Кратко описал основные различия в подходах к обработке и защите ПДн в Европе и России.
ЕС
|
Россия
|
|
1. Общая суть
|
Ориентир на защиту прав субъектов
данных.
|
Защита прав субъектов данных заявляется,
но проверяют формальные требования.
|
2. Актуальность
|
Важная и актуальная тема.
|
Интерес минимальный.
|
3. Штрафы
|
Большие штрафы, в основном за
нарушение прав субъектов ПДн. Штрафы соразмерны размеру (и обороту) компании
и имеют «сдерживающее воздействие».
|
В основном минимальные штрафы за
формальные незначительные несоответствия. Новые большие штрафы за отсутствие «локализации»
баз ПДн, которые воспринимаются в качестве давления на иностранный бизнес.
|
4. Рекомендации надзорных органов
|
Много официальных и детальных
рекомендаций по актуальным темам. Доступны шаблоны и специальное ПО.
|
Минимально и поверхностно, «не
уполномочены давать разъяснения».
|
5. Полномочия надзорных органов
|
Широкие.
|
Минимальные.
|
6. Основание для обработки
|
Согласие – самый не популярный и
рисковый вариант легализации сбора ПДн. Рекомендуется использовать другие
основания. Уточняется, что согласие под принуждением (если дается зависимой
стороной) не имеет юридической силы.
Часто используется «законный
интерес» (legitimate interest) в качестве обоснования обработки ПДн.
|
Получение согласие – основной механизм
легализации сбора ПДн. Его берут по любому поводу и без.
|
7. Минимизация данных
|
Ориентир на минимизацию собираемой
информации и сроков хранения.
|
Минимизация сбора ПДн заявляется,
но, по факту, реализуется редко.
Примеры: сканирование паспортов в
гостинице и на проходных в офисах, запросы субъектов ПДн, содержащие полные
паспортные данные, и пр.
|
8. Ответственный за защиту данных
|
DPO – важная и ответственная роль. Опубликовано
много рекомендаций по его задачам, знанию и опыту. DPO представляет
и отстаивает интересы субъектов ПДн.
|
Ответственные за обработку и защиту
ПДн назначаются, но, по факту, практически не влияют на процессы обработки и
защиты.
|
9. Оценка влияния на субъектов данных
|
DPIA – важный и, зачастую, обязательный
процесс. Есть официальные рекомендации и шаблоны. Необходимо консультироваться
с надзорным органом при высоких рисках.
|
«Оценка вреда субъектам данных»
обычно не производится или формально оформляется простым протоколом. Не
влияет на обработку и требования к защите.
|
10. Мониторинг сотрудников
|
Следует обосновать необходимость и
получить одобрение.
|
Мониторинг сотрудников (DLP, web-контроль, мониторинг рабочего времени, CCTV и пр.) обычная практика.
|
11. Средний и малый бизнес (до 250 человек)
|
Упрощенные требования для среднего
и малого бизнеса.
|
Одинаковые правила для всех.
|
12. Соответствие требованиям
|
Подотчетность (accountability) – важный принцип
обработки ПДн. Суть в том, чтобы оператор был готов показать и подтвердить
свое соответствие требованиям.
|
Требуется формальное соответствие
152-ФЗ, легко закрыть «бумажной безопасностью».
|
13. Список стран с адекватной защитой
|
ЕС + небольшой перечень стран, всего
порядка 40.
США включены в перечень, но только
для компаний, входящих в Privacy Shield.
Россия не включена в перечень…
|
Стороны Конвенции Совета Европы
+ пару десятков стран, всего порядка 70.
США не включены в перечень.
|
14. Требования по технической защите
|
Верхнеуровненвые.
|
Детальные и сложные (ФСТЭК России и
ФСБ России), соответствие не проверяется…
|
15. Утечки ПДн
|
Об утечках ПДн необходимо уведомлять
надзорный орган и субъектов ПДн. Опубликовано много рекомендаций. Можно
получить штраф за утечку данных.
|
Требований (и практики) по уведомлению
нет, штрафов нет
|
16. Защита данных «by design and by default»
|
Обязательная часть ИБ.
|
Аналога нет.
|
17. «Лучшие практики»
|
Предусмотрены механизмы
сертификации, создания и утверждения Корпоративных правил и Кодексов
поведения.
|
Аналога нет.
|
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.