Защита персональных данных в соответствии с требованиями GDPR и 152-ФЗ

GDPR

С 25 мая 2018 года вступает в силу Общеевропейский регламент о персональных данных (General Data Protection Regulation, GDPR). Все организации, вне зависимости от своей юрисдикции, должны соблюдать новые правила, если их деятельность связана с обработкой персональных данных субъектов персональных данных, находящихся на территории ЕС (в том числе граждан РФ).

Федеральный закон РФ № 152-ФЗ

В соответствии с Федеральным законом «О персональных данных» Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных. Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, потери ценной информации, привлечения организации к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности, приостановления действия или аннулирования лицензий на основной вид деятельности организации, репутационных рисков.

Выполнение требований регламента GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

  • предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе
  • отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

  • Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
  • Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
  • Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Компания «Газинформсервис» реализует ряд услуг, которые помогут компаниям в решении широкого спектра задач в области GDPR

Пять шагов на пути к успешному выполнению требований регламента GDPR:

pdn gdpr znaki 1  Проведение GAP-анализа (анализа разрывов) соблюдения требований GDPR.

pdn gdpr znaki 1  Изучение правовых аспектов текущего уровня соответствия требованиям GDRP:

  • наличие и содержание согласий (на предмет понятности, информированности, добровольности, простоты отзыва, учёта)
  • обработка запросов субъектов (право на забвение, возражения против обработки ПДн, блокировка ПДн, корректировка данных)
  • соответствие локальных нормативных актов
  • готовность организации к соблюдению требований

pdn gdpr znaki 1  Аудит технической готовности информационных систем к выполнению требований:

  • выражение согласий на обработку cookie-файлов при предоставлении web-доступа к сервисам
  • механизмы выражения согласий на обработку ПДн при предоставлении web-доступа к сервисам
  • наличие в используемых системах технических возможностей уничтожения, блокирования данных и т.п.

pdn gdpr znaki 1  Оказание консультаций и помощи, например, в тех случаях, если Россия будет включена в список стран, не обеспечивающих адекватную защиту ПДн ((103), (114), article 45).

pdn gdpr znaki 1  Консультирование и подготовка ответственного за обеспечение безопасности данных (data protection officer, articles 37-39) и представителя контролёра (Representatives of controllers or processors, article 27).


Выполнение требований Федерального закон РФ № 152-ФЗ «О персональных данных»

ООО «Газинформсервис» предлагает комплексное решение защиты персональных данных, которое включает проектирование системы защиты ПДн (СЗПДн), комплекс организационных и (или) технических мер по внедрению системы, сопровождение и доработку.

Система защиты персональных данных в каждом конкретном случае учитывает специфику процессов организации, и в любом случае позволяет защищать рабочие станции от актуальных угроз безопасности. Специалисты «Газинформсервис» при внедрении системы защиты ПДн видят свою задачу не только в реализации требований регуляторов, но и в создании полноценной системы обеспечения безопасности.

Цели защиты персональных данных (ПДн)

  • Защита законных прав сотрудников, руководителей и клиентов предприятия в соответствии с законодательством Российской Федерации. Если в компании защита персональных данных не соответствует законодательству РФ, существует высокая вероятность жалоб бывших сотрудников и клиентов в Роскомнадзор!
  • Обеспечение соответствия требованиям законодательства РФ в области защиты персональных данных. Роскомнадзор осуществляет как плановые, так и внеплановые проверки. В случае выявления нарушений предприятию выписываются штрафные санкции.
  • Защита клиентской базы. Утечка персональных данных клиентов может повлечь убытки компании.

Проблемы, с которыми сталкиваются предприятия при обработке персональных данных 

pdn gdpr znaki 2  Масштабность

Обработка персональных данных представляет собой любые действия, включая сбор, хранение, использование, передачу, запись и уничтожение данных. Причем обработка осуществляется не только в отделе кадров, как ошибочно думает большинство руководителей компании. Обработка также осуществляется:

  • при ведении документооборота
  • использовании электронной почты
  • ведении воинского учета
  • осуществлении охраны труда
  • проведении медицинского осмотра
  • ведении тендерной документации и т.д.

pdn gdpr znaki 2  Нехватка ресурсов

  • На предприятиях, как правило, отсутствуют специалисты, обладающие достаточной компетенцией для решения задач по защите персональных данных в соответствии с требованиями законодательства РФ.
  • Высокая загруженность ответственного за обработку персональных данных в силу совмещения должностных обязанностей. Вследствие этого невозможность проводить регулярные мероприятия по защите и контролировать состояние защищенности.

pdn gdpr znaki 2  Незнание специфической информации

Из-за отсутствия наработанной практики и знания «тонких» моментов по защите персональных данных, таких как сертификация средств защиты, специальные категории ПДн и пр., возникает вероятность выявления несоответствий регуляторами (Роскомнадзор, ФСТЭК, ФСБ). Это может привести к затратам большого количества ресурсов, а также к штрафным санкциям со стороны регуляторов.

pdn gdpr znaki 2  Необходимость соответствия часто меняющемуся законодательству

Одной из основных особенностей построения эффективной системы защиты персональных данных является необходимость постоянного соответствия часто меняющемуся законодательству. Так, например, ФСТЭК России ввел 7 дополнительных составов административных правонарушений (ФЗ от 07.02.2017 №13-ФЗ, ст.13.11). Данный законодательный акт указывает, что:

  • Процедура наказания упрощена составлением протокола Роскомнадзором прямо на месте.
  • Повысилось количество оснований привлечь Оператора к ответственности.
  • Возросли штрафные санкции, расчёт ведется по количеству нарушений и численности субъектов ПДн. Штрафы на каждого человека достигают 75 000 руб. Нетрудно подсчитать, что при численности 50-100 человек эта сумма может достигать 3 750 000-7 500 000 руб. и выше.

Этапы создания системы по защите персональных данных

  • Изучение процессов обработки персональных данных.
  • Разработка документации.
  • Техническое проектирование и разработка рабочей документации.
  • Ввод в действие.
  • Сопровождение.

sheme new pdn


Выгоды построения системы защиты персональных данных

pdn gdpr znaki 1 Репутация. Благодаря внедрению мероприятий по защите персональных данных компания получает репутацию надежного партнера в глазах клиентов, сотрудников, контрагентов.

pdn gdpr znaki 1 Защита клиентской базы. Клиентская база нарабатывается годами, а ее потеря может произойти за считанные минуты, что грозит большими убытками компании. Построение системы защиты является просто необходимым условием сохранения главного актива предприятия.

pdn gdpr znaki 1 Выполнение требований регуляторов.

pdn gdpr znaki 1 Отсутствие жалоб субъектов и штрафных санкций.


Почему нам доверяют?

 pdn znak new 2
Наличие всех необходимых лицензий.
Имеем все необходимые лицензии и аккредитации для ведения деятельности в области защиты персональных данных.
 pdn znak new 1
Комплексный подход к работе.
Реализуем проекты любого уровня сложности и предлагаем полный комплекс услуг, в том числе, гарантийное сопровождение и поддержку. Также проводим обучение сотрудников, т.к. основными нарушителями правил обработки персональных данных являются именно сотрудники организации.
znak pdn module
Доработка системы под нужды заказчика.
Работаем по «модульной» схеме. В зависимости от текущего состояния защищенности персональных данных оказываем определенный набор услуг и предлагаем решения, которые максимально полезны в конкретном случае.
pdn znak portfel
Обширный опыт по реализации проектов любого масштаба.
Обладаем серьезным опытом ведения проектов по защите персональных данных, начиная от небольших организаций и заканчивая крупными заказчиками федерального значения. Наши специалисты выезжают во все регионы России.
gdpr roskom
Содействие при прохождении проверок регуляторов.
Наработана практика прохождения с нашим участием проверок Роскомнадзора с учетом специфики регионов для различных организаций. Это помогает нашим клиентам избежать ошибок и лишних трат.

Есть вопросы? Обратитесь к нашим специалистам