Защита персональных данных в соответствии с требованиями GDPR и 152-ФЗ

Выполнение требований регламента GDPR

Действие GDPR распространяется на операции по обработке персональных данных в контексте присутствия на территории ЕС их оператора или обработчика, независимо от того, производится ли такая обработка на территории ЕС или нет (GDPR распространяется на все дочерние организации российских холдингов, расположенные в ЕС).

Действие GDPR распространяется на обработку персональных данных, находящихся на территории ЕС субъектов, которая осуществляется оператором или обработчиком, не имеющим присутствия на территории ЕС (например, российские юридические лица), в тех случаях, когда такая деятельность по обработке относится к:

• предложению товаров или услуг находящимся на территории ЕС субъектам персональных данных как на возмездной, так и на безвозмездной основе
• отслеживанию их действий при условии, что таковые осуществляются в пределах ЕС

Следует отметить, что в критериях отсутствует привязка к гражданству субъекта персональных данных. Под защиту GDPR попадают персональные данные (ПДн) всех субъектов в момент нахождения их внутри ЕС (включая граждан РФ).

Таким образом, потенциально под действие GDPR могут попасть следующие типы российских организаций:

• Дочерние общества крупных российских холдингов (торговые предприятия компаний-экспортеров, дочерние банки крупных банковских групп и т.п.), находящиеся на территории ЕС.
• Компании банковского и телекоммуникационного сектора. Мониторинг транзакций по банковской карте, а также анализ звонков субъекта ПДн (например, в рамках процессов по предотвращению мошеннической деятельности), находящегося на территории ЕС попадает под критерий «отслеживания действий».
• Компании, предоставляющие услуги потребителям из ЕС (интернет-магазины, гостиницы, авиакомпании-перевозчики, компании по предоставлению логистических услуг). Критериями ориентированности на рынок ЕС могут служить: наличие веб-сайта на одном из официальных языков ЕС, возможность получения оплаты услуг в валюте ЕС, а также явное аффилированние услуг компании с партнерами из ЕС (например, наличие на веб-сайте российского интернет-магазина информации о сотрудничестве с локальными курьерскими службами доставки, работающими в ЕС).

Компания «Газинформсервис» реализует ряд услуг, которые помогут компаниям в решении широкого спектра задач в области GDPR

Пять шагов на пути к успешному выполнению требований регламента GDPR:

  Проведение GAP-анализа (анализа разрывов) соблюдения требований GDPR.

  Изучение правовых аспектов текущего уровня соответствия требованиям GDRP:

• наличие и содержание согласий (на предмет понятности, информированности, добровольности, простоты отзыва, учёта)
• обработка запросов субъектов (право на забвение, возражения против обработки ПДн, блокировка ПДн, корректировка данных)
• соответствие локальных нормативных актов
• готовность организации к соблюдению требований

  Аудит технической готовности информационных систем к выполнению требований:

• выражение согласий на обработку cookie-файлов при предоставлении web-доступа к сервисам
• механизмы выражения согласий на обработку ПДн при предоставлении web-доступа к сервисам
• наличие в используемых системах технических возможностей уничтожения, блокирования данных и т.п.

  Оказание консультаций и помощи, например, в тех случаях, если Россия будет включена в список стран, не обеспечивающих адекватную защиту ПДн ((103), (114), article 45).

  Консультирование и подготовка ответственного за обеспечение безопасности данных (data protection officer, articles 37-39) и представителя контролёра (Representatives of controllers or processors, article 27).

Выполнение требований Федерального закон РФ № 152-ФЗ «О персональных данных»

ООО «Газинформсервис» предлагает комплексное решение защиты персональных данных, которое включает проектирование системы защиты ПДн (СЗПДн), комплекс организационных и (или) технических мер по внедрению системы, сопровождение и доработку.

Система защиты персональных данных в каждом конкретном случае учитывает специфику процессов организации, и в любом случае позволяет защищать рабочие станции от актуальных угроз безопасности. Специалисты «Газинформсервис» при внедрении системы защиты ПДн видят свою задачу не только в реализации требований регуляторов, но и в создании полноценной системы обеспечения безопасности.

Цели защиты персональных данных (ПДн)

• Защита законных прав сотрудников, руководителей и клиентов предприятия в соответствии с законодательством Российской Федерации. Если в компании защита персональных данных не соответствует законодательству РФ, существует высокая вероятность жалоб бывших сотрудников и клиентов в Роскомнадзор!
• Обеспечение соответствия требованиям законодательства РФ в области защиты персональных данных. Роскомнадзор осуществляет как плановые, так и внеплановые проверки. В случае выявления нарушений предприятию выписываются штрафные санкции.
• Защита клиентской базы. Утечка персональных данных клиентов может повлечь убытки компании.

Проблемы, с которыми сталкиваются предприятия при обработке персональных данных 

  Масштабность

Обработка персональных данных представляет собой любые действия, включая сбор, хранение, использование, передачу, запись и уничтожение данных. Причем обработка осуществляется не только в отделе кадров, как ошибочно думает большинство руководителей компании. Обработка также осуществляется:

• при ведении документооборота
• использовании электронной почты
• ведении воинского учета
• осуществлении охраны труда
• проведении медицинского осмотра
• ведении тендерной документации и т.д.

 Нехватка ресурсов

• На предприятиях, как правило, отсутствуют специалисты, обладающие достаточной компетенцией для решения задач по защите персональных данных в соответствии с требованиями законодательства РФ.
• Высокая загруженность ответственного за обработку персональных данных в силу совмещения должностных обязанностей. Вследствие этого невозможность проводить регулярные мероприятия по защите и контролировать состояние защищенности.

 Незнание специфической информации

Из-за отсутствия наработанной практики и знания «тонких» моментов по защите персональных данных, таких как сертификация средств защиты, специальные категории ПДн и пр., возникает вероятность выявления несоответствий регуляторами (Роскомнадзор, ФСТЭК, ФСБ). Это может привести к затратам большого количества ресурсов, а также к штрафным санкциям со стороны регуляторов.

 Необходимость соответствия часто меняющемуся законодательству

Одной из основных особенностей построения эффективной системы защиты персональных данных является необходимость постоянного соответствия часто меняющемуся законодательству. Так, например, ФСТЭК России ввел 7 дополнительных составов административных правонарушений (ФЗ от 07.02.2017 №13-ФЗ, ст.13.11). Данный законодательный акт указывает, что:

• Процедура наказания упрощена составлением протокола Роскомнадзором прямо на месте.
• Повысилось количество оснований привлечь Оператора к ответственности.
• Возросли штрафные санкции, расчёт ведется по количеству нарушений и численности субъектов ПДн. Штрафы на каждого человека достигают 75 000 руб. Нетрудно подсчитать, что при численности 50-100 человек эта сумма может достигать 3 750 000-7 500 000 руб. и выше.

Этапы создания системы по защите персональных данных

• Изучение процессов обработки персональных данных.
• Разработка документации.
• Техническое проектирование и разработка рабочей документации.
• Ввод в действие.
• Сопровождение.

Выгоды построения системы защиты персональных данных

 Репутация. Благодаря внедрению мероприятий по защите персональных данных компания получает репутацию надежного партнера в глазах клиентов, сотрудников, контрагентов.

Защита клиентской базы. Клиентская база нарабатывается годами, а ее потеря может произойти за считанные минуты, что грозит большими убытками компании. Построение системы защиты является просто необходимым условием сохранения главного актива предприятия.

Выполнение требований регуляторов.

Отсутствие жалоб субъектов и штрафных санкций.

Почему нам доверяют?

 

Наличие всех необходимых лицензий.
Имеем все необходимые лицензии и аккредитации для ведения деятельности в области защиты персональных данных.

 

Комплексный подход к работе.
Реализуем проекты любого уровня сложности и предлагаем полный комплекс услуг, в том числе, гарантийное сопровождение и поддержку. Также проводим обучение сотрудников, т.к. основными нарушителями правил обработки персональных данных являются именно сотрудники организации.

Доработка системы под нужды заказчика.
Работаем по «модульной» схеме. В зависимости от текущего состояния защищенности персональных данных оказываем определенный набор услуг и предлагаем решения, которые максимально полезны в конкретном случае.

Обширный опыт по реализации проектов любого масштаба.
Обладаем серьезным опытом ведения проектов по защите персональных данных, начиная от небольших организаций и заканчивая крупными заказчиками федерального значения. Наши специалисты выезжают во все регионы России.

Содействие при прохождении проверок регуляторов.
Наработана практика прохождения с нашим участием проверок Роскомнадзора с учетом специфики регионов для различных организаций. Это помогает нашим клиентам избежать ошибок и лишних трат.

Есть вопросы? Обратитесь к нашим специалистам