Различия в подходах к обработке и защите ПДн в Европе и России

Различия в подходах к обработке и защите ПДн в Европе и России
Кратко описал основные различия в подходах к обработке и защите ПДн в Европе и России. 


ЕС
Россия
1.     Общая суть
Ориентир на защиту прав субъектов данных.
Защита прав субъектов данных заявляется, но проверяют формальные требования.
2.     Актуальность
Важная и актуальная тема.
Интерес минимальный.
3.     Штрафы
Большие штрафы, в основном за нарушение прав субъектов ПДн. Штрафы соразмерны размеру (и обороту) компании и имеют «сдерживающее воздействие».
В основном минимальные штрафы за формальные незначительные несоответствия. Новые большие штрафы за отсутствие «локализации» баз ПДн, которые воспринимаются в качестве давления на иностранный бизнес.
4.     Рекомендации надзорных органов
Много официальных и детальных рекомендаций по актуальным темам. Доступны шаблоны и специальное ПО.
Минимально и поверхностно, «не уполномочены давать разъяснения».
5.     Полномочия надзорных органов
Широкие.
Минимальные.
6.     Основание для обработки
Согласие – самый не популярный и рисковый вариант легализации сбора ПДн. Рекомендуется использовать другие основания. Уточняется, что согласие под принуждением (если дается зависимой стороной) не имеет юридической силы.
Часто используется «законный интерес» (legitimate interest) в качестве обоснования обработки ПДн.
Получение согласие – основной механизм легализации сбора ПДн. Его берут по любому поводу и без.

7.     Минимизация данных
Ориентир на минимизацию собираемой информации и сроков хранения.
Минимизация сбора ПДн заявляется, но, по факту, реализуется редко.
Примеры: сканирование паспортов в гостинице и на проходных в офисах, запросы субъектов ПДн, содержащие полные паспортные данные, и пр.
8.     Ответственный за защиту данных
DPO – важная и ответственная роль. Опубликовано много рекомендаций по его задачам, знанию и опыту. DPO представляет и отстаивает интересы субъектов ПДн.
Ответственные за обработку и защиту ПДн назначаются, но, по факту, практически не влияют на процессы обработки и защиты.
9.     Оценка влияния на субъектов данных
DPIA – важный и, зачастую, обязательный процесс. Есть официальные рекомендации и шаблоны. Необходимо консультироваться с надзорным органом при высоких рисках.
«Оценка вреда субъектам данных» обычно не производится или формально оформляется простым протоколом. Не влияет на обработку и требования к защите.
10. Мониторинг сотрудников
Следует обосновать необходимость и получить одобрение.
Мониторинг сотрудников (DLP, web-контроль, мониторинг рабочего времени, CCTV и пр.) обычная практика.
11. Средний и малый бизнес (до 250 человек)
Упрощенные требования для среднего и малого бизнеса.
Одинаковые правила для всех.
12. Соответствие требованиям
Подотчетность (accountability) – важный принцип обработки ПДн. Суть в том, чтобы оператор был готов показать и подтвердить свое соответствие требованиям.
Требуется формальное соответствие 152-ФЗ, легко закрыть «бумажной безопасностью».
13. Список стран с адекватной защитой
ЕС + небольшой перечень стран, всего порядка 40.
США включены в перечень, но только для компаний, входящих в Privacy Shield.
Россия не включена в перечень…
Стороны Конвенции Совета Европы + пару десятков стран, всего порядка 70.
США не включены в перечень.
14. Требования по технической защите
Верхнеуровненвые.
Детальные и сложные (ФСТЭК России и ФСБ России), соответствие не проверяется…
15. Утечки ПДн
Об утечках ПДн необходимо уведомлять надзорный орган и субъектов ПДн. Опубликовано много рекомендаций. Можно получить штраф за утечку данных.
Требований (и практики) по уведомлению нет, штрафов нет
16. Защита данных «by design and by default»
Обязательная часть ИБ.
Аналога нет.
17. «Лучшие практики»
Предусмотрены механизмы сертификации, создания и утверждения Корпоративных правил и Кодексов поведения.
Аналога нет.


Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире