под принуждением (если дается зависимой стороной) не имеет юридической силы. • Сбор согласия при наличии других оснований для обработки – нарушение (и штраф) • Законный интерес часто используют для легализации СЗИ (privacy in working life)
  • 8.
    Оценка воздействия • Требованиеесть, но оценка и контроль обычно не производятся Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим ФЗ 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ она, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим ФЗ • GDPR Section 3. Data protection impact assessment and prior consultation (2 стр.) • DPIA – один из элементов подтверждения Accountability • Если риски высоки, то надо уведомить надзорный орган • Есть рекомендации, шаблоны и ПО (CNIL) • Рекомендуется все процессы и новые технологии проводить через такую оценку. В том числе и при внедрении новых СЗИ (DLP, CCTV, NGFW, SIEM, UEBA)…
  • 9.
    Утечки данных • Неутечки, а информационные атаки :))) • Требований (и практики) по уведомлению нет, штрафов нет*, даже проверки обычно не проводят (максимум запрос) • *Есть штраф КоАП 13.11 п.6 про защиту ПДн на носителях без использования средств автоматизации (по сути, бумага), до 50 000 рублей • Data breach – это не только утечка, а, в целом, нарушение КЦД • Об инцидентах необходимо уведомлять надзорный орган и субъектов ПДн (в зависимости от возможного ущерба) • Можно получить штраф и за нарушение безопасности данных и за несвоевременное уведомление • Много рекомендаций
  • 10.
    Передача данных вдругие страны • Россия: США не обеспечивает адекватную защиту • Россия: ЕС обеспечивает адекватную защиту прав субъектов ПДн • Операторы ПДн обязаны обрабатывать ПДн с использованием БД на территории РФ. За это максимальные штрафы • ЕС: США обеспечивает адекватную защиту только для компаний, подпадающих под Privacy Shield • ЕС: Россия НЕ обеспечивает адекватную защиту прав субъектов ПДн. Для передачи должны быть дополнительные основания и информирование субъектов о возможных рисках
  • 11.
    Другие отличия • Transparency •Accountability • Data protection by Design and by Default • Anonymisation and pseudonymization • Appropriate technical and organisational measures • Records of processing activities • Simpler requirements for SMEs • Certification • DPO • …
  • 12.
    12 Андрей Прозоров, CIPP/E,CISM • Мой Патреон (ISMS and GDPR toolkits) - www.patreon.com/AndreyProzorov • Мой блог - http://80na20.blogspot.com • Эл.почта - prozorov.info@gmail.com Спасибо!