Privacy day 2019: как защитить персональные данные?




17:43 06.03.2019  (обновлено: 11:05 04.04.2019)   |   4446 |  Мелиса Савина |  Computerworld Россия

Рубрика Индустрия



Эксперты организованной «Центром цифровых прав» конференции, посвященной приватности в Сети, рассматривали вопрос под разными углами и неоднократно вспоминали принятую в ЕС директиву GDPR.

О приватности

Управляющий партнер «Центра цифровых прав» Саркис Дарбинян провел правовой ликбез о том, что нужно знать для защиты приватности. Он рассказал, что объектами защиты могут быть доброе имя человека, его честь и достоинство, деловая репутация, изображения, персональные данные, частная жизнь, конфиденциальная переписка. Защищаются эти объекты разными статьями КоАП, ГК, ТК и УК РФ. Ответственность за нарушения может быть административной, гражданской, дисциплинарной, уголовной. За соблюдением законодательства следят правоохранительные и разные надзорные органы (от МВД до трудовой инспекции и Роскомнадзора), причем многие из них весьма неохотно работают с нарушениями прав на персональные данные, посетовал Дарбинян. Судебной работой занимаются суды общей юрисдикции и арбитражные суды.

Для того чтобы расследовать инциденты, соответствующие уполномоченные органы должны определить правовую природу публикации (является ли она утверждением о факте или мнением), проанализировать, что представляет собой онлайн-ресурс (СМИ это или соцсеть, кто автор, регистратор домена, какова целевая аудитория), зафиксировать нарушения и подготовить доказательства. Здесь в ход идут осмотр сайта нотариусом, электронные копии страниц, заключение специалистов и т.д.

О больших и персональных данных

Исполнительный директор «Центра цифровых прав» Денис Лукаш подробнее рассказал о российском законодательстве в области больших и персональных данных. Большие данные — это и объект, и механизм обработки. Точного определения в российском законе, однако, нет, как нет, соответственно, и специальных правил сбора, обработки, использования и продажи больших данных. По закону «Об информации» большие данные можно охарактеризовать как объект публичных, гражданских и иных правоотношений. Большие данные могут являться персональной информацией или только частично содержать ее. В GDPR, кстати, понятие личных данных расширено и уточнено. Так, ими может стать и результат психологического теста ребенка, ведь по нему модно понять его состояние, особенности, отношение к родителям, профессию последних и т.д. Примечательно, что соцсети, по словам эксперта, не делают данные общедоступными, пусть некоторым участникам рынка и хотелось бы так думать.

Торговля данными продолжает иметь место в России и происходит за счет фактического отсутствия проверок ФСТЭК и ФСБ коммерческих компаний, придуманных перед проверками Роскомнадзора договоров, описывающих притворную сделку, ссылки на то, что обработка персональных данных нужна для исследований, перехода в теневой рынок и других ухищрений. По мнению эксперта, при работе с персональными данными компаниям опасно отрицать, что они персональные, и дейсттвовать без юридической экспертизы и оценки рисков.

О GDPR в России

Старший юрист PwC в России Артем Дмитриев рассказал, что принятый в Евросоюзе Общий регламент по защите данных GDPR может быть применим к российским компаниям напрямую или косвенно. Прямая применимость подразумевает деятельность предприятия в странах ЕС (наличие филиала, дочерней компании), предложение товаров и услуг и мониторинг поведения в местах присутствия (аналитика, контроль за работниками). Косвенная применимость возникает в трех случаях. Первый — наличие совместных операторов, у которых общие с российскими ИТ-системы и др. Второй — оператор в ЕС является обработчиком информации в России. Здесь он арендует серверы и мощности, проводит аутсорсинг корпоративных услуг, оказывает ИТ-услуги. Наконец, третий случай — оператор в ЕС является оператором и в России. Он покупает данные у агрегаторов, взаимодействует с банками, ведет отчетность.

Если российская организация занимается хотя бы одной из вышеперечисленных работ, она подпадает под GDPR. Каким же образом соблюдать его? Спикер обозначил два пути. Это комплексное проведение всей деятельности организации в соответствие с кодексом или, наоборот, локальное внедрение новых норм в отдельные бизнес-процессы. Интересно, что, хоть GDPR и российский 152-ФЗ «О защите персональных данных» и развиваются в одном векторе, между ними, конечно же, есть различия, которые заставляют оператора балансировать между двумя векторами регулирования.

Об утечках в компаниях

Старший консультант PwC в России Николай Дегтярев представил доклад о том, как реагировать на утечку персональных данных клиентов. Он предложил компаниям начать с создания доступного и удобного перечня компетенций по персональным данным, единого центра компетенций по персональным данным и перечня заинтересованных сторон. Реагировать на утечки можно с помощью технических средств, каналов получения информации от людей, мониторинга информационного пространства и внеплановой проверки. При этом очень важно заранее определить и протестировать порядок реагирования.

Если утечка уже произошла, следует идентифицировать ее и создать рабочую группу по реагированию, контролировать промежуточные сроки по выполнению мер на каждом этапе, документировать происходящее вплоть до итоговой отчетности и принять компенсирующие меры. Кстати говоря, документирование реакции на утечку — требование GDPR.

Нельзя забывать об информировании об инцидентах регулирующих органов, а также затронутых субъектов, головного офиса и контрагентов. Особняком в рекомендациях стоит взаимодействие с отделами маркетинга и PR, которые также должны быть готовы отразить информационную атаку, правда уже немного другого свойства.


Теги: Персональные данные Большие данные Кибербезопасность Закон о персональных данных GDPR
На ту же тему: