Что изменилось в регулировании персональных данных
Последние 5 лет ознаменовались резким ужесточением регулирования персональных данных. Это не временный тренд — это необратимое изменение regulatory landscape, к которому нужно адаптироваться системно.
152-ФЗ: последние изменения. Административные штрафы за нарушения в области ПД существенно выросли. Введены оборотные штрафы за повторные нарушения (до 3% от выручки). Требование об уведомлении об утечках в течение 24-72 часов. Усиление контроля за трансграничной передачей данных. Ответственность руководителей.
GDPR: для работающих с ЕС. Один из самых строгих законов о защите данных в мире. Применяется к любой компании, обрабатывающей данные граждан ЕС — независимо от местонахождения компании. Штрафы до €20 млн или 4% от мирового оборота. Резонансные дела: Meta (€1,2 млрд штрафа), Google (€50 млн).
Тренд: персональная ответственность руководителей. В ряде юрисдикций (Великобритания, Сингапур) ответственность за нарушения в области ПД несут директора лично. В России этот тренд пока в начале, но двигается в том же направлении.
Что совет директоров должен обеспечить в области защиты данных
Data Privacy Governance Framework. Назначенное лицо, ответственное за защиту данных (DPO или его аналог). Утверждённая политика обработки персональных данных. Реестр деятельности по обработке. Процедуры реагирования на запросы субъектов ПД и на утечки.
Privacy by Design. Требование, чтобы все новые продукты, процессы и системы проходили оценку воздействия на privacy (DPIA) до внедрения. Это значительно дешевле, чем «встраивать» защиту в уже работающую систему.
Готовность к инцидентам. Задокументированный plan response на утечку данных. Знание: кто принимает решение об уведомлении регулятора? В течение скольких часов? Кто коммуницирует с субъектами ПД? Регулярное тестирование плана.
Регулярный аудит. Ежегодный аудит системы защиты данных. Независимая проверка соответствия требованиям. Результаты — в аудиторский комитет СД.
Бесплатная диагностика — результат за 5 минут
Практические шаги: с чего начать совету директоров
Для советов директоров, которые только начинают системно заниматься вопросами защиты данных, рекомендуем следующую последовательность действий.
Шаг 1: аудит текущего состояния. Что компания собирает, хранит и обрабатывает? Где хранятся данные? Кто имеет к ним доступ? Есть ли трансграничная передача? Ответы на эти вопросы часто оказываются неполными — и это само по себе индикатор проблемы.
Шаг 2: назначение ответственного лица. В компаниях, обрабатывающих значительные объёмы ПД, необходимо назначить DPO (Data Protection Officer) или его аналог. Это должен быть специалист, имеющий прямой доступ к совету директоров по вопросам защиты данных.
Шаг 3: разработка плана реагирования на утечки. По новым требованиям 152-ФЗ компания обязана уведомить Роскомнадзор в течение 24 часов с момента обнаружения утечки. Без заранее подготовленного плана уложиться в этот срок практически невозможно. План должен быть протестирован через табличное учение хотя бы раз в год.
Шаг 4: включение ПД-рисков в корпоративную карту рисков. С введением оборотных штрафов до 3% от выручки риски в области ПД перестали быть «IT-вопросом». Аудиторский комитет должен оценивать эти риски наравне с финансовыми и операционными.