Защита персональных данных в соответствии с требованиями GDPR и 152-ФЗ

GDPR

С 25 мая 2018 года вступает в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Федеральный закон РФ № 152-ФЗ

В соответствии с Федеральным законом «О персональных данных» Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных. Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, потери ценной информации, привлечения организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановления действия или аннулирования лицензий на основной вид деятельности организации, репутационных рисков.

Выполнение требований регламента GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Компания «Газинформсервис» реализует ряд услуг, которые помогут компаниям в решении широкого спектра задач в области GDPR.

Пять шагов на пути к успешному выполнению требований регламента GDPR:

if check 1608613  Проведение GAP-анализа (анализа разрывов) соблюдения требований GDPR.

if check 1608613  Изучение правовых аспектов текущего уровня соответствия требованиям GDRP:

  • наличие и содержание согласий (на предмет понятности, информированности, добровольности, простоты отзыва, учёта)
  • обработка запросов субъектов (право на забвение, возражения против обработки ПДн, блокировка ПДн, корректировка данных)
  • соответствие локальных нормативных актов
  • готовность организации к соблюдению требований

if check 1608613 Аудит технической готовности информационных систем к выполнению требований:

  • выражение согласий на обработку cookie-файлов при предоставлении web-доступа к сервисам
  • механизмы выражения согласий на обработку ПДн при предоставлении web-доступа к сервисам
  • наличие в используемых системах технических возможностей уничтожения, блокирования данных и т.п.

if check 1608613 Оказание консультаций и помощи, например, в тех случаях, если Россия будет включена в список стран, не обеспечивающих адекватную защиту ПДн ((103), (114), article 45).

if check 1608613  Консультирование и подготовка ответственного за обеспечение безопасности данных (data protection officer, articles 37-39) и представителя контролёра (Representatives of controllers or processors, article 27).


Выполнение требований Федерального закон РФ № 152-ФЗ «О персональных данных»

ООО «Газинформсервис» предлагает комплексное решение защиты персональных данных, которое включает проектирование системы защиты ПДн (СЗПДн), комплекс организационных и (или) технических мер по внедрению системы, сопровождение и доработку.

Система защиты персональных данных в каждом конкретном случае учитывает специфику процессов организации, и в любом случае позволяет защищать рабочие станции от актуальных угроз безопасности. Специалисты «Газинформсервис» при внедрении системы защиты ПДн видят свою задачу не только в реализации требований регуляторов, но и в создании полноценной системы обеспечения безопасности.

Цели защиты персональных данных (ПДн)

  • Защита законных прав сотрудников, руководителей и клиентов предприятия в соответствии с законодательством Российской Федерации. Если в компании защита персональных данных не соответствует законодательству РФ, существует высокая вероятность жалоб бывших сотрудников и клиентов в Роскомнадзор!
  • Обеспечение соответствия требованиям законодательства РФ в области защиты персональных данных. Роскомнадзор осуществляет как плановые, так и внеплановые проверки. В случае выявления нарушений предприятию выписываются штрафные санкции.
  • Защита клиентской базы. Утечка персональных данных клиентов может повлечь убытки компании.

Проблемы, с которыми сталкиваются предприятия при обработке персональных данных 

voskl znak pdn2  Масштабность

Обработка персональных данных представляет собой любые действия, включая сбор, хранение, использование, передачу, запись и уничтожение данных. Причем обработка осуществляется не только в отделе кадров, как ошибочно думает большинство руководителей компании. Обработка также осуществляется:

  • при ведении документооборота
  • использовании электронной почты
  • ведении воинского учета
  • осуществлении охраны труда
  • проведении медицинского осмотра
  • ведении тендерной документации и т.д.

voskl znak pdn2  Нехватка ресурсов

  • На предприятиях, как правило, отсутствуют специалисты, обладающие достаточной компетенцией для решения задач по защите персональных данных в соответствии с требованиями законодательства РФ.
  • Высокая загруженность ответственного за обработку персональных данных в силу совмещения должностных обязанностей. Вследствие этого невозможность проводить регулярные мероприятия по защите и контролировать состояние защищенности.

voskl znak pdn2  Незнание специфической информации

Из-за отсутствия наработанной практики и знания «тонких» моментов по защите персональных данных, таких как сертификация средств защиты, специальные категории ПДн и пр., возникает вероятность выявления несоответствий регуляторами (Роскомнадзор, ФСТЭК, ФСБ). Это может привести к затратам большого количества ресурсов, а также к штрафным санкциям со стороны регуляторов.

voskl znak pdn2  Необходимость соответствия часто меняющемуся законодательству

Одной из основных особенностей построения эффективной системы защиты персональных данных является необходимость постоянного соответствия часто меняющемуся законодательству. Так, например, ФСТЭК России ввел 7 дополнительных составов административных правонарушений (ФЗ от 07.02.2017 №13-ФЗ, ст.13.11). Данный законодательный акт указывает, что:

  • Процедура наказания упрощена составлением протокола Роскомнадзором прямо на месте.
  • Повысилось количество оснований привлечь Оператора к ответственности.
  • Возросли штрафные санкции, расчёт ведется по количеству нарушений и численности субъектов ПДн. Штрафы на каждого человека достигают 75 000 руб. Нетрудно подсчитать, что при численности 50-100 человек эта сумма может достигать 3 750 000-7 500 000 руб. и выше.

Этапы создания системы по защите персональных данных

  • Изучение процессов обработки персональных данных.
  • Разработка документации.
  • Техническое проектирование и разработка рабочей документации.
  • Ввод в действие.
  • Сопровождение.

pdn


Выгоды построения системы защиты персональных данных

tick pdn Репутация. Благодаря внедрению мероприятий по защите персональных данных компания получает репутацию надежного партнера в глазах клиентов, сотрудников, контрагентов.

tick pdn Защита клиентской базы. Клиентская база нарабатывается годами, а ее потеря может произойти за считанные минуты, что грозит большими убытками компании. Построение системы защиты является просто необходимым условием сохранения главного актива предприятия.

tick pdn Выполнение требований регуляторов.

tick pdn Отсутствие жалоб субъектов и штрафных санкций.


Почему нам доверяют?

 social 512
Наличие всех необходимых лицензий.
Имеем все необходимые лицензии и аккредитации для ведения деятельности в области защиты персональных данных.
 pdn znak obuchenie
Комплексный подход к работе.
Реализуем проекты любого уровня сложности и предлагаем полный комплекс услуг, в том числе, гарантийное сопровождение и поддержку. Также проводим обучение сотрудников, т.к. основными нарушителями правил обработки персональных данных являются именно сотрудники организации.
znak pdn module
Доработка системы под нужды заказчика.
Работаем по «модульной» схеме. В зависимости от текущего состояния защищенности персональных данных оказываем определенный набор услуг и предлагаем решения, которые максимально полезны в конкретном случае.
pdn znak portfel
Обширный опыт по реализации проектов любого масштаба.
Обладаем серьезным опытом ведения проектов по защите персональных данных, начиная от небольших организаций и заканчивая крупными заказчиками федерального значения. Наши специалисты выезжают во все регионы России.
image45290 2
Содействие при прохождении проверок регуляторов.
Наработана практика прохождения с нашим участием проверок Роскомнадзора с учетом специфики регионов для различных организаций. Это помогает нашим клиентам избежать ошибок и лишних трат.

Есть вопросы? Обратитесь к нашим специалистам