С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные - это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных - любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные. Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому управляющие организации являются операторами по обработке персональных данных.

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ .

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили, вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ .

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ . Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, - 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

С 1 июля 2017 года вступают в силу поправки, регламентирующие увеличение штрафов до 75.000 руб. и упрощение процесса проверки, что позволит инспектору Роскомнадзора (РКН) выписать штраф за зафиксированное нарушение, просто зайдя на сайт .

Нужно ли вам это?

• На вашем ресурсе присутствуют формы с запросом любых данных о посетителе (ФИО, телефон, email и т.д.)?
• Осуществляются продажи товаров или услуг через сайт (корзина, покупка в 1 клик, форма заказа и т.д.)?
• Имеется возможность пользования личным кабинетом на вашем сайте (регистрация, авторизация, восстановление пароля)?
• Существует возможность подписки на e-mail уведомления (рассылка новостей, уведомлений, информации и т.д.)?
• Присутствуют любые предложения, в которых необходимо связываться по e-mail?

Во всех случаях вы являетесь оператором по обработке персональных данных, что накладывает на вас обязательства по нормативам Роскомнадзора, в случае невыполнения которых могут возлагаться штрафы.

Что необходимо сделать?

Оформить все необходимые нормативные документы и грамотно представить их на сайте. Не знаете, как это сделать? Мы вам поможем!

Нами будут проведены следующие работы:

• Подготовим соглашение о конфиденциальности, условиям использования сайта и обработке персональных данных
• Добавим страницу «Соглашение об обработке персональных данных»
• Разместим ссылку на страницу «Соглашение об обработке персональных данных» на всех страницах сайта
• Добавим во все формы на сайте, в которых используются персональные данные, поле о согласии на их обработку с ссылкой на страницу «Соглашение об обработке персональных данных»
• Добавим всплывающее сообщение с Дисклеймером – предупреждение, в котором говорится, что на сайте собираются статистические данные
• Проверим, соответствуют ли условия хранения базы данных и дадим рекомендации
• Дадим рекомендации для подачи заявления в Роскомнадзор для регистрации вас как оператора (обращаем ваше внимание, что подача документов осуществляется самостоятельно)
• Проконсультируем по любым возникшим вопросам

Когда вы делитесь с приложениями и сервисами определённой информацией, ваши устройства Apple начинают работать ещё лучше. Существует множество настроек, которые позволят вам выбирать, к каким данным открыть доступ, куда они будут отправляться и когда будет создаваться резервная копия. Важно знать, как настроены параметры в данный момент и как ими управлять.

Информация о данных и конфиден­циальности.

Мы создали новые информационные экраны «Данные и конфиденциальность», на которых вы можете легко разобраться, как именно Apple работает с вашими данными, ещё до того, как войдёте в свою учётную запись и начнёте пользоваться новыми функциями. Нажав значок «Данныеи конфиденциальность», вы увидите полезную информацию о том, какие данные могут быть отправлены и как они улучшат работу наших сервисов.

Проверьте настройки iCloud.

Вы можете управлять синхронизацией фотографий, сведений о здоровье, документов и других данных на ваших устройствах с учётной записью iCloud. Выбирайте, какие службы iCloud включить, а какие отключить. На устройствах iOS это можно сделать в настройках iCloud, а на Mac - в разделе iCloud в Системных настройках. Если вы пользуетесь PC с Windows, вам нужно будет открыть Панель управления iCloud.

Настройте доступ к своей геопозиции.

Иногда бывает полезно, чтобы устройство знало, где вы находитесь - например, когда вы планируете встречи в Календаре или пользуетесь навигацией. Службы геолокации определяют ваше местонахождение, используя данные GPS, Bluetooth, точек доступа Wi-Fi и вышек мобильной связи. Apple позволяет вам управлять тем, как собираются и используются эти данные. Вы должны включить службы геолокации самостоятельно - они всегда отключены по умолчанию. В любой момент от этого решения можно отказаться.

Функция SOS для экстренных вызовов.

С функцией SOS вы можете вызвать экстренные службы с помощью Apple Watch. Вы также можете настроить для выбранных вами людей автоматическое уведомление о ваших звонках в экстренные службы и показывать им ваше местонахождение в течение определённого промежутка времени. Эти уведомления можно отключить в любой момент. Даже если службы геолокации выключены, они включатся на некоторое время, чтобы выбранные вами «контакты SOS» узнали, где вас искать. Данные о вашем местонахождении также отправляются в местные экстренные службы, использующие сервис Rapid SOS. Все отправленные данные удаляются через 24 часа.

Контролируйте доступ приложений к вашим данным.

Приложения из App Store могут запрашивать доступ к данным о вашем местонахождении, контактам, календарям или фотографиям. Каждый раз, когда стороннее приложение впервые запрашивает какие-либо данные, вы видите диалоговое окно, поясняющее, какому приложению они нужны. Только вы можете предоставить доступ к своей информации. И если вы его разрешили, то в любой момент можете изменить это в Настройках.

Ваши действия на сайтах будут конфиденциальны.

Включите «Частный доступ», и Safari не будет добавлять посещаемые вами сайты в историю просмотра, запоминать ваши поисковые запросы и сохранять информацию из онлайн-форм, которые вы заполняете. Вы можете использовать средства блокировки контента, чтобы контролировать всё, что загружается в ваш браузер, и не позволять отслеживать вашу сетевую активность. Кроме того, поддержка средств блокировки контента устроена таким образом, чтобы их разработчики тоже не могли получать никаких данных о ваших поисковых запросах.

Safari также стал первым браузером со встроенной поддержкой анонимного поискового сервиса DuckDuckGo. Установите его в качестве поиска по умолчанию, и вы сможете пользоваться интернетом, не опасаясь, что ваши запросы кто-то отслеживает. Откройте настройки Safari на Mac, выберите «Поиск» и установите DuckDuckGo в качестве своей поисковой системы. На устройствах iOS коснитесь значка «Настройки», выберите Safari, затем «Поисковая машина» и DuckDuckGo.

Разработчики также получили возможность создавать для Safari загружаемые расширения, которые блокируют вредоносный контент, предназначенный для сбора адресов посещаемых вами сайтов.

Защитите персональные данные своих детей.

На устройствах Apple очень легко установить настройки родительского контроля и ограничения доступа. Вы сами решаете, какие веб-сайты может посещать ваш ребёнок, какие фильмы и телепередачи сможет смотреть, будет ли он пользоваться FaceTime и Камерой и скачивать приложения сторонних разработчиков. Родительский контроль и ограничения назначаются для конкретных устройств, поэтому мы рекомендуем установить их на всех устройствах Apple, которыми пользуются ваши дети. На Mac эти функции находятся в разделе «Родительский контроль» в Системных настройках. А на устройствах iOS нужно открыть «Настройки», затем коснуться строчки «Основные» и выбрать «Ограничения».

Вы также можете использовать функцию «Экранное время», чтобы лучше понимать и контролировать то, сколько времени ваши дети проводят в приложениях и на сайтах. Отчёты об активности включают подробные данные об использовании приложений, уведомлениях и входах в систему. Эти данные доступны только вам и недоступны Apple и третьим лицам. Вы также можете ограничить время, которое ваши дети ежедневно проводят в определённых приложениях и на сайтах.

С функцией «Семейный доступ» у ваших детей могут быть свои собственные Apple ID. А разработанная нами функция «Запрос на покупку» позволяет родителям одобрять покупки приложений и внутри приложений - то есть контролировать покупки, совершаемые через Apple ID их детей. Для настройки Apple ID ребёнка требуется согласие родителя или опекуна. Таким образом, взрослые получают возможность отслеживать действия детей и контент, который они скачивают.

25 мая 2018 года регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступает в силу в полном объеме, он касается любой компании в мире, занимающейся обработкой и хранением персональных данных лиц, проживающих в ЕС. Новый акт предоставляет людям больше прав касательно управления их персональными данными (Personally Identifiable Information, PII), осуществляемого компаниями. Также он предусматривает крупные штрафы за его неисполнение и нарушение конфиденциальности данных - до 4% годового дохода компании. Кроме того, компании должны в течение 72 часов предоставлять отчеты об утечках данных. (См. подробную информацию о данном регулирующем акте в «Требованиях, нормативных сроках и фактах “Общих положений о защите данных (GDPR) "».)

Даже если вы не ведете бизнес с ЕС, вероятнее всего, новый закон окажет влияние на стандарты обеспечения глобальной безопасности в перспективе. Поэтому компании, работающие в ЕС или с данными, на которые распространяется действие GDPR, пытаются быстро и заблаговременно обеспечить соответствие этому документу. Службам безопасности необходимо будет убедиться в том, что данные, идентифицирующие личность, надлежащим образом защищены и соответствующие процедуры отчетности имеются.

По словам Брайана Вечи, технического евангелиста компании Varonis, которая специализируется на разработке систем по контролю и управлению правами доступа к распределенным файловым ресурсам, большинство компаний совсем не готовы к работе в новых условиях. Есть американские компании, которые подпадают под действие этого нового документа о конфиденциальности лишь потому, что кто-то из ЕС подписался на их информационную рассылку. И если в вашей организации имеются персональные данные гражданина одной из 28 стран - членов Сообщества, то этот акт касается и вас.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

Оливье ван Хуф, менеджер по предварительным продажам в Европе бельгийской компании Collibra, разрабатывающей ПО, считает, что GDPR начинается с управления данными: «Вы должны установить платформу управления данными прежде, чем вы действительно сможете начать защищать данные. Это значительно больше, чем просто техническая защита данных. Большинство организаций начинают с рассмотрения своих бизнес-процессов, затем переходят к рассмотрению логических процессов, используемых при сборе данных, и затем - к самим физическим данным. GDPR - это также понимание того, что данные действительно принадлежат личности. Вы же в действительности лишь размещаете у себя эти данные».

Что GDPR подразумевает под персональными данными?

Определение персональных данных в GDPR значительно шире, чем ранее существовавшие. Оно включает в себя любую информацию, касающуюся конкретного человека, будь то личные, публичные или профессиональные данные. Это не только имена, адреса и финансовая информации, но и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Обеспечение соответствия GDPR означает, что вы не только должны обеспечивать защиту большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

Страны, затрагиваемые GDPR, должны будут идентифицировать в силу своих возможностей информацию, которая не отслеживалась или не индексировалась ранее. Например, записанный звонок в службу поддержки клиентов, возможно, необходимо будет локализовать, защитить, отследить и внести в отчет.

Каковы новые права пользователей в сфере персональных данных?

Документально оформленное добровольное согласие лица на использование информации должно даваться каждым человеком (или его официальным представителем). Согласие должно однозначно определять собираемые данные, цель их использования и длительность их хранения. Пользователи могут отозвать свое согласие в любое время и отправить запрос на удаление их персональных данных (при условии, что они укажут обоснованную причину).

В соответствии с GDPR физические лица могут также контролировать, что происходит с их персональными данными. Они могут рассчитывать на исправление фактических ошибок, видеть, какая информация о них хранится, и даже экспортировать ее для своего персонального просмотра и использования. Эти важные права являются новыми для большинства организаций.

Большинству компаний сначала просто нужно понять, какие положения GDPR у них уже выполняются. Им необходимо выяснить, где хранятся эти данные и подпадают ли они под действие GDPR. Затем им необходимо обеспечить их защиту по принципу минимальных привилегий и отслеживание их изменений. Компания Varonis так и делала с самого начала. Она специализируется не только на поиске данных, но и на определении, кто к чему имеет доступ и нужен ли им доступ к этим данным. Прежние нормативные документы, касающиеся защиты данных, требовали обеспечивать защиту данных от доступа извне. Теперь их необходимо лучше защищать изнутри, поскольку статья 25 GDPR гласит, что данные должны быть защищены по принципу минимальных привилегий намеренно и по умолчанию. И вы не можете сделать это, не понимая, где они находятся и кто может получить к ним доступ.

Каким образом GDPR влияет на структуру служб безопасности?

GDPR дает определение многочисленных функций участников процесса, прописывает правила и обязанности каждого из них. Субъект данных - это лицо, чьи персональные данные собираются. Управляющий данными - это организация, собирающая данные. Обработчик - это организация, обрабатывающая данные по поручению управляющего данными. Управляющие и обработчики обязаны вести письменный учет того, какие данные были собраны, каким образом они были собраны, как они были использованы, когда они были удалены.

Службам безопасности предстоит не только защищать данные от традиционных угроз, но и делать это так, чтобы процесс был прозрачным, документально оформленным и пригодным для возможного использования в отношении большого количества субъектов данных, и все это при строгом обеспечении безопасности данных. Каждому члену службы компьютерной безопасности необходимо разъяснить методы обеспечения соответствия требованиям GDPR.

Многие предприятия-участники, частные и государственные, должны иметь ответственного за защиту данных (data protection officer, DPO). Руководитель по защите данных должен обладать техническими знаниями или иметь персонал для защиты данных и обеспечения преемственности бизнеса. В ЕС считают, что позиция DPO настолько важна, что разработали отдельный, подробный 18-страничный документ о данной позиции.

Может показаться, что позиция по защите данных больше всего подходит руководителю информационной безопасности, однако руководитель по защите данных должен четко понимать требования к конфиденциальности и обеспечению соответствия, что обычно лучше понимают директора по вопросам конфиденциальности (chief privacy officer, CPO) или другие защитники конфиденциальности, однако они могут не понимать технической стороны вещей. В малом бизнесе все может закончиться назначением «наиболее подходящего» работника в качестве управляющего данными или даже выбором внешнего руководителя по защите информации. В любом случае GDPR требует, чтобы такой руководитель был независимым аудитором соответствия требованиям и был доступен для субъектов данных, для организации, следующей предписаниям данного акта, и для инспекторов GDPR.

Ван Хуф отмечает, что большинство европейских компаний уже наняли директоров по защите данных.

Отчеты о защите и обработке данных должны храниться и предоставляться для текущих и регулярных проверок не только аудиторам, но и субъектам данных. Каким образом организация обеспечит доступ к отчетам для индивидуальной частной проверки и в то же время защитит их от несанкционированного просмотра? Потребуется ли для каждого отдельного субъекта новая система сопровождения управления идентичностью и контроля доступа с учетом того, что потенциально возможных субъектов данных миллионы? Может ли организация соответствовать требованиям GDPR, просто распечатывая личные отчеты и рассылая пользователям бумажные копии? Это важные моменты, которые должны проработать директора по защите данных, руководящий состав и служба безопасности.

Национальные органы управления защитой данных

Каждая страна - член Сообщества имеет национальный орган управления защитой данных (data protection authority, DPA). DPA несут ответственность за установление соответствия и проведение в жизнь соответствующих законов на национальном уровне, но обязаны быть независимыми даже от контроля со стороны собственного национального правительства.

Страны - члены Сообщества могут иметь один или более органов управления. Каждая организация может выбрать один DPA, который контролирует соответствие GDPR для организации в целом. Единый надзорный орган имеет возможность контролировать обработку и защиту данных, обеспечиваемые в других странах-членах. Критики справедливо отмечают, что компании, работающие в нескольких странах - членах Сообщества, могут выбрать для работы наиболее гибкий DPA подобно тому, что они уже сегодня делают для снижения налогов и организационной независимости.

DPA созданы в рамках предыдущего закона ЕС о защите данных, но были значительно усилены в регулирующем акте. DPA фактически являются официальными государственными регулирующими и надзорными органами в структуре GDPR. Орган управления защитой данных помогает принимать решения в правовых вопросах и может расследовать деятельность компаний в случае нарушений и приостанавливать работу управляющих данными и обработчиков, несущих юридическую ответственность за нарушения GDPR, и определять штрафные санкции. Кроме того, он решает, может ли организация передавать данные за пределы ЕС, и если да, то какие механизмы защиты следует применить. В конкретной организации основным лицом, поддерживающим связь с DPA, вероятно, будет руководитель по защите данных.

Если субъект данных понимает, что произошло нарушение, он может связаться либо с DPO, либо с DPA, который был выбран данной компанией и контакты которого были переданы субъекту. На практике это может быть очень неудобно, поскольку DPO или DPA компании, управляющей данными или обрабатывающей их, может не находиться в той же стране.

Об утечках данных следует сообщать незамедлительно

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган - DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Службы безопасности, вероятно, будут испытывать больше давления, поскольку должны убедиться в том, что все персональные данные надлежащим образом зашифрованы или обезличены. Ранее шифрование в основном было направлено на защиту портативных устройств. Обеспечение соответствия GDPR, скорее всего, приведет к большому спросу на еще большее шифрование данных во всей компании.

Также службы безопасности будут подвергаться повышенному давлению из-за необходимости быстрее, чем раньше, определить, явилась ли утечка данных событием, требующим отчетности. 72 часа - слишком малое время для многих организаций, особенно если пытаться понять, может ли какой-либо факт предотвратить необходимость сообщать об утечке затронутым субъектам данных или в прессу.

Руководство компаний не готово к GDPR

Руководство компаний излишне самоуверенно и недостаточно серьезно готовится к вступлению в силу регулирующего акта Евросоюза GDPR.

Согласно результатам опроса Trend Micro, руководство компаний знает о принципах, которые заложены в документе, более того, 85% подробно изучили его требования, а 79% компаний уверены, что их данные находятся в полной безопасности.

Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены: 64% не знали, что дата рождения клиентов относится к категории персональных данных, 42% респондентов не относят к этой категории маркетинговые базы данных адресов электронной почты, 32% таковыми не считают физические адреса, а 21% - почтовые адреса клиентов.

66% респондентов спокойно относятся к сумме штрафа за отсутствие требуемых мер по защите данных. Только 33% признают, что эта сумма может составить до 4% их годового оборота. Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных.

Как подготовиться

Любой сотрудник компаний, подпадающих под действие GDPR, занятый сбором, хранением, обработкой данных, уже должен знать основы регулирующего акта. Необходимо сформировать группы людей, которые будут заниматься подготовкой к введению GDPR в действие и обеспечением его выполнения. Наиболее важные сотрудники должны пройти обучение по GDPR с проверкой их знаний. При необходимости назначьте или наймите сотрудника, ответственного за обеспечение соответствия данных требованиям GDPR.

Оцените готовность вашей компании выполнить требования GDPR (например, персонал, инструменты и процессы), отметив области, требующие наибольшего внимания. Простое определение имеющихся данных, уже соответствующих требованиям GDPR, будет серьезной первоначальной задачей. Большинство компаний столкнутся с необходимостью создать новые системы для отслеживания изменений данных в соответствии с нормами GDPR или изменить существующие системы.

Заранее определите, что вашей компании придется делать в случае утечки персональных данных. С кем вы будете связываться? Какую информацию вы должны передать? Кто определяет, следует ли уведомить субъектов данных?

GDPR - это новый стандарт по защите конфиденциальности персональных данных. Он призван дать субъектам данных больше возможностей по контролю данных и обеспечить прозрачность операций и защиту. Это отличная вещь для защиты конфиденциальности, но масса работы для тех, кто должен выполнять требования этого акта.

***

Многие компании видят в GDPR лишь еще одну обузу, дополнительные расходы. Но, может быть, следует его рассматривать как возможность? Часто бывает, что компании собирают данные в течение длительного времени и даже не уверены, нужны ли они им. А GDPR заставит их пересмотреть причину сбора этих данных, срок их хранения, способ их обработки. Это шанс оптимизировать не только данные, но и работу, связанную с этими данными.

− Roger A. Grimes. How to protect personally identifiable information under GDPR. CSO. August 14, 2017

Координационный центр доменов.ru/.рф совместно с «Фондом развития интернет» и Федеральным институтом развития образования выпустили второе издание учебно-методического пособия «Практическая психология безопасности: управление персональными данными в Интернете».

Пособие посвящено повышению цифровой компетентности школьников и учителей в сфере управления персональными данными в Интернете. В нем проанализированы теоретические и методические аспекты проблемы защиты частной жизни и персональных данных в сети.

Пособие предназначено в первую очередь для учителей средних школ, но оно будет полезно и интересно и для других работников системы образования, полагают авторы издания.

Пособие состоит из десяти уроков, которые рассказывают, что такое персональные данные, как они попадают в Сеть, почему ими нужно управлять и как их можно защитить. Раскрываются вопросы приватности и личных границ, управления репутацией в Интернете, объясняются способы удаления ПД. Для каждого урока предусмотрено выполнение упражнений, предложены темы для обсуждения, методика оценки результата, прилагаются необходимые дополнительные материалы.

Как отмечается в предисловии к пособию, «по данным ряда опросов, больше половины россиян не знают о своих правах в Интернете. И в целом по стране индекс цифровой грамотности в области безопасного использования информационных технологий остается довольно низким - 4,86 (из 10 возможных)».

«Цель нашего пособия - донести до российских учителей и их учеников необходимость защиты личной информации и доступно объяснить правила безопасного управления личной информацией в Интернете», - сообщил директор КЦ Андрей Воробьев.

В подготовке пособия активное участие приняла Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), отмечают в КЦ.

«В наше время личная информация о детях появляется в Сети разными путями: ее выкладывают сами юные пользователи, их родители и друзья. Но это всего лишь полбеды: как показывает практика, значительная часть информации о несовершеннолетних пользователях оказывается результатом неправильного обращения с персональными данными в образовательных учреждениях», - отметила в предисловии к изданию заместитель руководителя Роскомнадзора и один из авторов пособия Антонина Приезжева.

Основными источниками угроз в киберпространстве являются хищение персональных данных при помощи фишинга, использования пользователями «серых» мобильных приложений и незащищенных каналов коммуникаций, сообщила заместитель руководителя Роскомнадзора Антонина Приезжева на открытии Международного форума по кибербезопасности (Cyber Security Forum-2017).

Открытые источники хранения персональных данных, геолокационные сервисы также могут представлять собой угрозу для утечек личных данных, а повсеместная практика принятия условий пользовательского соглашения «по умолчанию» лишь облегчает задачу злоумышленникам,

По мнению Приезжевой, большинство из рассматриваемых угроз возможно нивелировать путём повышения уровня информированности о правах и обязанностях всех участников процесса обработки персональных данных, уделяя особое внимание субъектам персональных данных.

Для достижения вышеуказанных целей Роскомнадзором определены приоритетные задачи: стимулирование добросовестного поведения в Сети и совершенствование механизмов регулирования области персональных данных, в т.ч. применение механизмов саморегулирования.

Для выявления, пресечения и предотвращения негативных последствий этих угроз необходимо внедрение комплексного системного подхода, который был разработан и презентован Роскомнадзором как «Стратегия информационно-публичной деятельности Уполномоченного органа на период до 2020 года».

Показатели эффективности Стратегии:

• повышение правовой грамотности населения Российской Федерации: ежегодное увеличение на 0,2-0,5% показателя числа респондентов, подтвердивших знание своих прав и законных интересов как субъектов персональных данных в ходе соответствующих социологических исследований;
• снижение с 70 до 40% показателя общего числа нарушений в области персональных данных;
• пропаганда образа жизни, направленного на бережное отношение к личным данным среди несовершеннолетних, в том числе, посредством создания молодежного медийного пространства: увеличение с 0,1 до 1% доли несовершеннолетних, вовлеченных в мероприятия реализации стратегии;
• повышение качества образовательного аспекта в области ПД путем развития неформального и самостоятельного образования: повышение с 2% до 15% доли операторов, воспользовавшихся ресурсами неформального образования;
• развитие международного взаимодействия и сотрудничества;
• ежегодное снижение на 2% доли выявленных инцидентов в области персональных данных по сравнению с предшествующим периодом.

Скачать учебно-методическое пособие «Практическая психология безопасности: управление персональными данными в Интернете» можно по нижеследующей ссылке (.zip, ~ 4.5 Мб):

См. также .