Data protection RU vs EU

1. Data Protection:
Russian Style vs European Style
Andrey Prozorov, CIPP/E, CISM
2020-04-14

2. Зачем все это нужно знать?
• В Европе сейчас накапливается огромный опыт по обработке и
защите персональных данных, тема очень актуальна (в отличие
от России)
• Россия находится в позиции «догоняющей» («отстающей»)
• Надеемся на «железный занавес» и изоляцию?
Выравнивать требования все равно придется...

3. Основные области отличия
• Надзорные органы и их подходы
• Минимизация данных и ограничение по цели
• Основания для обработки
• Оценка воздействия
• Утечки данных
• Передача данных в другие страны
• И другое

4. Надзорные органы
• Минимум рекомендаций, они
низкого качества (а порой и
противоречивые), темы не
актуальные
• Мало полномочий
• Минимальные штрафы. Ну, кроме
штрафа за отсутствие БД на
территории РФ (до 6 млн)
• Очень много рекомендаций и
разъяснений по актуальным темам
• Широкие полномочия надзорных
органов (GDPR Art.58)
• Большие штрафы, в основном за
нарушение прав субъектов ПДн.
Штрафы соразмерны размеру (и
обороту) компании и имеют
«сдерживающее воздействие»

5. Минимизация данных1
152-ФЗ
Статья 14. Право субъекта персональных данных
на доступ к его персональным данным
3. … Запрос должен содержать номер основного
документа, удостоверяющего личность субъекта
персональных данных или его представителя,
сведения о дате выдачи указанного документа и
выдавшем его органе, сведения,
подтверждающие участие субъекта персональных
данных в отношениях с оператором (номер
договора, дата заключения договора, условное
словесное обозначение и (или) иные сведения),
либо сведения, иным образом подтверждающие
факт обработки персональных данных
оператором, подпись субъекта персональных
данных или его представителя.
Finnish Data Protection Act
Section 29 Processing of personal identity codes
A personal identity code may be processed if the
data subject has given consent to it or if so
provided by law. A personal identity code may also
be processed if it is necessary to uniquely identify
the data subject: 1) in order to perform a statutory
duty; 2) in order to implement the rights and duties
of the data subject or the controller; or 3) for
scientific or historical research purposes or
statistical purposes. …
A personal identity code shall not be unnecessarily
entered into documents printed out from or drawn
up based on a filing system.

6. Минимизация данных2
• Минимизация сбора ПДн
заявляется, но, по факту,
реализуется как придется…
• Примеры: сканирование паспортов
в гостиницах и на проходных,
покупка билетов, запросы субъектов
ПДн, содержащие полные
паспортные данные, и пр.
• Очень много законодетельных
требований для сбора.
А надо ли?
• Лучше собрать меньше, чем
больше
• ID только для установления
личности
• Минимизация данных – важная
идея Data protection by design and
by default

7. Основания для обработки
• 12 оснований, «законный интерес»
практически не используется
• Получение согласие – основной
механизм легализации сбора ПДн.
Его берут по любому поводу и без
(прием на работу, гостиницы,
мед.услуги, пропуск на территорию и
пр.). Без согласия услуги не
предоставляют…
• Сбор согласия при наличии других
оснований для обработки – Ок (152-ФЗ
ст.9)
• 6 оснований для обработки
• Согласие – самый не популярный и
рисковый вариант легализации сбора ПДн
• Уточняется, что согласие под принуждением
(если дается зависимой стороной) не имеет
юридической силы.
• Сбор согласия при наличии других
оснований для обработки – нарушение
(и штраф)
• Законный интерес часто используют для
легализации СЗИ (privacy in working life)

8. Оценка воздействия
• Требование есть, но оценка и контроль
обычно не производятся
Статья 18.1. Меры, направленные на
обеспечение выполнения оператором
обязанностей, предусмотренных настоящим ФЗ
5) оценка вреда, который может быть причинен
субъектам персональных данных в случае
нарушения настоящего ФЗ она, соотношение
указанного вреда и принимаемых оператором
мер, направленных на обеспечение выполнения
обязанностей, предусмотренных настоящим ФЗ
• GDPR Section 3. Data protection impact
assessment and prior consultation (2 стр.)
• DPIA – один из элементов подтверждения
Accountability
• Если риски высоки, то надо уведомить
надзорный орган
• Есть рекомендации, шаблоны и ПО (CNIL)
• Рекомендуется все процессы и новые
технологии проводить через такую оценку.
В том числе и при внедрении новых СЗИ
(DLP, CCTV, NGFW, SIEM, UEBA)…

9. Утечки данных
• Не утечки, а информационные
атаки :)))
• Требований (и практики) по
уведомлению нет, штрафов нет*,
даже проверки обычно не проводят
(максимум запрос)
• *Есть штраф КоАП 13.11 п.6 про
защиту ПДн на носителях
без использования средств
автоматизации (по сути, бумага), до
50 000 рублей
• Data breach – это не только утечка,
а, в целом, нарушение КЦД
• Об инцидентах необходимо
уведомлять надзорный орган и
субъектов ПДн (в зависимости от
возможного ущерба)
• Можно получить штраф и за
нарушение безопасности данных и
за несвоевременное уведомление
• Много рекомендаций

10. Передача данных в другие страны
• Россия: США не обеспечивает
адекватную защиту
• Россия: ЕС обеспечивает
адекватную защиту прав субъектов
ПДн
• Операторы ПДн обязаны
обрабатывать ПДн с
использованием БД на территории
РФ. За это максимальные штрафы
• ЕС: США обеспечивает адекватную
защиту только для компаний,
подпадающих под Privacy Shield
• ЕС: Россия НЕ обеспечивает
адекватную защиту прав субъектов
ПДн. Для передачи должны быть
дополнительные основания и
информирование субъектов о
возможных рисках

11. Другие отличия
• Transparency
• Accountability
• Data protection by Design and by Default
• Anonymisation and pseudonymization
• Appropriate technical and organisational measures
• Records of processing activities
• Simpler requirements for SMEs
• Certification
• DPO
• …

12. 12
Андрей Прозоров, CIPP/E, CISM
• Мой Патреон (ISMS and GDPR toolkits) -
www.patreon.com/AndreyProzorov
• Мой блог - http://80na20.blogspot.com
• Эл.почта - prozorov.info@gmail.com
Спасибо!