Персданные по-новому
Как бизнес осваивает практику реформированного 152-ФЗ
Вектор защиты персональных данных (ПД) в РФ кардинально изменился. После преобразований 2022 года эта сфера стремительно растет и усложняется. Компании стали чаще обращать внимание на вопросы, связанные с экстерриториальностью и локализацией данных, пробуют автоматизированные решения, упрощающие деятельность ответственных за защиту личной информации, и готовятся к новым правилам трансграничной передачи данных, отметили участники конференции Kept Privacy Day.
МИРОВЫЕ ТЕНДЕНЦИИ
Российское законодательство в сфере защиты персональных данных развивается в русле международных тенденций, отметила на конференции заместитель директора аудиторско-консалтинговой группы Kept (бывшая KPMG в России) Кристина Боровикова. Другой представитель компании, Ксения Карпова выделила основные тренды в мировом законодательстве о безопасности личной информации:
экстерриториальность законодательства по защите ПД граждан, введение оборотных штрафов за утечки личной информации и усиление взаимодействия с надзорными органами при киберинцидентах
В 1981 году появилась Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, в которой заложены основы законной обработки ПД. Этот документ ратифицирован РФ в 2001 году, а через пять лет в нашей стране была принята первая редакция закона №152 «О персональных данных», напомнила Ксения Карпова.
В 2018 году в ЕС принят Общий регламент по защите персональных данных (General Data Protection Regulation, GDPR), а в прошлом году в РФ были введены новые подходы к защите личной информации. Реформа 2022 года спровоцировала рост спроса на специалистов по защите ПД – Data Protection Officers (DPO).
Ксения Карпова рассказала о
появившейся недавно в российских компаниях практике найма директора по вопросам безопасности ПД (Chief Data Protection Officer, CDPO)
Ксения Карпова, Kept:
– Это руководитель высшего звена, отвечающий за концепцию, стратегию и определение направления, по которому пойдет компания в сфере защиты данных. Он анализирует риски, проводит внутренние аудиты соответствия бизнес-процессов компании действующему законодательству.
CDPO обеспечивает:
- соблюдение законодательства о ПД в компании;
- выстраивание процессов в части обработки и защиты личной информации в российских и зарубежных филиалах организации;
- взаимодействие с надзорными органами.
По словам Ксении Карповой, соискатель на пост директора по вопросам защиты данных должен иметь высшее образование в области информационной безопасности или юриспруденции, а также десятилетний опыт работы в крупных международных компаниях на должности ответственного за обработку ПД. Наличие международных сертификатов в этой сфере будет плюсом, подчеркнула эксперт.
АВТОМАТИЗИРУЙ ЭТО
Пока в РФ отсутствует специализированное образование для подготовки специалистов по защите ПД. За границей процесс идет более интенсивно.
Кристина Боровикова, Kept:
– За рубежом появились магистерские программы обучения DPO и есть интересные исследовательские задачи, которые запускают крупные технологические компании. Появилась даже ученая степень – Phd (Doctor of Philosophy) в области персональных данных.
Директор по управлению рисками и внутреннему контролю компании, DPO «Самоката» Антон Демидов в ходе конференции указал, что компании, ищущей специалиста по защите ПД, нужно определить требования к этому сотруднику, опираясь на особенности своих бизнес-процессов.
Антон Демидов, «Самокат»:
– Для юриста перечень ПД, которые обрабатывает его компания, выглядит довольно просто: имя, фамилия, номер телефона, номер паспорта, домашний адрес. Специалист по защите ПД с опытом работы в IT-сфере видит тысячи полей баз данных.
Он обратил внимание, что
на фоне возросших требований в последние полтора-два года остро встал вопрос автоматизации процессов в сфере защиты ПД
Многие компании присматривались к решениям от международных разработчиков OneTrust и TrustArc, а также российских BI.ZONE и «Б-152», которые существенно упрощают и систематизируют работу ответственного за защиту ПД,отметил эксперт.
«Хотя зарубежные поставщики решений в сфере автоматизации процессов обработки ПД не делали политических заявлений, но риски остаться без технической поддержки все равно остаются. Российские решения пока, к сожалению, уступают импортным», – считает Антон Демидов.
По его словам, сейчас, при поступлении запроса в «Самокат» от субъекта ПД на удаление или выгрузку личных сведений, он обрабатывается автоматически на основе собственных разработок компании.
ПЕРЕДАЧА ЗА ГРАНИЦУ
С 1 марта 2023 года вступит в силу новый порядок трансграничной передачи ПД. Чтобы корректно определить сроки и знать, какие факторы могут повлиять на передачу подобной информации за рубеж, важно правильно понимать новую схему, подчеркнул в своем выступлении менеджер компании Kept Роман Мартинсон.
Решение о запрещении или ограничении трансграничной передачи ПД принимает Роскомнадзор (РКН). В январе было опубликовано постановление правительства РФ о том, как ведомство будет принимать решение при взаимодействии с операторами, напомнил он.
Роман Мартинсон, Kept:
– Для компании первым этапом при работе в новых условиях станет формирование уведомления в РКН о намерении осуществлять трансграничную передачу ПД. Ведомство рассматривает его в течение 10 рабочих дней и может запросить дополнительные сведения. У оператора ПД будет определенное время на реализацию этого запроса.
Решение о запрете на трансграничную передачу ПД содержит:
- Полное наименование юридического лица оператора, в отношении которого принято решение.
- Наименование иностранного государства, на территорию которого запрещена трансграничная передача.
- Перечень иностранных лиц, которым планируется трансграничная передача.
- Основание для принятия решения о запрете трансграничной передачи.
- Дату принятия решения о запрете передачи ПД.
Такой же список требований содержит решение об ограничении трансграничной передачи, а также скорректированный РКН перечень целей передачи за границу, категорий субъектов ПД и объемов сведений, планируемых к передаче, пояснил эксперт.
При этом, обратил внимание Роман Мартинсон, основаниями для запрета трансграничной передачи ПД являются ситуации, в которых:
- Иностранными лицами, которым планируется передавать данные, не принимаются меры по их защите, а также не определены сроки прекращения обработки этой информации.
- Иностранное юридическое лицо является организацией, деятельность которой запрещена на территории РФ, или оно включено в перечень нежелательных.
- Трансграничная передача сведений и их дальнейшая обработка не совместимы с целями сбора ПД.
- Трансграничная передача ПД осуществляется в случаях, не предусмотренных ч. 1 ст. 6 152-ФЗ.
Оснований для ограничения два, напомнил Роман Мартинсон:
- Содержание информации, планируемой к передаче, не соответствует цели трансграничной передачи.
- Категории субъектов ПД, личная информация которых планируется к трансграничной передаче, не соответствует цели передачи.
Он перечислил случаи, когда в отношении оператора ПД не может быть принято решение об ограничении или запрещении трансграничной передачи данных:
- Реализация мероприятий в сфере физкультуры, спорта, культуры, науки и образования.
- Обеспечение платежей с использованием соответствующей инфраструктуры.
Кроме того, к таким случаям относится оказание услуг международной телефонной, спутниковой, телеграфной связи абонентам, находящимся за пределами РФ, обратил внимание эксперт.
Тимур Халудоров