info@b-152.ru +7 (499) 372-06-52 Заказать звонок

Автоматизация защиты персональных данных: как соответствовать 152-ФЗ и не разориться

Приняв решение внедрить в бизнес-процесс средства автоматизации обработки персональных данных (ПДн), необходимо позаботиться о соблюдении при их использовании действующего законодательства. Чтобы не нарушить составляющих его пунктов и подзаконных актов, оператору требуется четко понимать их суть. Поэтому рассмотрим, каким же образом следует трактовать законодательные нормы, касающиеся сбора, хранения и передачи ПДн, использующихся в сфере обеспечения информационной корпоративной безопасности.

У большинства российских компаний нет выделенных сотрудников Data Protection Officer в штате, которые бы занимались защитой персональных данных. Таких специалистов в России в принципе очень мало, и стоят они дорого.

При этом во многих странах, с которыми работает отечественный бизнес, появляются новые национальные законы о защите персональных данных и ужесточаются старые. Растет количество обращений субъектов ПДн с требованием прекратить обработку данных, фиксируется большое число судебных исков. На это накладывается изменение текущих цепочек поставок и потоков персональных данных, особенно трансграничных (теперь для России все идет через Армению, Грузию, Казахстан, Сингапур, Турцию, Дубаи), что меняет общий ландшафт требований по защите ПДн: компаниям необходимо обновлять документацию и техническую защиту.

Как в этих условиях обезопасить бизнес от исков субъектов данных, от штрафов РКН и больших затрат на приведение процессов в соответствие с законодательством? Ответ один: автоматизация персональных данных. 

Автор обзора — Максим Лагутин, основатель и исполнительный директор legalTech компании «Б-152», эксперт по защите ПДн, автор курса Data Protection Officer, участник рабочей группы Центра компетенций Роскомнадзора, член правления Ассоциации специалистов по защите ПДн (RPPA). 12 лет опыта по приведению компаний в соответствие с 152-ФЗ и GDPR, среди клиентов — Henkel, Эльдорадо, Philips, Lacoste и другие.

Какие классы средств автоматизации защиты персональных данных доступны на рынке в РФ

1. Privacy Program Management

Это решения, созданные специально для работы отделов защиты персональных данных. Они заточены под командную работу, позволяют ставить и контролировать задачи. Представляют собой единую систему управления приватностью в компании.

 

2. Assessment managers

Класс решений, позволяющих проводить оценку воздействия на конфиденциальность, контролировать риски защиты персональных данных и формировать необходимую отчетность. По умолчанию определяют риски по европейскому GDPR, американскому CCPA, канадскому PIPEDA, бразильскому LGPD.

 

3. Consent Managers

Решения по автоматизации сбора персональных данных, контроля и учета предоставления согласий на обработку ПДн. Такое ПО хранит полную информацию по доказательствам сбора согласия, контроля отозванных и действующих согласий и т.д.
 

4. Data Mapping

Решения по ручному и автоматизированному составлению потоков данных. Это первый шаг для Privacy-инженеров. Здесь есть два класса решений:

- учет и автоматизация обработки персональных данных или же процессов обработки ПДн (таблицы, excel, word)

- Data Wall: на интерактивной карте мы видим техническую информацию: как ПДн ходят по системам или внутри компаний, какие данные ходят к контрагентам. Иными словами, это решение позволяет видеть полную картину обработки и защиты ПДн.

5. Data Subject Request

Решения по ручному или автоматизированному учету и контролю за запросами субъектов данных. Под GDPR и нашему закону считается, что жалобы физлиц — это такой значимый риск. В связи с этим нам необходимо учитывать с десятки, а в Европе часто и сотни запросов.

 

Почему важно контролировать и учитывать запросы субъектов данных?

Удаление ПДн — очень сложный процесс. Необходимо определить, в каких целях обрабатываются данные и позволяет ли закон удалить их, далее требуется определить местонахождение данных, сделать запросы на удаление администраторам систем, проверить уничтожение, составить акты об уничтожении и т.д.

В связи с тем, что в процесс удаления ПДн субъекта вовлечено множество людей, отделов, систем, необходимо постоянно контролировать, на каком этапе сейчас находится эта работа. Ручной контроль для каждого субъекта потребует несравнимого количества времени сотрудников, поэтому необходима автоматизация персональных данных. 

 

6. Incident Response

Класс решений, помогающих реагировать на инциденты безопасности персональных данных и определять необходимость уведомления надзорных органов. Программа выявляет возможный ущерб, анализирует, какие данные пострадали и т.д.

 

7. Privacy Information Managers

Решения, предоставляющие актуальную информацию по изменению законодательств в области Privacy. Аналог «Консультант+», заточенный под Privacy. Позволяет в одном месте видеть все актуальное законодательство, разъяснения с разными мнениями, подзаконные акты, а также судебную практику буквально со всех стран мира. На данный момент таких решений мало на мировом рынке, он есть у IAPP (сейчас доступен через VPN) и еще пары компаний. 

 

8. Website Scanning

Автоматизированные решения, позволяющие автоматически выявлять обрабатываемые cookie, пиксели, прочие маяки и персональные данные на сайтах. Львиная доля этих решений сразу создают вам согласие на cookie в виде всплывающих баннеров и pop-up окон. Это базовый функционал, таких сервисов на рынке очень много.

 

9. Enterprise Privacy Management

Решения, заточенные под управление приватностью в международных организациях с большим количеством участников. Как правило, у них есть свой маркетплейс, где можно что-то добавлять или убирать из функционала. Представитель такого класса решений — компания OneTrust, большой программный комбайн, где есть все и требуется глубокая настройка под себя.

 

10. Activity Monitoring

Контроль за обменом персональными данными и доступом к этим данным в режиме реального времени. Одно из таких решений — Северен-Телеком. Встраивается в API и пропускает весь веб-трафик через себя, определяя виды проходящих через него данных и предлагая возможность ставить определенные правила.

 

11. Data Discovery

Решения по автоматизированному выявлению и классификации/категоризации персональных данных. Обычно используется для выявления в базах данных документов, содержащих ПДн, и определению типов этих ПДн. Позволяют увидеть, в каком хранилище и каком файле какие данные содержатся. Очень дорогое решение: за сканирование 1 ТБ данных придется заплатить от $200, при этом требуется сложная настройка.

 

12. Deidentification/Pseudonymity

Решения по анонимизации и обезличиванию персональных данных. Очень популярный класс, так как во всем мире именно шифрование считается одним из лучших решений для защиты ПДн.

 

13. Enterprise Communications

Это решения по защищенному обмену данными внутри компании.
 

14. Documents Generator

Класс решений, которые позволяют в полуручном или автоматическом режиме разрабатывать документы по ПДн: политики конфиденциальности, согласия, поручения, предложения, приказы, регламенты и т.д. Самый популярный класс решений в России.

 

Дополнительно: полный обзор всех возможных решений в мире на английском языке есть в большом PDF-файле.

Какие средства автоматизации рекомендуем использовать

Подборка решений, разработанных компанией Б-152:

Privacy Check - бесплатный конструктор Политики конфиденциальности с искусственным интеллектом. Подходит для малого бизнеса.

Б-152 Документы - простой генератор необходимых документов по персональным данным. Подходит для среднего бизнеса.

Privacy Box - Privacy Management платформа с расширенной автоматизацией для компаний в России (средний и крупный бизнес)

Б-152 — единственное российское решение, вошедшее в отраслевую подборку PrivacyTech международной организации IAPP. Кроме того, признано продуктом года по версии российской ассоциации специалистов защиты данных RPPA:

Даже если вы уже используете автоматизацию персональных данных, обратите внимание на страну происхождения программного обеспечения: если вы планируете работать в России, скорее всего придется перейти на российское ПО. Хорошая новость: России есть решения под любой вид бизнеса, размер компании, любой бюджет. 

 

Нанять сотрудника или поставить ПО для автоматизации ПДн?

Если вы хотите должным образом заниматься персональными данными и не иметь проблем с законом, Роскомнадзором, с субъектами ПДн, то мы рекомендуем использовать автоматизацию персональных данных. Во-первых, нехватка кадров на рынке до сих пор существует. Во-вторых, ответственным за обработку ПДн часто не хватает знаний в Privacy. В этом случае рекомендуем приобрести программное решение и одновременно отправить сотрудника на повышение квалификации.

Например, к нам в Б-152 приходят на обучение люди, в том числе после других курсов для DPO, которым не хватило практики, вот их отзывы:

С 15 ноября мы запускаем новый поток практического онлайн-курса Data Protection Officer от компании Б-152. Обучение длится 2 месяца, за это время эксперты Privacy с 12-летним опытом обучают студентов всем практически вещам от описания процессов, Risk Assessment до проведения процедуры DPIA. 

***

Автоматизируйтесь, учитесь и обращайтесь в Б-152, если у вас остались вопросы по защите персональных данных.

Подписаться на рассылку новостей

Ваш email

Нажимая кнопку, вы соглашаетесь с правилами обработки персональных данных