Ähnlich wie Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данныхUISGCON
Ähnlich wie Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y (20)
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Новые требования Европейской Экономической Зоны (European Economic Area) в области обработки и защиты Персональных Данных. Евгений Ким, E&Y
1. Новые требования Европейской Экономической Зоны
(European Economic Area)
в области обработки и защиты Персональных Данных
General Data Protection Regulation (GDPR)
Июнь 2017
2. Содержание
Развитие требований по обработке и защите персональных
данных в Европейском Союзе / ЕЕА
3
Основные термины 4
Ключевые аспекты GDPR 5-8
Внедрение GDPR в российских компаниях 9
Наши контакты 10
3. 3
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Развитие требований по обработке и защите
персональных данных в Европейском Союзе / ЕЕА
► 24 октября 1995 г была представлена Директива Европейского
Парламента и Совета Европейского Союза 95/46/ЕС «О защите
физических лиц при обработке персональных данных и о
свободном обращении таких данных» (Директива). Директива
определяла термин «персональные данные», а также
формулировала требования к сбору и обработке персональных
данных
► Развитие информационных технологий и переход бизнеса в
цифровое пространство потребовали пересмотра регуляторных
требований к обработке и защите персональных данных. Как
результат в 2016 г был выпущен General Data Protection
Regulation (GDPR), который заменит требования Директивы
95/46/ЕС
► Новое законодательство вступит в силу с 25 Мая 2018 г
4. 4
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Основные термины
Персональные данные
(ПДн)
Любая информация, относящаяся к идентифицированному или
идентифицируемому физического лица (субъект ПДн) (включая, IP-адрес)
Идентифицируемое
физическое лицо
Физическое лицо, которое может быть идентифицировано прямо или косвенно, в
частности с использованием идентификатора, например: имени,
идентификационного номера, данных о местоположении, онлайн-идентификатора;
или с использованием параметров, характеризующих данное физическое лицо с
физиологической, генетической, психологической, экономической, культурной или
социальной точки зрения
Обработка ПДн Любая операция или набор операций, выполняемых с ПДн или с набором ПДн как с
использованием средств автоматизации, так и без использования оных, включая:
сбор, запись, структурирование, хранение, адаптацию или изменение,
использование, распространение, ограничение, уничтожение
Контроллер ПДн Физическое или юридическое лицо, государственный орган, учреждение, которое в
одиночку или совместно с другими определяет цели и средства обработки ПДн
Оператор ПДн Физическое или юридическое лицо, государственный орган, учреждение, которое
обрабатывает ПДн по поручению контроллера ПДн
Псевдонимизация ПДн Обработка ПДн, при которой ПДн не могут быть отнесены к конкретному субъекту
ПДн без использования дополнительной информации, при условии, что такая
дополнительная информация хранится отдельно и защищена техническими и
организационными мерами, для того чтобы исключить ассоциацию ПДн с
идентифицированным или идентифицируемым физическим лицом
5. 5
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (1/4)
1. Штраф за несоответствие требованиям GDPR
► GDPR увеличивает максимальный штраф за несоответствие до 20 миллионов Евро или
4 % глобального годового оборота компании за предыдущий период (выбор в пользу
большей суммы)
► Наличие доказательств применения адекватных технических и организационных мер
по защите ПДн потенциально может быть учтено регулятором, что в свою очередь,
может повлиять на размер штрафа
2. Территориальное распространение
Требования GDPR будут применимы к операторам и процессорам ПДн, находящимся
внутри ЕЕА (European Economic Area == страны ЕС + Норвегия + Исландия +
Лихтенштейн), вне зависимости от места непосредственной обработки ПДн. Для
операторов ПДн, находящихся вне EEA, требования будут применимы в случае:
► Если оператор предлагает товары или услуги для граждан ЕС (в том числе на
безвозмездной основе)
► Если обработка ПДн выполняется с целью мониторинга действий владельцев
персональных данных, находящихся внутри ЕС
6. 6
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (2/4)
3. Единый надзорный орган в ЕС
► Согласно текущим требованиям контроллеры и операторы ПДн внутри ЕС должны
взаимодействовать с соответствующим локальным регулятором в каждой из 28 стран
ЕС
► Согласно GDPR 28 локальных регуляторов были объединены под эгидой единого
надзорного органа – для организации единого подхода по взаимодействию с
контроллерами и операторами ПДн
4. 72 часа на уведомление регулятора
► Контроллер и оператор ПДн должны уведомить регулятора в течение 72 часов с
момента обнаружения фактов нарушений в обработке или защите ПДн (в том числе
компрометации ПДн)
► Описание выявленных нарушений, потенциальные последствия, а также
компенсирующие меры по минимизации рисков должны быть задокументированы
► Своевременное уведомление регулятора в совокупности с детальным
документированием выявленных нарушений может повлиять на размер потенциального
штрафа (см. статью 83 GDPR)
► В случае если выявленные нарушения могут повлечь за собой реализацию рисков
относительно прав и свобод субъекта ПДн, контроллер и оператор ПДн должен
незамедлительно уведомить субъекта ПДн
7. 7
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (3/4)
5. Реестр процессов обработки ПДн
Контроллеры и процессоры обязаны* создать и поддерживать в актуальном состоянии реестр
процессов обработки ПДн, отражающий:
► Наименование и контактные данные контроллера/процессора, представителя
контроллера/процессора и DPO (data protection officer’а)
► Цель обработки ПДн (применимо к контролерам)
► Описание категорий субъектов ПДн, а также состав обрабатываемых ПДн
► Категории получателей (организации/физ. лица) соответствующих ПДн (включая трансграничную
передачу данных)
► Срок хранения ПДн
► Общее описание применяемых технических и организационных мер по защите ПДн
*Комментарий: GDPR предусматривает ряд исключений (п.5 Article 30)
6. Риск-ориентированный подход по организации защиты ПДн
► В рамках планирования и организации мер по защите GDPR требует проведения оценки
влияния процессов обработки ПДн на права и свободы владельцев ПДн (data protection
impact assessment – DPIA)
► В отдельных случаях, когда по мнению контроллера и/или оператора ПДн минимизация
выявленного уровня риска невозможна (в виду отсутствия соответствующих технологий на
рынке или чрезмерной стоимости внедрения подобных технологий), необходимо провести
консультации с регулятором до начала обработки соответствующих ПДн
8. 8
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Ключевые аспекты GDPR (4/4)
7. Новые права владельцев ПДн
► Право «на забвение»
Субъект ПДн имеет право поручить контролеру ПДн удалить соответствующие ПДн, а
контролер ПДн обязан удалить соответствующие ПДн в случае:
► ПДн более не являются необходимыми для выполнения целей, в соответствие с которыми они
были собраны/обрабатывались
► Владелец ПДн отозвал согласие на обработку ПДн, при этом отсутствуют другие юридические
основания для обработки ПДн
► Незаконной обработки ПДн
► ПДн должны быть удалены в соответствие с требованиями законодательства ЕС или
соответствующих стран-членов ЕС
► Полный перечень условий см. в статье 17 GDPR
► Право на перенос ПДн между организациями-операторами:
Если обработка ПДн осуществляется при помощи средств автоматизации, субъект ПДн
имеет право на получение своих персональных данных в структурированном,
общепринятом и распознаваемом автоматизированными системами формате для
последующей передачи другому оператору ПДн. Данное право применяется в случае, если
обработка ПДн основывается на согласии субъекта ПДн или в рамках исполнения
договора.
9. 9
Все права защищены
ООО «Эрнст энд Янг – Оценка и консультационные услуги» 2017
Внедрение GDPR в российских компаниях
ИБ
Ю/ЕСЮ/РФ
РБП
GDPR
Оценка влияния требований GDPR на:
► Существующие процессы обработки
персональных данных
► Существующую систему информационной
безопасности
► Требования смежных
законодательных актов по
защите информации в ЕС
► Опыт юридического
сопровождения проектов по
GDPR
► Требования
законодательных актов по
ИБ и защите информации в
РФ
► Требования смежных
законодательных актов РФ
► Понимание индустриальной
специфики бизнес-процессов
► Выявление и описание
потоков персональных
данных, целей обработки,
сроков хранения и т.п.
► Встраивание функции по
управлению соответствием
требованиям GDPR в систему
риск-менеджмента
► Разработка и внедрение
контрольных процедур
10. Kонтакты
Николай Самодаев, CISA, MBCI
Партнер, Руководитель практики в области управления
информационными технологиями и ИТ-рисками
Тел: +7 (495) 755-9869
E-mail: Nikolay.Samodaev@ru.ey.com
Евгений Ким, CISA, ISO20000-1 LA
Старший менеджер, Отдел по управлению информационными
технологиями и ИТ-рисками
Тел: +7 (495) 705-9739
E-mail: Evgeny.A.Kim@ru.ey.com