А.Б. Блохин
Заместитель генерального директора по корпоративной защите - начальник СКЗ
Что такое Защита персональных данных?
Защита персональных данных – это комплекс организационных и технических мероприятий, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъект персональных данных).
Данные мероприятия проводятся разово, периодично и постоянно. Разовыми считаются мероприятия уровня управленческих решений и определяющих внешнее окружение для системы защиты персональных данных. Периодично проводятся мероприятия по определению условий и содержания обработки персональных данных, равно как и состава персонала, ведущего обработку персональных данных. Постоянно производятся мероприятия по контролю режима обработки персональных данных.
Основные предпосылки внедрения защиты персональных данных
Основной регулирующий документ: «Федеральный закон о персональных данных» №152 от 27 июля 2006 года.
Соответствие требованиям законодательства
-
Регуляторы в области защиты персональных каждый год вводят новые виды ответственности
-
-
Сотрудники и клиенты совершенствуются в своих жалобах
-
-
Расширение или реорганизация структуры учреждения
-
-
Автоматизация систем защиты информации
В комплексе других работ по защите информации
-
Комплексный аудит информационной безопасности
-
-
Внедрение технических средств защиты информации
-
-
Аттестация информационных систем
Что такое GDPR?
GDPR. С 25 мая 2018 года вступил в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation,). Он регламентирует деятельность всех организаций, вне зависимости от их юрисдикции. В соответствии с ним организации должны соблюдать правила обработки персональных данных субъектов, находящихся на территории ЕС (в том числе и граждан РФ).
Таким образом все организации, которые имеют дочерние структуры в странах ЕС, являющиеся аффилированными с европейскими Компаниями, организации, оказывающие услуги гражданам ЕС в том числе и на территории РФ, или имеющие такую потенциальную возможность (сайт имеет версию на одном из языков ЕС, имеется возможность оплаты в валюте ЕС и т.д.) подпадают под требования данного Регламента.
В чем отличие GDPR и 152-ФЗ?
В регламенте GDPR есть ряд дополнительных требований.
-
Требуется разработка согласий субъектов на предмет понятности, информированности, добровольности, простоты отзыва, учёта их персональных данных;
-
-
Требуется обработка запросов субъектов на забвение, возражение против обработки ПДн, блокировку ПДн, корректировку их персональных данных;
-
-
Необходимо предоставление согласий пользователя на обработку их cookie-файлов при предоставлении web-доступа;
-
-
Необходимо наличие в информационных системах организации технических возможностей уничтожения, блокирования данных;
-
-
Наличие отдельно выделенного сотрудника ответственного за защиту данных;
-
-
Наличие выделенного представителя в конкретной стране ЕС для исполнения требований регуляторов по защите информации.
Что мы делаем в контексте работ по внедрению защиты персональных данных
-
Проводим комплексный аудит – изучаем текущее состояния дел по защите персональных данных в организации;
-
-
Определяем достаточность и актуальность принятых мер в организации по защите персональных данных;
-
-
Подготавливаем недостающую организационно-разрешительную документацию;
-
-
Проводим обучение сотрудников по вопросам защиты персональных данных;
-
-
В случае использования криптографических средств защиты информации – формируем необходимые документы в соответствии с требованиями законодательства;
-
-
Проектируем и внедряем средства защиты информации в существующую информационную структуру;
-
-
Проводим аттестацию информационных систем персональных данных в соответствии с заявленными требованиями регуляторов по защите информации.
