BIS Summit 2019 Москва

Практические вопросы

применения GDPR

Пожалуйста, хватит!

2

VUCA we fear, GDPR we trust

25 мая 2018 года Экстерриториальное применение

Персональные данные

Защита прав человека Штрафы

Стандартизация процесса защиты персональных данных в ЕС

Повышение доверия со стороны клиентов и контрагентов

Улучшение защиты персональных данных

Соответствие требований инновациям

General Data Protection Regulation

3

Was ist das персональные данные?

«Обычные»

ФИО, дата рождения, адрес

Паспорт и другие документы

Финансовая информация

Фото и видео

Номер телефона и email

Информация о работе и образовании

Логин, пароль

IP-адрес, cookies

Профили в социальных сетях

Используемые устройства

Геолокация, история путешествий

Регистрационный номер автомобиля

Расовое и этническое происхождение

Политические взгляды

Религиозные взгляды

Генетические и биометрические данные

Данные о здоровье

Сексуальная ориентация

Специальные категории

Нет в 152-ФЗ 4

Под одну гребёнку

5

Главное (но не действующее) лицо: объективный субъект

– гражданин ЛЮБОЙ СТРАНЫ (в том числе, стран Европейского союза)

Находится на территории ЕС – является субъектом GDPR

Находится на территории любой страны вне ЕС – не является субъектом GDPR

Гражданство не имеет значения, имеет значение территориальное расположение 6

Магия GDPR вне ПДн субъектов на территории ЕС?

7

Пан или попал

Амстердам

Берлин

Российская авиакомпания Европейский каршеринг

Российский онлайн-магазин Российский разработчик ПО

8

General или все же Global

Расположение Направленность деятельности

Физическое присутствие на территории ЕС

Предложение товаров/услуг на территории ЕС

Мониторинг действий субъектов данных

• обрабатывает данные в связи с деятельностью своего филиала в ЕС

• поручила обработку данных дочерней компании в ЕС (турагент)

• бесплатные услуги через сайт с хостингом в России (социальные сети)

• продает товары/услуги на территории ЕС (авиакомпания, оператор связи)

• отслеживает запросы с помощью cookie-файлов для таргетированной рекламы

• на сайте организации установлена Яндекс Метрика, Google Analytics и т.п.

9

Круто ты попал на GDPR

Амстердам

Берлин

Российская авиакомпания Европейский каршеринг

Российский онлайн-магазин Российский разработчик ПО

10

Руссо туристо

11

12

Кто здесь ответственный?

Имеет доступ к

базе с ПДн

13

Огонь, вода и регулирующий орган

Регулирующий орган Контролер Обработчик

Обработчик несет ответственность

перед контролером

Контролер несет ответственность и за

себя, и за обработчика

Договор между контролером и обработчиком

14

Who is who

Контролер Контролер

Обработчик

Имеет доступ к

базе с ПДн

Обработчик

Совместный контролер

Совместный контролер 15

Не согласен давать согласие

Согласие на обработку ПДн

Согласие на обработку ПДн

Отказ от обработки

16

А это вообще законно?

Согласие на обработку

Выполнение договора

Юридическое обязательство

Жизненно важные интересы

Общественные интересы

Законные интересы

Определение законного основания

для обработки

Обработка персональных

данных

17

Не согласен давать согласие

Согласие на обработку ПДн

Согласие на обработку ПДн

Отказ от обработки

«Неравенство сил» Отказ давать согласие не должен препятствовать получению услуг

18

Мой facebook – моя крепость

НЕЗАКОННО!!!

19

20

Убедительная просьба меня забветь

Запрос на доступ

Обрабатываемые ПДн

Просит удалить дату рождения из корпоративной базы данных

Просит удалить данные о совершенных платежах

21

Имею право!

Право на получение информации

Право на доступ Право на исправление

Право на забвение

Право на ограничение обработки

Право на перенос данных

Право на обжалование обработки

Право отказаться от профилирования

Согласие на обработку

Выполнение договора

Жизненно важные интересы

Законные интересы

Согласие на обработку

Выполнение договора

Общественные интересы

Законные интересы

22

Убедительная просьба меня забветь

Запрос на доступ

Обрабатываемые ПДн

Просит удалить дату рождения из корпоративной базы данных

Просит удалить данные о совершенных платежах

23

DPO ннада?

Больница Банк Поисковая система

Частный врач Частный юрист Семейный бизнес

24

Сильный и независимый DPO

Data Protection Officer Государственный орган

Регулярный и систематический мониторинг в рамках основной деятельности

Обработка специальных категорий ПДн в больших масштабах

25

DPO ннада!

26

Совсем не независимый представитель

Представитель на территории ЕС

Выполнение обработки государственными органами

«Счастливчики»

Организации, уже имеющие физическое присутствие на территории ЕС

Обработка не включает специальные ПДн в большом количестве

Обработка не приведет к риску для прав и свобод субъектов 27

А чем субъект рискует?

…риск для прав и свобод субъектов

Дискриминация

Кража и/или мошенничество

Финансовые потери Ущерб репутации

«Персонификация» ПДн

Ограничение прав и свобод

ЛЮБОЙ ЗНАЧИТЕЛЬНЫЙ ЭКОНОМИЧЕСКИЙ ИЛИ СОЦИАЛЬНЫЙ УЩЕРБ 28

Улыбнитесь, вас снимает скрытая камера

29

Улыбнитесь, вас снимает скрытая камера

30

GDPR Starter Pack. General provisions

Законность и прозрачность обработки

Провести аудит обрабатываемых ПДн

Иметь (и уметь обосновать) законные основания для деятельности по обработке данных

Предоставить четкую информацию об обработке ПДн в политике конфиденциальности

Разработать уведомление субъектов об обеспечении конфиденциальности ПДн

Управление

Назначить человека, ответственного за обеспечение соответствия GDPR

Подписать соглашение об обработке с третьими лицами, которым вы передаете обработку ПДн

Назначить представителя на территории ЕС и DPO

Обеспечить контроль соблюдения политик защиты данных

По запросу субъектов предоставить всю информацию об обрабатываемых о них персональных данных

По запросу исправить неточные или неполные персональные данные

По запросу удалить персональные данные

По запросу прекратить обработку персональных данных

По запросу предоставить копию персональных данных в формате, который можно легко передать в другую организацию

Обрабатывать запросы по возражению против обработки персональных данных

Обеспечение прав субъектов

31

GDPR Starter Pack. Security

Разработать процесс по проведению оценки рисков, включая оценку воздействия на защиту данных

Всегда принимать во внимание защиту данных с момента начала процесса обработки

Внедрить технические и организационные меры для обеспечения безопасности обработки ПДн

Использовать шифрование и обезличивание ПДн, где это возможно

Повышать осведомленность сотрудников в вопросах защиты ПДн

Разработать процесс по реагированию на инциденты ИБ, связанные с ПДн (включая уведомление)

Внедрить эффективные процессы для управления и устранения нарушений, связанных с обработкой ПДн

Обеспечить адекватный уровень защиты при передаче ПДн за пределы Европейской экономической зоны

Безопасность обработки

32

Спасибо за внимание!

Обсудим?

IWConsultingTeam@infowatch.com Ирина Казакова

InfoWatch Consulting Team