1. Информационная безопасность и защита
персональных данных в компании.
Национальные особенности
Козак Владимир Федорович,
Заместитель Председателя
Государственной службы Украины
по вопросам защиты персональных данных
volodymyr.kozak@zpd.gov.ua
+38044 517 85 86

2. Информационная безопасность и защита
персональных данных в компании.
Национальные особенности



Защита персональных данных – что это?
Data Protection Officer – кто это?
ISMS & Data Protection




Risks/Controls/Sertification
Engineering Privacy by Design
Privacy Enhanced Technologies
Защита персональных данных в Украине–
где мы находимся
куда мы движемся
a

3. Захист персональних даних в Україні:
Європейські джерела
1981 Конвенція про захист осіб стосовно
автоматизованої обробки даних особистого
характеру
2001 Додатковий протокол до Конвенції
.. щодо ОРГАНІВ НАГЛЯДУ та
транскордонних потоків даних
Ратифіковані Україною
06/07/2010
Директива 95/46/ЄС Європейського Парламенту і
Ради "Про захист фізичних осіб при обробці
персональних даних і про вільне переміщення
таких даних" від 24 жовтня 1995 року
Підтримка принципів
Закон України “Про захист
персональних даних”
з 01/01/2011

4. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
ОПРЕДЕЛЕНИЕ
Персональные данные – это
сведения или совокупность сведений
о физическом лице, которое
идентифицировано
или может быть конкретно
идентифицировано

5. Защита персональных данных:
ТРЕБОВАНИЯ К ОБРАБОТКЕ
1.законность;
2.конкретность целей;
3.точность и своевременное обновление;
4.ограничение времени обработки;
5.неизбыточность;
6.права физического лица;
7.защита информации;
8.ограничение трансграничной передачи .
Закон Украины
«О защите персональных данных»

6. ЗАКОННЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1)
2)
3)
4)
5)
Законом требует/разрешает обработку ПД
Контракт
Согласие
Защита жизненно важных интересов
Защита законных интересов компании

7. Защита персональных данных:
ТРЕБОВАНИЯ К ОБРАБОТКЕ
1.законность;
2.конкретность целей;
3.точность и своевременное обновление;
4.ограничение времени обработки;
5.неизбыточность;
6.права физического лица;
7.защита информации;
8.ограничение трансграничной передачи .
Закон Украины
«О защите персональных данных»

8. Конвенция 108 и
Закон Украины «О защите персональных данных
КАЖДЫЙ ИМЕЕТ ПРАВО:
ЗНАТЬ
КТО И ГДЕ обрабатывает его ПД
КОМУ передаются его ПД
КАК получить доступ и потребовать
исправления/удаления своих ПД
ОБРАЩАТЬСЯ
к администрации банка
в уполномоченный орган по вопросам защиты
своих персональных данных
в суд для правовой защиты своих прав


9. Защита персональных данных ЭТО обеспечение
1.законности обработки ПД
2.конкретности целей обработки ПД
3.точности и своевременномти обновления ПД,
4.ограничения времени обработки ПД
5.неизбыточности ПД,
6.прав субъекта персональных данных при обработке ПД
7.информационной безопасности при обработке ПД
8.ограничение трансграничной передачи ПД

10. Data Protection Officer
«..структурний підрозділ або відповідальна особа,
яка організовує роботу, пов’язану із захистом
персоанальних даних при їх обробці»
Знання законодавства та практики захисту
персональних даних.
Завдання:


перевірка документів політики обробки ПД;

дотримання вимог захисту ПД при запровадженні нових
бізнес-процесів, вимог за замовчуванням, вимог безпеки
даних, обробка запитів суб’єктів ПД; попередня перевірка
та авторизація запроваджуваних процесів та технологій

нагляд за дотриманням затверджених процедур обробки ПД,
проведення тренінгів персоналу, аудиту

нотифікація та комунікації з Уповноваженим органом з
питань захисту ПД, відповіді на запити

11. Data Protection Officer
«..структурний підрозділ або відповідальна особа,
яка організовує роботу, пов’язану із захистом
персоанальних даних при їх обробці»
Знання законодавства та практики захисту
персональних даних.
Завдання:


перевірка документів політики обробки ПД;

дотримання вимог захисту ПД при запровадженні нових
бізнес-процесів, вимог за замовчуванням, вимог безпеки
даних, обробка запитів суб’єктів ПД; попередня перевірка
та авторизація запроваджуваних процесів та технологій

нагляд за дотриманням затверджених процедур обробки ПД,
проведення тренінгів персоналу, аудиту

нотифікація та комунікації з Уповноваженим органом з
питань захисту ПД, відповіді на запити

12. Data Protection Officer
Особа, яка
організовує
роботу, пов’язану
із захистом
персональних
даних
=
юрист
+
фахівець з інформаційної
безпеки

13. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ И
СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
ISMS ISO 27001
Information Security
Management System
СУИБ
PIMS BS 10012
Система
управления
обработкой
персональных
данних
Personal Information
Management System
IT Security
Trustworthy System
Assesment
ISO/IEC 29100:2011
Information technology -Security techniques -Privacy framework
КСЗИ
13

14. АНАЛИЗ РИСКОВ
В КОНТЕКСТЕ ПРИВАТНОСТИ
Оценка в рамках существующих бизнес-процессов:
наличия законных оснований обр.ПД (ст.11 ЗПД)
информирования субъектов ПД (ст.12 ЗПД)
обеспечения прав доступа к своим ПД (п.3 ч.2 ст.8 ЗПД),
возражать против обработки(п.5 ч.2 ст.8 ЗПД),
корректировки или уничтожения ПД (п.6 ч.2 ст.8 ЗПД)
чтобы избежать
обработки ПД без наличия законных оснований
(нарушение абз.3 ч.1 ст.6 ЗПД)
обробки ПД, с целью, отличной от цели, для кот. есть основания
(нарушение ч.5 ст.6 ЗПД)
чрезмерности ПД относительно (нарушение ч.3 ст.6 ЗПД)
незаконного доступа к ПД неавторизованных лиц
(нарушение ч.2 ст 24 ЗПД)
использования устаревших ПД (нарушение ч.2 ст.6 ЗПД)
хранение ПД, подлежащих уничтожению (нарушение ст..11 ЗПД),
а следовательно, избежать административных правонарушений КУАП
ст.188-39 (несоблюдение установленого законодательством порядка
защиты пероснальных данных, что повлекло незаконных доступ к ПД и
репутационных потерь

15. Engineering privacy
Privacy
stages
0
identifiability
identified
Approach
to privacy
protection
privacy
by
policy
(notice and
choice)
1
Linkability of
data to
personal
identifiers
linked
linkable with
reasonable &
automatable
effort
pseudonymous
2
privacy
by
architecture
15
3
anonymous
not linkable
with
reasonable
effort
unlinkable
System Characteristics
• unique identifiers across databases
• contact information stored with profile information
• no unique identifies across databases
• common attributes across databases
• contact information stored separately from profile
or transaction information
• no unique identifiers across databases
• no common attributes across databases
• random identifiers
• contact information stored separately
from profile or transaction information
• collection of long term person characteristics on a
low level of granularity
• technically enforced deletion of profile details at
regular intervals
• no collection of contact information
• no collection of long term person characteristics
• k-anonymity with large value of k

16. Зміни європейських правил
захисту персональних даних
Драматичні зміни технологій:
Інтернет
Соціальні
мережі
Мобільні телефони та мобільний інтернет
Геолокалізація (визначення місцезнаходження користувача
інтренетмобільного зв’язку
Біометрія
Глобалізація
Нові моделі бізнесу:
SaaS/PaaS|IaaS – програмне
забезпечення/платформа/інфраструктура як сервіс
Хмарні технології

17. Зміни європейських правил
захисту персональних даних
1.
2.
3.
4.
5.
6.
7.
27 країн – один нормативно-правовий акт
Ширше застосування
Повідодомлення про інциденти
оОбов’язкова оцінка рівня ІБ
Право бути забутим
офіцер з захисту персональних даних
Відсутність реєстрації
Щтрафи – до 2% від річного обігу

18. Зміни європейських правил
захисту персональних даних
1.
2.
3.
4.
5.
6.
7.
27 країн – один нормативно-правовий акт
Ширше застосування
Повідодомлення про інциденти
оОбов’язкова оцінка рівня ІБ
Право бути забутим
офіцер з захисту персональних даних
Відсутність реєстрації
Щтрафи – до 2% від річного обігу

19. ЩОДО ПРАКТИЧНОГО ЗАСТОСУВАННЯ
ЗАКОНОДАВСТВА СФЕРІ
ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
ДЯКУЮ ЗА УВАГУ
Козак Володимир Федорович,
Заступник Голови Державної служби з питань захисту персональних даних