1 20 Table of Contents 22 52

Журнал "Information Security/ Информационная безопасность" #6, 2019

от "общестранового" годового оборота за весь предыдущий финансовый год"), но почему-то не упоминают, что для взымания таких штрафов у компании должно быть юридическое лицо в ЕС, иначе обязать выплатить их довольно сложно. На самом деле бизнесу, не представ- ленному в ЕС, стоить опасаться скорее репутационных рисков и отказа ино- странных компаний с ними работать (вплоть до формального запрета над- зорного органа). Я также не исключаю возможность блокировки Web-сайта на территории ЕС, если на нем произво- дится обработка персональных данных европейцев с нарушением GDPR, хотя на практике я еще не встречал таких примеров. Что еще нужно сделать для соответствия требованиям? Положения 152-ФЗ и GDPR во многом схожи, и если российский оператор пер- сональных данных добросовестно выпол- нил требования первого, то и со вторым особых проблем не будет. Но вот что еще надо сделать: 1. Определить основной, помимо РКН, надзорный орган (Lead Supervisory Authority), изучить его требования и реко- мендации. 2. Пересмотреть политику обработки персональных данных, особенно ее общедоступную версию. 3. Решить вопрос с cookies (отключить или оформить политику и согласие субъ- ектов). 4. Пересмотреть цели и основания для обработки персональных данных, а также сроки их хранения. 5. Пересмотреть процессы трансгра- ничной передачи данных и решить вопрос с местом (страной) хранения данных. 6. Пересмотреть и доработать формы уведомлений и согласий на обработку персональных данных. 7. Назначить DPO (Data Protection Offi- cer), при необходимости, и опубликовать его контакты. 8. Провести DPIA (Data Protection Impact Assessment), при необходимости. 9. Выстроить процесс реагирования на утечки персональных данных. 10. Задуматься о разработке кодексов поведения (Codes of Conduct) и серти- фикации ISO 27001 и/или ISO 27701. Замечу, что некоторые организации разрабатывают отдельные комплекты документов для 152-ФЗ и для GDPR. Такое возможно, но говорит скорее о том, что в компании не внедрены прин- ципы и процессы защиты персональных данных, а руководство хочет "прикрыться бумажками". Вместо заключения отмечу, что тема соответствия GDPR непростая. Чтобы разобраться в ней, необходимо изучить очень много дополнительного материа- ла, в т.ч. официальных разъяснений (например, от EDPB и Article 29 Working Party). l • 19 ПРАВО И НОРМАТИВЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Реклама В помощь приведу несколько полезных ссылок: 1. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the Free Movement of Such Data, and Repealing Directive 95/46/EC (General Data Protection Regulation) – https://eur-lex.europa.eu/eli/reg/2016/679/oj/. 2. European Data Protection Board (EDPB) – https://edpb.europa.eu. 3. Guidelines 3/2018 on the Territorial Scope of the GDPR (v.2.0, 12.11.2019, EDPB) – https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_sc ope_after_public_consultation_en.pdf. 4. Article 29 Working Party Guideline: 31–10–2017, Guidelines on the Lead Superviso- ry Authority (wp244rev.01) – https://ec.europa.eu/newsroom/article29/item- detail.cfm?item_id=611235. 5. Article 29 Working Party Guideline: 30-10-2017, Guidelines on Data Protection Offi- cers ('DPOs') (wp243rev.01) – https://ec.europa.eu/newsroom/article29/item- detail.cfm?item_id=612048. 6. Article 29 Working Party Guideline: 13–10–2017, Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) – https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236. 7. Article 29 Working Party Guideline: 20–08–2018, Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01) – https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052. 8. Article 29 Working Party Guideline: 06–07–2018, Guidelines on Consent under Reg- ulation 2016/679 (wp259rev.01) - https://ec.europa.eu/newsroom/article29/item- detail.cfm?item_id=623051. 9. Article 29 Working Party Guideline: 22–08–2018, Guidelines on Transparency under Regulation 2016/679 (wp260rev.01) – https://ec.europa.eu/newsroom/article29/item- detail.cfm?item_id=622227. 10. Guide to the General Data Protection Regulation (by ICO) – https://ico.org.uk/for- organisations/guide-to-data-protection/guide-to-the-general-data-protection-regula- tion-gdpr. 11. Блог “Жизнь 80 на 20” –. https://80na20.blogspot.com.

RkJQdWJsaXNoZXIy Mzk4NzYw