Главная » Блоги Экспертов И ИТ-Компаний » ПДн. Общее. Что полезного мог бы сделать Минкомсвязи (Роскомнадзор) для безопасности обработки ПДн

ПДн. Общее. Что полезного мог бы сделать Минкомсвязи (Роскомнадзор) для безопасности обработки ПДн

В Евросоюзе (с которым у нас много общего в части законодательства о персональных данных) есть такой орган EuropeanDataProtectionSupervisor (EDPS). Задачи его во много схожи с задачами Минкомсвязи (Роскомнадзор) в части ПДн: контроль обработки ПДн в организациях, мониторинг того что соблюдаются права граждан и безопасность данных.
logo_560x300.png
Но кроме схожих задач EDPSделает ещё некоторые полезные активности, которые хорошо было бы перенять Минкомсвязи или Роскомнадзору:
·         Организация активного сообщества лиц ответственных за организацию обработки и защиты данных (Data Protection Officers, DPO) в гос. органах. Они хорошо друг друга знают, тесно общаются, проводят встречи 2 раза в год с полезными тренингами без воды и продаж (уже 41-ая встреча по плану). Ну и граждане знают своих героев.  
·         Разрабатывают руководства, инструкции, некоторые шаблоны документов, которые необходимо применять в гос. органах, но могут применяться и в других компаниях.
Из недавнего: Руководство по обеспечению безопасности персональных данных получаемых при запросах гос. органами; Руководство по обеспечению безопасности персональных данных при их обработке на webсайтах или в мобильных приложениях; Типовое положение об ответственном за организацию обработки и защиты данных(DPO).   
Рекомендую почитать, хотя некоторые нормы законодательства у нас расходятся, поэтому полезно было бы увидеть подобные рекомендации от российских регуляторов.
·         Для Data Protection Officers есть отдельный раздел, где для них четко и понятно, с инструкциями и шаблонами, объясняется с чего им начинать и что необходимо делать.
·         Помимо основных проверок в рамках гос. контроля, EDPSпроводит также дополнительный анализ и консультации (без наказаний):
-          при получении уведомления о начале обработки данных, EPDSможет сразу запросить дополнительную информацию и проверить законность обработки. Операторы данных перед запуском каких-то критичных сервисов по обработке данных должны предварительно согласовать с EPDS (Opinions Prior Check, Opinions Non Prior Check)
-          организация может обратиться за консультацией к EDPS, задать вопрос, отправить на согласование политики безопасности данных (Consultations, Administrative Measures).
При этом многие ответы, которые имеют общественное значение – публикуются на сайте.
Not all of our replies to consultations are made public; those that we believe are useful for other institutions and the persons affected are published on this website.
В результате имеется хорошая база, в которой многие операторы могут найти интересующий их ответ или пример, не обращаясь за помощью к консультантам или регулятору (что в итоге повышает эффективность)
Несколько недавних примеров:
-          OfficeforInfrastructureandLogisticsinBrusselsпроинформировали что обрабатывают данные в системе 360° tool - feedbackandleadershipcompetencies, указав меры и политики. EDPS дали рекомендации что ещё необходимо предпринять и просили в течении 3х месяцев сообщить о принятых мерах.
-          European Ombudsman отправил на согласование свежую политику обработки данных. EDPSрекомендовали лучше адаптировать политику к конкретным условиям обработки данных (была не учтена одна из ИС – CMS, просили более подробно описать принципы защиты и права субъектов, принципы взаимодействия с субъектом и т.п.) и предоставить свидетельства выполнения в течении 3х месяцев
-          EDPSспросили, законно ли обрабатываются данные чиновников на портале EU Whoiswho Directory (публичный телефонный справочник), какие права есть у субъектов и какие меры защиты должны быть приняты. Тут просто дали публичный ответ.
В целом, среди этой информации можно найти достаточно много полезной и для российских операторов, но лучше накапливать локальные практики и регулятору не стесняться публично доносить свою позицию по тем или иным вопросам обработки ПДн.
PS: Про другие практики из Евросоюза: NIS Directive


Источник: http://sborisov.blogspot.com/2017/06/blog-post 9.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии

Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>