22.5.19

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152 (презентация)

Вчера я по приглашению выступал в рамках московского GDPR Day, на котором меня коллеги из Б-152 попросили разбавить рассказы юристов о мерах по защите прав субъектов ПДн экскурсом в технические меры по защите ПДн и насколько можно совместить требования 32-й статьи GDPR и 21-го приказа ФСТЭК, разработанного во исполнение ФЗ-152. Получилась вот такая презентация:



В рамках презентации я ссылаюсь на исследование, которое проводила Cisco в ряде стран мира, включая и Россию, которое было посвящено готовности компаний к GDPR и что дает выполнение этих нормативов операторам ПДн. Это исследование мы переводили и на русский язык и выложили на сайте.

6 коммент.:

Валерий Сигитов комментирует...

Слайд 22 - а разве комментарий РКН не противоречит ст.8 ФЗ-152?

В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

с учетом ст.9, ч.4 152-ФЗ:

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...

Ну и пояснения РКН по этому поводу (см. "Вопрос 3")
https://57.rkn.gov.ru/p8924/p14069/p14070/

Двойные стандарты?

Алексей Лукацкий комментирует...

Нияесу не противоречит. Я говорил только про защиту ПДн. А есть согласие на их обработку или нет - это в контексте презентации было неважно

timur.aitov комментирует...

Кстати само согласие в рамках 152фз и других аналогичных актов это пустой звук и формальность - никакой защиты ПД оно на даёт, гражданин не знает что с его ПД будут делать, и по сути это согласие снимает ответственность с того, кто согласие требует. Гражданину нужен контракт

stsvetukhin комментирует...

Не совсем так.
Согласие - это согласие на обработку ПДн в рамках Закона. И в случае нарушения прав субъекта он (условно) пойдёт в суд. Но не с формулировкой "нарушение п. ХХХ _контракта_ ", а с формулировкой "нарушение п. YYY _Закона_ ".
А отсутствие согласия - это повод обратиться в суд с формулировкой "Оператор обрабатывает мои персональные данные без моего согласия, что является нарушением п. ZZZ _Закона_ ".
По крайней мере так задумано.

А вот как именно оператор будет обрабатывать ПДн - это гражданину знать не обязательно, лишь бы в рамках Закона и данного согласия.

Как-то так.

Unknown комментирует...

Презентация недоступна.

Алексей Лукацкий комментирует...

Доступна. На Slideshare. Просто в России он недоступен - нужно использовать плагины к браузеры, правильные браузеры или VPN