Для владельцев бизнеса и специалистов по безопасности персональных данных (ПДн) решение Верховного суда стало важным сигналом. Суть прецедента проста и жестка: если произошла утечка конфиденциальной информации, отвечать по всей строгости закона придется оператору данных. Даже если техническую обработку вели третьи лица.
На практике это означает, что попытка списать вину на внешнего подрядчика в суде уже не пройдет. Оператор несет ответственность за всё, что происходит с базой данных, независимо от того, кто и как её обрабатывал.
Теги: практика
Минцифры представили набор документов, регламентирующих сбор и использование мобильных геоданных россиян, а также порядок их обезличивания. Новые правила, разработанные ведомством, стали логичным продолжением закона об обезличенных данных, принятого летом 2024 года, и направлены на формирование надежной базы для исследований в сфере туризма, социальной политики и экономики.
Теги: законодательство
Ответственный за обработку персональных данных в компании должен играть не только роль контролера и указателя на риски, но и помогать бизнесу находить решения в области защиты данных. В идеальной ситуации он предлагает различные варианты, оценивает риски и дает рекомендации, чтобы руководство могло быстро принять обоснованное решение.
Роль в бизнесе и принятие решений
Если ответственный за обработку данных работает внутри организации, его задача — не просто указать на нарушение законодательства, а предложить бизнесу несколько решений, которые соответствуют требованиям по защите данных и минимизируют риски. Идеально, когда ответственный так прорабатывает вопросы, что руководитель компании может легко выбрать один из предложенных вариантов или сразу утвердить оптимальное решение.
Компетенции и полномочия
Чтобы ответственный мог эффективно выполнять свою функцию, требуется понимание не только технических и юридических аспектов, но и глубокое погружение в бизнес-процессы. Это связано с компетенциями, которые должны включать знание не только законодательства, но и особенностей деятельности компании, ее стратегических целей и рисков. Такие специалисты — редкость и их услуги могут стоить недешево.
Реальность и ограничения
Однако реальность часто отличается от идеала. Ответственные за обработку данных могут не получать доступа к бизнес-решениям по различным причинам, таким как недостаток опыта, недоверие со стороны руководства, конкуренция внутри компании или особенности бизнеса с участием государства. В таких случаях их функция сводится к контролю соответствия законодательства и указанию на риски. Однако и эта роль требует высокой квалификации, так как умение анализировать риски — это задача уровня выше среднего специалиста.
Ограничение функций
В некоторых компаниях роль ответственного сводится к согласованию договоров и заявлений о согласии на обработку данных, что требует меньшего уровня ответственности и компетенций. Это обычная ситуация в бизнесах, где защита данных не занимает приоритетное место, и такие задачи можно поручить специалисту среднего уровня.
Консультации в сфере защиты данных
Еще одной сферой работы является консалтинг в области защиты данных, где специалист может быть приглашен для выполнения конкретных задач по внедрению политик защиты данных или аудита. Это отдельное направление, требующее не только юридической, но и бизнес-компетенции, и если в такой проект вовлечен специалист с недостаточным опытом, то это может привести к недостижению поставленных целей.
Итак, эффективный ответственный за обработку персональных данных в бизнесе — это тот, кто не только видит риски, но и помогает бизнесу найти решения, работая как стратегический партнер руководства.
Прошлый год нам запомнился пандемией, локдауном и самоизоляцией. В этой связи Роскомнадзор с середины марта отменил свои плановые проверки. Но это не значит, что в плане защиты персональных данных не было интересных событий в 2020 году.
Выделим самые важные новости:
Теги: аналитика
Мы уже привыкли указывать свои персональные данные в соцсетях, в интернет-магазинах, порталах для получения госуслуг и зачастую достаточно халатно относимся к распространению своих данных. Хотя мы должны задуматься, что будет с нашими данными после того, как нам окажут услугу или привезут товар. Ведь никто не хочет, чтобы его данные попали в руки мошенников или навязчивых рекламных агентов. Поэтому нужно проявлять бдительность и избирательность в вопросах передачи своих персональных данных.
Теги: ПДн 152-ФЗ
Прошло уже больше 10 лет, как действует закон «О персональных данных». И как бы это абсурдно не звучало, но до сих пор нет четких границ того, что можно отнести к персональным данным.
Конечно, в первую очередь, нужно обратиться к 152-ФЗ, в котором есть определение:
«персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»
Теги: персональные данные, закон, как выполнить требования
13 Февраля 2019 года вышло Постановление Правительства Российской Федерации № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных». Данное постановление устанавливает правила проведения мероприятий контроля и проверок Роскомнадзором организаций операторов персональных данных и права регулятора в рамках этих мероприятий.
Выделим основные моменты Постановления:
Теги: ПДн, аналитика
Выполнение требований 152-ФЗ «О персональных данных» – это не пакет документов и не технические средства защиты, а непрерывный процесс, требующий вовлеченности всех сотрудников организации.
С каждым днем в мире увеличивается ценность персональных данных. Если 10 лет назад главным трендом в бизнесе было освоение Интернета, то сейчас для бизнеса задача номер один – это сбор и управление данными, чтобы лучше понимать свою аудиторию и непрерывно адаптировать свои предложения для нее. Джек Ма, основатель интернет-гиганта Alibaba сказал: «Я не понимаю, как сегодня можно зарабатывать деньги без данных. Они чрезвычайно важны для развития общества. В будущем данные будут стоить, как нефть, и мы должны учитывать это уже сейчас».
Сейчас наверное нет тех, кто хотя бы «краем уха» не слышал про персональные данные и то, что юридическим лицам необходимо каким то образом их защищать.
Теги: ЗПДн аналитика
Пример заполнения акта классификации информационной системы персональных данных, с учетом требований Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Теги: ИСПДн документы