Персданные по-новому

Как бизнес осваивает практику реформированного 152-ФЗ

Вектор защиты персональных данных (ПД) в РФ кардинально изменился. После преобразований 2022 года эта сфера стремительно растет и усложняется. Компании стали чаще обращать внимание на вопросы, связанные с экстерриториальностью и локализацией данных, пробуют автоматизированные решения, упрощающие деятельность ответственных за защиту личной информации, и готовятся к новым правилам трансграничной передачи данных, отметили участники конференции Kept Privacy Day.

МИРОВЫЕ ТЕНДЕНЦИИ

Российское законодательство в сфере защиты персональных данных развивается в русле международных тенденций, отметила на конференции заместитель директора аудиторско-консалтинговой группы Kept (бывшая KPMG в России) Кристина Боровикова. Другой представитель компании, Ксения Карпова выделила основные тренды в мировом законодательстве о безопасности личной информации:

экстерриториальность законодательства по защите ПД граждан, введение оборотных штрафов за утечки личной информации и усиление взаимодействия с надзорными органами при киберинцидентах

В 1981 году появилась Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, в которой заложены основы законной обработки ПД. Этот документ ратифицирован РФ в 2001 году, а через пять лет в нашей стране была принята первая редакция закона №152 «О персональных данных», напомнила Ксения Карпова.

В 2018 году в ЕС принят Общий регламент по защите персональных данных (General Data Protection Regulation, GDPR), а в прошлом году в РФ были введены новые подходы к защите личной информации. Реформа 2022 года спровоцировала рост спроса на специалистов по защите ПД – Data Protection Officers (DPO).

Ксения Карпова рассказала о

появившейся недавно в российских компаниях практике найма директора по вопросам безопасности ПД (Chief Data Protection Officer, CDPO)

Ксения Карпова, Kept:

– Это руководитель высшего звена, отвечающий за концепцию, стратегию и определение направления, по которому пойдет компания в сфере защиты данных. Он анализирует риски, проводит внутренние аудиты соответствия бизнес-процессов компании действующему законодательству.

CDPO обеспечивает:

• соблюдение законодательства о ПД в компании;
• выстраивание процессов в части обработки и защиты личной информации в российских и зарубежных филиалах организации;
• взаимодействие с надзорными органами.

По словам Ксении Карповой, соискатель на пост директора по вопросам защиты данных должен иметь высшее образование в области информационной безопасности или юриспруденции, а также десятилетний опыт работы в крупных международных компаниях на должности ответственного за обработку ПД. Наличие международных сертификатов в этой сфере будет плюсом, подчеркнула эксперт.

АВТОМАТИЗИРУЙ ЭТО

Пока в РФ отсутствует специализированное образование для подготовки специалистов по защите ПД. За границей процесс идет более интенсивно.

Кристина Боровикова, Kept:

– За рубежом появились магистерские программы обучения DPO и есть интересные исследовательские задачи, которые запускают крупные технологические компании. Появилась даже ученая степень – Phd (Doctor of Philosophy) в области персональных данных.

Директор по управлению рисками и внутреннему контролю компании, DPO «Самоката» Антон Демидов в ходе конференции указал, что компании, ищущей специалиста по защите ПД, нужно определить требования к этому сотруднику, опираясь на особенности своих бизнес-процессов.

Антон Демидов, «Самокат»:

– Для юриста перечень ПД, которые обрабатывает его компания, выглядит довольно просто: имя, фамилия, номер телефона, номер паспорта, домашний адрес. Специалист по защите ПД с опытом работы в IT-сфере видит тысячи полей баз данных.

Он обратил внимание, что

на фоне возросших требований в последние полтора-два года остро встал вопрос автоматизации процессов в сфере защиты ПД

Многие компании присматривались к решениям от международных разработчиков OneTrust и TrustArc, а также российских BI.ZONE и «Б-152», которые существенно упрощают и систематизируют работу ответственного за защиту ПД,отметил эксперт.

«Хотя зарубежные поставщики решений в сфере автоматизации процессов обработки ПД не делали политических заявлений, но риски остаться без технической поддержки все равно остаются. Российские решения пока, к сожалению, уступают импортным», – считает Антон Демидов.

По его словам, сейчас, при поступлении запроса в «Самокат» от субъекта ПД на удаление или выгрузку личных сведений, он обрабатывается автоматически на основе собственных разработок компании.

ПЕРЕДАЧА ЗА ГРАНИЦУ

С 1 марта 2023 года вступит в силу новый порядок трансграничной передачи ПД. Чтобы корректно определить сроки и знать, какие факторы могут повлиять на передачу подобной информации за рубеж, важно правильно понимать новую схему, подчеркнул в своем выступлении менеджер компании Kept Роман Мартинсон.

Решение о запрещении или ограничении трансграничной передачи ПД принимает Роскомнадзор (РКН). В январе было опубликовано постановление правительства РФ о том, как ведомство будет принимать решение при взаимодействии с операторами, напомнил он.

Роман Мартинсон, Kept:

– Для компании первым этапом при работе в новых условиях станет формирование уведомления в РКН о намерении осуществлять трансграничную передачу ПД. Ведомство рассматривает его в течение 10 рабочих дней и может запросить дополнительные сведения. У оператора ПД будет определенное время на реализацию этого запроса.

Решение о запрете на трансграничную передачу ПД содержит:

• Полное наименование юридического лица оператора, в отношении которого принято решение.
• Наименование иностранного государства, на территорию которого запрещена трансграничная передача.
• Перечень иностранных лиц, которым планируется трансграничная передача.
• Основание для принятия решения о запрете трансграничной передачи.
• Дату принятия решения о запрете передачи ПД.

Такой же список требований содержит решение об ограничении трансграничной передачи, а также скорректированный РКН перечень целей передачи за границу, категорий субъектов ПД и объемов сведений, планируемых к передаче, пояснил эксперт.

При этом, обратил внимание Роман Мартинсон, основаниями для запрета трансграничной передачи ПД являются ситуации, в которых:

• Иностранными лицами, которым планируется передавать данные, не принимаются меры по их защите, а также не определены сроки прекращения обработки этой информации.
• Иностранное юридическое лицо является организацией, деятельность которой запрещена на территории РФ, или оно включено в перечень нежелательных.
• Трансграничная передача сведений и их дальнейшая обработка не совместимы с целями сбора ПД.
• Трансграничная передача ПД осуществляется в случаях, не предусмотренных ч. 1 ст. 6 152-ФЗ.

Оснований для ограничения два, напомнил Роман Мартинсон:

• Содержание информации, планируемой к передаче, не соответствует цели трансграничной передачи.
• Категории субъектов ПД, личная информация которых планируется к трансграничной передаче, не соответствует цели передачи.

Он перечислил случаи, когда в отношении оператора ПД не может быть принято решение об ограничении или запрещении трансграничной передачи данных:

• Реализация мероприятий в сфере физкультуры, спорта, культуры, науки и образования.
• Обеспечение платежей с использованием соответствующей инфраструктуры.

Кроме того, к таким случаям относится оказание услуг международной телефонной, спутниковой, телеграфной связи абонентам, находящимся за пределами РФ, обратил внимание эксперт.

Тимур Халудоров