учебный год 2023 / 6 лекция
.pdfБезопасность обработки: GDPR
1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять соответствующие технические и организационные меры, обеспечивающие надлежащий уровень безопасности соразмерный этим рискам, включая, среди прочего, следующее:
(a)псевдонимизация и криптографическая защита персональных данных;
(b)средства для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
(с) средства своевременного восстановления доступности и доступа к персональным данным в случае природного или технического инцидента;
(d) процедура регулярной проверки и оценки эффективности технических и организационных мер, обеспечивающая безопасность обработки. .
152-ФЗ: Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей
К таким мерам могут, в частности, относиться:
1)назначение оператором ответственного за организацию обработки персональных данных;
2)издание оператором политики оператора в отношении обработки персональных данных,;
3)применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4)осуществление внутреннего контроля и (или) аудита;
5)оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
6)ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данныхи (или) обучение указанных работников.
Безопасность обработки: 152-ФЗ
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в государственных информационных системах
персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
Уполномоченный орган
По GDPR |
По 152-ФЗ |
|
|
Полная независимость при осуществлении |
Подчинен Министерству |
своих функций |
|
|
|
Полномочия по расследованию |
Право на проверку сведений |
|
|
Право доступа к данным |
|
|
|
Меры пресечения (право давать |
меры по приостановлению или |
распоряжения о блокировании, стирании |
прекращению обработки |
или разрушении данных, право вводить |
персональных данных; блокировка |
временный или окончательный запрет на |
сайтов |
обработку) |
|
|
|
Право на участие в судебных делах |
Право обращаться в суд с исковыми |
|
заявлениями в защиту прав субъектов |
|
персональных данных и представлять |
|
интересы в суде |
|
|
Международное сотрудничество и |
Сотрудничество с зарубежными |
консультации |
уполномоченными органами |
|
|
Уведомление
•В GDPR заменено принципом транспарентности
•Уведомление осуществляется до начала обработки;
•Широкие возможности по установлению освобождения от уведомления для случаев, когда права субъектов не будут затронуты такой обработкой
Трансграничная передача
•Нет ограничений на передачу персональных данных в страны, обеспечивающие адекватный уровень их защиты;
•Установлены ограничения на передачу персональных данных в иные страны (отдельное согласие субъекта)
Локализация
При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Ответственность
•Административная и уголовная (перед государством)
•Гражданская (перед субъектом данных)
Ответственность
Территориальными органами Роскомнадзора за 1 полугодие 2019 года:
•составлено 2 691 протоколов,
•выдано 410 предписаний об устранении выявленных нарушений
•наложено административных штрафов на сумму 1362200 рублей, из них взыскано 820 850 рублей.
Статистика по возмещению убытков и морального вреда отсутствует
Протоколы
В 2017 году Роскомнадзором в результате проведённых проверок или иных мероприятий по контролю было составлено 7103 протокола об административном правонарушении, из которых:
•по ст. 13.11 КоАП РФ (начиная с 01.07.2017) – 65
протоколов;
•по ст. 19.4 КоАП РФ – 18 протоколов;
•по ст. 19.4.1 КоАП РФ – 6 протоколов;
•по ст. 19.5 КоАП РФ – 19 протоколов,
•по ст. 19.7 КоАП РФ – 6988 протоколов