GDPR: Intro
Прозоров Андрей, CISM
80na20.blogspot.ru

Что такое GDPR?
2
• General Data Protection Regulation (GDPR) –
это новый европейский регламент по
защите персональных данных, единый для
28 стран ЕС
• Заменяет собой Directive 95/46/EC (1995)
• Принят 27 April 2016
• Вступает в силу 25 May 2018
• Регулятор: European Parliament, Council of
the European Union
• Очень много положений про «цифровые
технологии» (IoT, профилирование,
BigData, cookies и пр.)

Зачем в России знать GDPR?
• Многие попадут в его область действия со всеми
последующими рисками
• Иностранные партнеры часто будут спрашивать про
соответствие
• GDPR – логичное развитие защиты ПДн, 152-ФЗ пойдет в
эту же сторону
• Это модно и актуально J
• …
3

Полезные ссылки
• Текст - http://bit.ly/1TlgbjI
• Summary - http://bit.ly/2rmbDVP
• Questions and Answers - Data protection reform -http://bit.ly/2waA26a
• 2018 reform of EU data protection rules (ссылки) - http://bit.ly/2rjSp3M
• Guide to the GDPR (ICO, UK) - https://ico.org.uk/for-
organisations/guide-to-the-general-data-protection-regulation-gdpr
• Data protection self assessment (checklists) - https://ico.org.uk/for-
organisations/resources-and-support/data-protection-self-assessment
• Article 29 working party-
http://ec.europa.eu/newsroom/article29/news.cfm
4

Art.29 WP: Guidelines
• Guidelines on Consent under Regulation 2016/679 (wp259 rev.01)
• Guidelines on Transparency under Regulation 2016/679 (wp260 rev.01)
• Guidelines on Automated individual decision-making and Profiling for the
purposes of Regulation 2016/679 (wp251 rev.01)
• Guidelines on Personal data breach notification under Regulation 2016/679
(wp250 rev.01)
• Guidelines on the application and setting of administrative fines (wp253)
• Guidelines on the Lead Supervisory Authority (wp244 rev.01)
• Guidelines on Data Protection Officers ('DPOs') (wp243 rev.01)
• Guidelines on the right to "data portability" (wp242 rev.01)
• Guidelines on Data Protection Impact Assessment (DPIA) (wp248 rev.01)
5

6

Назначение и цели GDPR
Статья 1. Предмет и цели
1. Настоящий Регламент устанавливает нормы, связанные
с защитой физических лиц в отношении обработки
персональных данных и нормы, касающиеся свободного
перемещения персональных данных.
2. Настоящий Регламент защищает основные права и
свободы физических лиц, и, в частности, их право на
защиту персональных данных.
3. Свободное перемещение персональных данных в
рамках Евросоюза не должно быть ни ограничено, ни
запрещено для целей защиты физических лиц в
отношении обработки персональных данных.
7

GDPR для субъектов ПДн GDPR для Бизнеса
• Усиление контроля над личными
данными (особенно в «цифровую
эру»)
• Право на забвение
• Легкий доступ к личным данным и
право на перенос данных
• Право знать об утечках данных
• Гарантия защищенности ПДн (втч
за счет высоких штрафов для
бизнеса)
• Повышение доверия со стороны
субъектов ПДн
• Единые правила для ЕС,
взаимодействие с 1 надзорным
органом / SA («one-stop-shop»).
Экономия 2.3 млрд евро в год
• Риск-ориентированный подход (с
учетом экономической
целесообразности)
• Требования с учетом новых
цифровых технологий
(«innovation-friendly rules» и
«privacy-friendly techniques»)
• Технологический нейтралитет
• Упрощенные требования для SME
8

9
GDPR в России

10
Мнение РКН…

Article 2
Material scope
1.This Regulation applies to the processing of
personal data wholly or partly by automated
means and to the processing other than by
automated means of personal data which
form part of a filing system or are intended
to form part of a filing system.
Статья 2
Существенная сфера применения
1.Настоящий Регламент применяется к
обработке персональных данных
обработанных полностью или частично
автоматизированными средствами,
а также к обработке персональных
данных, обработанных иными
неавтоматизированными средствами,
которые являются частью системы учета
либо неотъемлемой частью системы
учета.
11

2.This Regulation does not apply to the
processing of personal data:
(a) in the course of an activity which falls
outside the scope of Union law;
(b) by the Member States when carrying out
activities which fall within the scope of
Chapter 2 of Title V of the TEU;
(c) by a natural person in the course of a
purely personal or household activity;
(d) by competent authorities for the
purposes of the prevention, investigation,
detection or prosecution of criminal offences
or the execution of criminal penalties,
including the safeguarding against and the
prevention of threats to public security.
2.Настоящий Регламент не применяется к
обработке персональных данных:
(a) в отношении деятельности, которая
выходит за рамки сферы действия
права Евросоюза;
(b) при осуществлении деятельности
государств-членов, которая подпадает
под действие Главы 2 Раздела V Договора
о Европейском Союзе;
(c) физическим лицом при осуществлении
сугубо личной или бытовой деятельности;
(d) компетентными органами в целях
предотвращения, расследования,
выявления уголовных преступлений или
исполнения уголовных наказаний,
включая защиту от угроз общественной
безопасности и их предотвращения.
12

Article 3
Territorial scope
1.This Regulation applies to the processing of
personal data in the context of the activities
of an establishment of a controller or a
processor in the Union, regardless of
whether the processing takes place in the
Union or not.
Статья 3
Территориальная сфера применения
1.Настоящий Регламент применяется к
обработке персональных данных в
контексте деятельности по учреждению
контролёра или обработчика в
Евросоюзе, независимо от того,
осуществляется ли обработка в
Евросоюзе, или нет.
13

2.This Regulation applies to the processing of
personal data of data subjects who are in
the Union by a controller or processor not
established in the Union, where the
processing activities are related to:
(a) the offering of goods or services,
irrespective of whether a payment of the
data subject is required, to such data
subjects in the Union; or
(b) the monitoring of their behaviour as far
as their behaviour takes place within the
Union.
3.This Regulation applies to the processing of
personal data by a controller not established
in the Union, but in a place where Member
State law applies by virtue of public
international law.
2.Настоящий Регламент применяется к
обработке ПДн субъектов ПДн,
находящихся в Евросоюзе, обработанных
контролёром или обработчиком, которые
не учреждены в Евросоюзе, когда
деятельность по обработке связана с:
(а) предложением товаров или услуг, вне
зависимости от того, требуется ли
оплата от этого субъекта данных в
Евросоюзе; или
(b) мониторингом их действий, поскольку
их действия совершаются на территории
Евросоюза.
3.Настоящий Регламент применяется в
отношении обработки ПДн контролёром,
не учрежденном в Евросоюзе, а
учрежденном в том месте, в котором
применяется право государства - члена в
силу международного публичного права.
14

Обобщим про scope и ищем себя
15
GDPR прямого действия:
1. Организации, учрежденные в ЕС и являющиеся операторами (controllers)
и/или обработчиками (processors) ПДн. Например, дочерние
предприятия и филиалы российских компаний в ЕС.
2. Организации, не учрежденные в ЕС и являющиеся операторами
(controllers) и/или обработчиками (processors) ПДн, и вид деятельности
которых связан с:
• Предоставлением товаров и сервисов субъектам ПДн в ЕС. Например,
продажа европейцам билетов транспортных компаний через сайты в
сети Интернет, продажа интернет-сервисов (например, онлайн-
кинотеатры, музыка, онлайн-игры и пр.), бронирование гостиниц,
оказание услуг мобильной связи в европейском роуминге и пр.
• Мониторингом поведения субъектов ЕС. Например, сбор cookie-
файлов посетителей сайта в сети Интернет.
Но есть еще и GDPR опосредованного действия:
1. Обработка ПДн по поручению европейского оператора (controllers)
и/или обработчика (processors) -> становимся обработчиком. В случае
проблем (например, утечки ПДн) «спросят» с европейской компании, а
она уже с нас в соответствии с договором… Например, хостинг данных в
российском ЦОДе по поручению.

Кому в РФ стоит опасаться GDPR?
16
• Компаниям на территории ЕС (очевидно)
• Компаниям, оказывающим услуги «в роуминге» (например, банки и
телеком)
• Компаниям, регулярно обрабатывающим ПДн граждан ЕС (например,
гостиницы и тур.фирмы)
• Компаниям, собирающим ПДн на сайтах в сети Интернет (особенно с
системой оплаты)
• Разработчикам приложений, собирающих ПДн пользователей
• Просто крупным сайтам в сети Интернет (сбор cookies)
• Компаниям, получающим ПДн субъектов из ЕС от других организаций
на основании договора
• Компаниям, собирающим общедоступные ПДн субъектов ПДн из ЕС
!!!
!!
!

Субъекты правоотношений
17
Оператор ПДн
(Controller)
Обработчик ПДн
(Processor)
Субъекты ПДн
(Subjects)
Инспектор по защите данных
Data Protection Officer, DPO (Art.37-39)
Надзорный орган по защите данных
Data Protection Authority, DPA / Supervisory authority, SA (Art.51-59)
Представители контролёров или обработчиков, не учрежденных в ЕС*
Representative (Art.27)

Только 15% людей чувствуют, что у них
есть полный контроль над информацией,
которуюони оставляют в сети Интернет…
http://ec.europa.eu/justice/smedataprotect/index_en.htm
18

Право на информацию об обработке Right to be informed Article 13, 14
Право на доступ к данным Right of access by the data subject Article 15
Право на исправление данных Right to rectification Article 16
Право на удаление данных
(«право на забвение»)
Right to erasure
(‘right to be forgotten’)
Article 17
Право на ограничение обработки Right to restriction of processing Article 18
Право на переносимость данных Right to data portability Article 20
Право на возражение Right to object Article 21
Права в отношении
автоматизированного принятия
решений, включая составление
профиля
Rights in relation to automated
decision making and profiling
Article 22
+Право знать об утечках данных Communication of a personal data
breach to the data subject
Article 34
Права субъектов ПДн
19

«Контролёр» (controller) – означает физическое или
юридическое лицо, государственный орган, агентство или
иной орган, который самостоятельно или совместно с
другими, определяет цели и средства обработки
персональных данных; в случае, когда цели и средства такой
обработки определяются правом Евросоюза или
государства-члена, контролёр, либо конкретные критерии
для его выдвижения, могут быть предусмотрены правом
Евросоюза или государства-члена.
«Обработчик» (processor) – означает физическое или
юридическое лицо, государственный орган, агентство или
иной орган, который обрабатывает персональные данные
от имени и по поручению контролёра.
20

Supervisory authority, SA
Статья 51. Надзорный орган
1. Каждое государство-член должно предусмотреть
существование одного или нескольких самостоятельных
полномочных государственных органов, являющихся
ответственными за мониторинг применения настоящего
Регламента, для того, чтобы обеспечить защиту основных
прав и свобод физических лиц в отношении обработки, а
также свободного движения персональных данных на
территории Евросоюза.
21

Austria
Belgium
Bulgaria
Croatia
Cyprus
Czech Rebublic
Denmark
Estonia
European Union
Finland
France
Germany
Greece
Hungary
Iceland
Ireland
Italy
Latvia
Liechtenstein
Lithuania
Luxembourg
Malta
Netherlands
Norway
Poland
Portugal
Romania
Slovakia
Slovenia
Spain
Sweden
Switzerland
United Kingdom
Datenschutzbehörde – Republik Österreich
Commission de la Protection de la Vie Privee (CPVP)
Commission for Personal Data Protection (CPDP)
Agencija za zaštitu osobnih podataka (AZOP)
Commissioner for Personal Data Protection
Office for Personal Data Protection
Datatilsynet
Estonian Data Protection Inspectorate (AKI)
European Data Protection Supervisor
Office of the Data Protection Ombudsman
Commission nationale de l’informatique et des libertés (CNIL)
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Hellenic Data Protection Authority (DPA)
Hungarian National Authority for Data Protection and Freedom of Information (NAIH)
Icelandic Data Protection Authority
Irish Data Protection Commissioner
Garante per la Protezione dei Dati Personali
Data State Inspectorate of Latvia (DVI)
Datenschutzstelle (DSS) Liechtenstein
State Data Protection Lithuania
Commission Nationale pour la Protection des Donees (CNPD)
Office of the Information and Data Protection Commissioner (IDPC)
Autoriteit Persoonsgegevens
Datatilsynet Norway
Bureau of the Inspector General for the Protection of Personal Data (GIODO)
Comissio National de Proteccao de Dados (CNPD)
National Supervisory Authority for Personal Data Processing
Office for Personal Data Protection of the Slovak Republic
Information Commissioner Slovenia
Agencia Espanola de Proteccion de Dattos (AEPD)
Swedish Data Protection Authority
Federal Data Protection and Information Commissioner (FDPIC)
Information Commissioner’s Office (ICO)
+ см. http://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
Supervisory authorities, SA
22

Задачи Надзорного органа (по ст.57)
• Мониторинг применения GDPR
• Повышение осведомленности
• Консультирование и предоставление информации
• Рассмотрение жалоб и проведение разбирательств
• Сотрудничество с другими SA
• Поощрение разработки кодексов поведения
• Поощрение разработки механизмов сертификации
• Проведение аккредитации органов по сертификации
• …
23

Полномочия Надзорного органа
(по ст.58.1 и 58.2)
По разбирательствам По устранению недостатков
• Запрос информации от
контролера и обработчика
• Аудиторские проверки
защиты данных
• Обзор сертификаций
• Уведомление о нарушениях
• Запрос доступа к ПДн
• Запрос доступа к
оборудованию, средствам
обработки и в помещения
• Предупреждение
• Выговор
• Предписание соблюдать запросы субъектов
• Предписание выполнить требования GDPR
• Предписание об уведомлении об утечках
• Ограничение обработки ПДн (втч и запрет)
• Предписание об устранении нарушений
• Отзыв сертификатов
• Наложение административных штрафов
• Предписание о приостановке передачи
данных в третьи страны
24

Базовая идея про штрафы
Статья 83
Общие условия наложения административных штрафов
1. Каждый надзорный орган должен обеспечить, чтобы
наложение административных штрафов, в порядке
настоящей Статьи в отношении нарушений положений
настоящего Регламента, предусмотренных в параграфах 4,
5 и 6, в каждом отдельном случае, было эффективным,
соразмерным и имело сдерживающее воздействие.
25

2. Административные штрафы, в зависимости от обстоятельств каждого конкретного случая, должны
налагаться в дополнение, либо вместо мер, предусмотренных пунктами (а)-(h) и (j) Статьи 58 (2). При
принятии решения по вопросу наложения административного штрафа и решения о размере
административного штрафа, в каждом отдельном случае должно подлежать учету следующее:
(a) характер, тяжесть и продолжительность нарушения, принимая во внимание характер, объем и цели
соответствующей обработки, также как и количество затронутых субъектов данных, а равно и размер
ущерба, понесенного ими;
(b) умышленный или неосторожный характер нарушения;
(c) любые меры, предпринятые контролёром или обработчиком, для смягчения ущерба, полученного
субъектами данных;
(d) степень ответственности контролёра или обработчика, принимая во внимание технические и
организационные меры, осуществляемые ими в соответствии со Статьями 25 и 32;
(e) любые соответствующие предыдущие нарушения контролёра или обработчика;
(f) степень сотрудничества с надзорным органом для того, чтобы устранить нарушения и смягчить
возможные неблагоприятные последствия нарушений;
(g) категории персональных данных, затронутых нарушением;
(h) способ, посредством которого надзорному органу стало известно о нарушении, в том числе, уведомил ли
контролёр или обработчик об этом нарушении, и если да, то в какой степени;
(i) соблюдение мер, предусмотренных Статьей 58 (2), ранее было предписано против соответствующего
контролёра или обработчика в отношение того же вопроса;
(j) соблюдение утвержденных кодексов поведения в соответствии со Статьей 40, или утвержденных
механизмов сертификации,в соответствии со Статьей 42; и
(k) любые иные отягчающие или смягчающие факторы, применимые к обстоятельствам дела, например,
полученные финансовые выгоды или избежание потерь, прямо или косвенно связанных с нарушением.
26

Максимальные штрафы
up to 20 000 000 EUR, or in the case of
an undertaking, up to 4 % of the total
worldwide annual turnover of the
preceding financial year, whichever is
higher
до 20 000 000 Евро или
применительно к хозяйствующему
субъекту в размере до 4% от «обще-
странового» годового оборота за
весь предыдущий финансовый год,
в зависимости от того, какая сумма
больше
27

28

Article 27
Representatives of controllers or processors
not established in the Union
1.Where Article 3(2) applies, the controller
or the processor shall designate in writing a
representative in the Union.
…
4.The representative shall be mandated by
the controller or processor to be addressed
in addition to or instead of the controller or
the processor by, in particular, supervisory
authorities and data subjects, on all issues
related to processing, for the purposes of
ensuring compliance with this Regulation.
…
Статья 27
Представители контролёров или
обработчиков, не учрежденных в
Евросоюзе
1.В том случае, когда применяется Статья
3 (2), контролёр или обработчик должны
в форме письменного документа
назначить представителя в Евросоюзе.
…
4.Представитель контролёра или
обработчика должен обладать
полномочиями, предоставленными ему
контролёром или обработчиком и
рассматриваться наряду, либо вместо
контролёра или обработчика, в частности,
надзорными органами и субъектами
данных по всем вопросам, связанным с
…
29

30

31
• Экстерриториальный scope (Art.3)
• Базовые принципы обработки (Art.5)
• Согласие на обработку (Art.7)
• Специальные категории ПДн (Art.9)
• Право на доступ и исправление ПДн
(Art.15,16)
• Право на забвение (Art.17)
• Право на перенос / получение копии
данных (Art.20)
• Профилирование и мониторинг (Art.21,
22) + cookies (п.30)
• Контролер (Controller) и Обработчик
(Processor) (Art.24-31)
• Официальный представитель в ЕС
(Art.27)
• Записи об обработке ПДн (Art.30)
• Проектируемая безопасность / «Data
protection by design and by default»
(Art.32)
• Уведомление надзорного органа об
утечках (Art.33)
• Уведомление субъектов ПДн об
утечках (Art.34)
• Оценка воздействия (Data Protection
Impact Assessment, DPIA) и
предварительная консультация с
надзорным органом (Art.35, 36)
• Инспектор по защите данных (Data
protection officer, DPO) (Art.37-39)
• Сертификация защиты данных (Art.42)
• Право на компенсацию материального
и нематериального ущерба (Art.82)
• Штрафы и санкции (Art.58.2, 83)
Важные положения GDPR

Безопасность ПДн
Статья 32 Безопасностьобработки
1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а
также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и
опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять
соответствующие технические и организационные меры, обеспечивающие надлежащий уровень
безопасности соразмерный этим рискам, включая, среди прочего, следующее:
• (a) псевдонимизация и криптографическая защита персональных данных;
• (b) средства для обеспечения постоянной конфиденциальности, целостности, доступности и
устойчивости систем обработки и услуг;
• (с) средства своевременного восстановления доступности и доступа к персональным данным в
случае природного или технического инцидента;
• (d) процедура регулярной проверки и оценки эффективности технических и организационных мер,
обеспечивающая безопасность обработки.
2. При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе
риски, которые представляет собой сама обработка, в особенности риски от случайного или
неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к
персональным данным переданным, сохраненным либо или иным образом обработанным. …
Статья 33. Уведомлениенадзорного органаобутечкеперсональныхданных
Статья 34. Сообщение субъекту данныхоб утечке персональныхданных
32

Article 30
Records of processing activities
1.Each controller and, where applicable, the
controller's representative, shall maintain a
record of processing activities under its
responsibility...
2.Each processor and, where applicable, the
processor's representative shall maintain a
record of all categories of processing
activities carried out on behalf of a
controller …
4.The controller or the processor and, where
applicable, the controller's or the processor's
representative, shall make the record
available to the supervisory authority on
request.
Статья 30
Отчетные записи обработки данных
1.Каждый контролёр и, когда это
применимо, представитель контролёра
должен вести учетные записи обработки
данных, находящейся под его
ответственностью…
2.Каждый обработчик и, когда это
применимо, представитель обработчика
должны вести учет всех категорий
обработки данных, осуществляемой от
имени контролёра…
4.Контролёр или обработчик и, когда это
применимо, представитель контролёра
или обработчика должны предоставлять
учетные записи в распоряжение
надзорных органов по их требованию.
33

Записи об обработке ПДн
• Наименование и реквизиты контролера / обработчика
• Цели обработки
• Категории ПДн и субъектов ПДн
• Категории получателей данных
• Передача в третьи страны
• Сроки хранения
• Описание технических и организационных мер
безопасности
34

Section 3. Data protection impact
assessment and prior consultation
Article 35
Data protection impact assessment
1.Where a type of processing in particular
using new technologies, and taking into
account the nature, scope, context and
purposes of the processing, is likely to result
in a high risk to the rights and freedoms of
natural persons, the controller shall, prior to
the processing, carry out an assessment of
the impact of the envisaged processing
operations on the protection of personal
data. A single assessment may address a set
of similar processing operations that present
similar high risks.
Раздел 3. Оценка воздействия на защиту
данных и предварительная консультация
Статья 35
Оценка воздействия на защиту данных
1.В тех случаях, когда тип обработки
данных, в частности при использовании
новых технологий, а также принимая во
внимание характер, объем, контекст и
цели обработки, вероятнее всего
приведет к высокому риску для прав и
свобод физических лиц, контролёр
должен, до этой обработки, осуществить
оценку воздействия предусмотренных
операций обработки на защиту
персональных данных. Отдельная оценка
может быть проведена в отношении ряда
аналогичных операций обработки,
который представляет подобные высокие
риски.
35

2.The controller shall seek the advice of the data
protection officer, where designated, when
carrying out a data protection impact assessment.
3.A data protection impact assessment referred to
in paragraph 1 shall in particular be required in the
case of:
(a) a systematic and extensive evaluation of
personal aspects relating to natural persons which
is based on automated processing, including
profiling, and on which decisions are based that
produce legal effects concerning the natural
person or similarly significantly affect the natural
person;
(b) processing on a large scale of special
categories of data referred to in Article 9(1), or of
personal data relating to criminal convictions and
offences referred to in Article 10; or
(c) a systematic monitoring of a publicly
accessible area on a large scale.
2. Контролёр должен посоветоваться с
инспектором по защите персональных данных,
в случае если он назначен на должность, при
проведении оценки воздействия на защиту
данных.
3. Оценка воздействия на защиту данных,
предусмотренная параграфом 1, требуется, в
том числе, в случае:
(a) системной и масштабной оценки
персональных особенностей, касающихся
физических лиц, которая основана на
автоматизированной обработке, включая
составление профиля, и на которых основаны
решения, порождающие правовые
последствия, связанные с физическим лицом,
либо подобным образом значительно влияют
на физическое лицо;
(b) масштабной обработки особых категорий
данных, предусмотренных Статьей 9 (1), либо
персональных данных, связанных с уголовными
приговорами и правонарушениями, в
соответствии со Статьей 10; или
(c) систематического мониторинга сфер,
открытых для всех пользователей в широких
масштабах.
36

7.The assessment shall contain at least:
(a) a systematic description of the envisaged
processing operations and the purposes of
the processing, including, where applicable,
the legitimate interest pursued by the
controller;
(b) an assessment of the necessity and
proportionality of the processing operations
in relation to the purposes;
(c) an assessment of the risks to the rights
and freedoms of data subjects referred to in
paragraph 1; and
(d) the measures envisaged to address the
risks, including safeguards, security
measures and mechanisms to ensure the
protection of personal data and to
demonstrate compliance with this
Regulation taking into account the rights and
legitimate interests of data subjects and
other persons concerned.
7. Оценка должна содержать как
минимум:
(a) систематизированное описание
предусмотренных операций обработки
данных, а также целей обработки, в том
числе, когда это применимо, законные
права, осуществляемые контролёром;
(b) оценку необходимости и
соразмерности операций обработки по
отношению к целям;
(c) оценку рисков в отношении прав и
свобод субъектов данных,
предусмотренных параграфом 1; и
(d) меры, предусмотренные в отношении
рисков, в том числе гарантии, меры
безопасности, а также механизмы для
обеспечения защиты персональных
данных и подтверждения соблюдения
настоящего Регламента, принимая во
внимание права и законные интересы
субъектов данных и иных
заинтересованных лиц.
37

38

Article 4
Definitions
(12) «Personal data breach» means a breach
of security leading to the accidental or
unlawful destruction, loss, alteration,
unauthorised disclosure of, or access to,
personal data transmitted, stored or
otherwise processed.
Статья 4
Понятийно-терминологическая основа
(12) «Утечка персональных данных» –
означает нарушение безопасности,
приводящее к случайному или
противозаконному уничтожению, потере,
изменению, несанкционированному
раскрытию или доступу к персональным
данным, переданных, хранящихся или
обработанных иным образом.
39

GDPR: “(85) Утечка персональных данных, если она надлежащим образом и
своевременно не была устранена, может привести к физическому,
материальному или нематериальному ущербу для физических лиц, таким
как утрата контроля над персональными данными или ограничение их прав,
дискриминация, кража идентификационных данных или мошенничество с
персональными данными, финансовые потери, несанкционированный отказ
от псевдонимизации, ущерб репутации, нарушение конфиденциальности
персональных данных, защищённых профессиональной тайной, или любые
иные существенные экономические или социальные потери для
соответствующих физических лиц…”
40
Почему важно контролировать утечки?

Supervisory authority
(Надзорный орган)
Art.33
Data subjects
(Субъекты данных)
Art.34
41
Уведомление об утечках по GDPR

Уведомление надзорного органа Уведомление субъектов
Когда можно
НЕ уведомлять
• Если риск минимальный • Если риск НЕ большой
• Если приняты надлежащие
меры (например,
криптографическая защита)
• Если приняты адекватные
последующие меры
• Если требуются
несоразмерные усилия
Состав
уведомления
• Реквизиты DPO
• Возможные последствия
• Принятые меры
• Характер утечки (категории и
количество пострадавших
субъектов и записей)
• Реквизиты DPO
• Возможные последствия
• Принятые меры
Срок
уведомления
• Без неоправданной задержки
и, не позднее чем через
72 часа после выявления
• Без неоправданной
задержки
42

Фух, успел
до 25 мая…
43

152-ФЗ GDPR
Актуально для России Да Да, но не всем
Риски для бизнеса • Ст.13.11 КоАП, 7 оснований
(до 75 000 рублей)
• Компенсация материального
и морального ущерба
(но норма не работает)
• Блокировка сайта
• Крупные штрафы (до 20 млн
евро / 4% годового оборота)
• Компенсация материального и
морального ущерба
• Блокировка сайта /
приостановление деятельности
Фокус на соблюдение прав субъектов ПДн:
• Право знать о порядке обработки
• Право на забвение
• Право на перенос / получение копии данных
• Право знать об утечках
…
Да
Да
Нет
Нет
Да
Да
Да (Art.20)
Да (Art.34)
Оценка рисков ИБ • Оценка вреда субъекту
152-ФЗ (ст.18.1)
• Модель угроз и модель
нарушителя
• Data Protection Impact
Assessment (DPIA) (Art.35)
Фокус на принцип «Data protection by
design and by default» / «Проектируемая
безопасность» (анонимизация, псевдонимизация,
шифрование)
Скорее Да,
но об этом мало кто
задумывается
Да (Art.32)
Выделенный ответственный сотрудник Да, и за обработку и за ИБ Да, Data protection officer (DPO)
(Art.37-39)
+Представитель в ЕС (Art.27)
Уведомление надзорного органа об утечках ПДн Нет Да, за 72ч(Art.33)
Разъяснения и Рекомендации Практически нет
(нет полномочий)
Да и много.
Даже до вступления в силу
44

45

https://ec.europa.eu/commission/sites/beta-political/files/data-protection-factsheet-business-7-steps_en.pdf
https://ico.org.uk/media/for-organisations/documents/1624219/preparing-for-the-gdpr-12-steps.pdf
46

«2018 GDPR Compliance report» byAlien Vault
47

48
«2018 GDPR Compliance report» byAlien Vault

«2018 GDPR Compliance report» byAlien Vault
49

«2018 GDPR Compliance report» byAlien Vault
50

Чем хорош GDPR? (субъективно)
• Реальный фокус на права субъектов ПДн с учетом
современных ИТ
• Реальные штрафы и полномочия SA
• Защита ПДн с учетом экономической целесообразности
• Очень много разъяснений и примеров
• Упрощенные требования для SME (до 250 человек): без
DPO, без записей об обработке ПДн, без уведомления об
утечках
51

Спасибо!
Прозоров Андрей, CISM
80na20.blogspot.ru
52