8 ноября 2018 года прошла международная конференция «Защита персональных данных», организованная при поддержке Роскомнадзора. Специалисты нашей компании приняли участие в мероприятии и спешат поделится с вами наиболее интересной информацией.

Первая пленарная сессия была посвящена теме “Цифровая экономика”. На этой площадке столкнулись два условно-противоборствующих лагеря. Одна группа спикеров говорила о необходимости регулирования и стандартизации новых сущностей цифровой экономики “больших данных”, “умных контрактов”, а также “обычных” и общедоступных персональных данных. Другая группа выступала за сокращение число регуляторных ограничений либо замедление принятия новых требований в целях поддержки развития новых технологий в РФ.

Стоит отметить информацию вице-президента Торгово-промышленной палаты России о планах по поддержке предпринимателей в области защиты персональных данных: планируют существенное развитие технопарков и предоставление субсидий на размещение в них; развитие краудфандинговых площадок и организацию помощи молодым организациям по сбору инвестиций.

Следующая секция была посвящена обсуждению международных аспектов регулирования персональных данных – GDPR и модернизированной конвенции Совета Европы №108.

Если в прошлом году Роскомнадзор говорил, что GDPR не коснется российских операторов, то теперь позиция регулятора существенно изменилась – был сделан вывод, что европейский регламент повлияет на деятельность многих российских компаний, в том числе:

  • Российских компаний, имеющих представительства, дочерние и зависимые общества в ЕС
  • Российских компаний, которым компании из ЕС передали данные для обработки (хостинг, резервное копирование, статистическая обработка и т.п.)
  • Российских компаний, которые сотрудничают с компаниями из ЕС, и по договору их обязывают соблюдать GDPR
  • Российских компаний, предлагающих товары и услуги гражданам ЕС
  • Российских компаний, осуществляющих мониторинг действий граждан ЕС на территории ЕС (операторы связи, банки, страховые компании)
  • Владельцев сайтов, рассчитанных на европейскую аудиторию (на языках ЕС)

Для российских компаний, попадающих по требования регламента по защите данных, Роскомнадзор подготовил список рекомендаций:

  • провести аудит процессов обработки ПДн
  • проанализировать организационно-распорядительные документы на соответствие GDPR
  • проинформировать клиентов об обработке ПДн
  • проверить сроки хранения ПДн на соответствие общему регламенту
  • в ОРД и на практике предусмотреть права на обработку ПДн
  • собирать отдельное согласие для каждой цели
  • назначить ответственного за защиту данных (DPO)

Также Роскомнадзор рассказал про присоединение России к модернизированной конвенции ЕС по защите персональных данных, в соответствии с которой в ближайшее время будут вносится изменения в законодательство РФ: новая категория данных — генетические данные, новые права субъектов ПДн и новая обязанность операторов связи — обязательное информирование об утечках персональных данных.

Представитель PwC сделал сравнительный анализ по сбору согласий: в ЕС очень редко получают согласия на обработку ПДн из-за дороговизны процесса, и есть много других оснований для обработки. В России большинство операторов стараются получить согласия, чтобы снять с себя риски о неправильном подборе оснований. Российские компании, подпадающие под требования GDPR будут вынуждены искать баланс и, скорее всего, пересматривать свое отношение к сбору согласий.

АДРУД провели сравнительный анализ возможностей для прямого маркетинга в целях продвижения товаров и услуг в РФ и ЕС: в Евросоюзе больше возможностей обосновать маркетинг законными интересами и не собирать согласия на обработку данных.

Сбербанк рассказал об успешном опыте реализации процессов обработки ПДн, соответствующих одновременно требованиям GDPR и российского законодательства. При этом эксперты не выявили противоречащих друг другу требований. Это значит, что и другие российские компании могут повторить опыт Сбербанка.

Вторая секция была посвящена проблемам оказания услуг через сеть Интернет.

Представитель ВЦИОМ огласил результаты опроса населения: пользователи стали догадываться что их данные используются в негативном ключе. Регуляторы в сфере ПДн делают вывод, что стоит усилить контроль за использованием ПДн.

Роскомнадзор рассказал о своем анализе в области общедоступных ПДн: многие операторы используют их не в полном соответствии с требованиями законодательства РФ. Примером стал недавний случай из практики Бюро кредитных историй, специалисты которого использовали данные социальных сетей для оценки граждан при рассмотрении заявок на кредит. Роскомнадзор считает подобное использование общедоступных данных недопустимым и нецелевым.

Елена Сурагина из МТС поделилась результатами работы группы по большим данным в рамках программы «Цифровая экономика». Группа представила свои соображения о необходимых изменениях законодательства, касающихся расширения возможностей взаимодействия с субъектом в электронной форме.

Третья секция была посвящена докладам регуляторов по вопросам информационной безопасности.

Так, регулятор по защите персональных данных Сербии рассказывал о местной практике контроля медицинских мобильных приложений на примере приложения Izabrani Doktor. Было выявлено много нарушений: в форме согласия, в публичной политике и слабой авторизации. Начата планомерная работа с оператором, заказчиком – министерством здравоохранения – и пользователями по исправлению недостатков. Часть недочетов была устранена, но работа по соответствию приложения всем требованиям GDPR еще не закончена.

ФСБ России рассказывали о проверках применения средств криптографии при обработке персональных данных. По наблюдениям специалистов успешность этой работы зависит от привлечения лицензиата ФСБ для обслуживания криптографии. Эксперты поделились двумя кейсами. С помощью этих кейсов было наглядно продемонстрировано, что привлечение лицензиата ФСБ для установки, настройки, обслуживания СКЗИ и подготовки документации позволяет пройти проверку без единого замечания со стороны регулятора.

ФСТЭК России призывает операторов активнее бороться с публично известными уязвимостями. Для этого они разработали новую бесплатную утилиту – SCANOVAL. Она позволяет автоматизировать процесс обнаружения уязвимостей и подготовки отчетов о них. С помощью утилиты можно отследить уже более 3000 уязвимостей, планируется ещё расширять этот набор.

Заключительным блоком мероприятия был круглый стол с регуляторами, в рамках которого можно было задать наиболее актуальные вопросы в сфере ИБ.

Так, например, существенно разошлась позиция ФСТЭК России и ФСБ России по отношению к использованию сертифицированных СЗИ. ФСТЭК России считает, что в случаях, непрописанных в законе (защита персональных данных или обеспечение безопасности КИИ), можно использовать несертифицированные СЗИ, а оценку соответствия проводить в иной форме. Также регулятор обновил Положение по сертификации СЗИ, в соответствии с которым применение сертифицированных СЗИ существенно упростилось – пользователям теперь не нужно отслеживать сроки действия сертификатов, а в случае обнаружения уязвимостей можно экстренно устанавливать патчи. В свою очередь ФСБ России придерживается позиции, что СЗИ для защиты персональных данных могут быть только сертифицированными и не планирует изменения в Положение об их сертификации.

Наша компания благодарит организаторов конференции за возможность перенять опыт крупных организаций, а также получить комментарии регуляторов по острым вопросам организации и управления ИБ из первых рук.