GDPR и 152-ФЗ: как совет директоров управляет рисками защиты данных

Последние 5 лет ознаменовались резким ужесточением регулирования персональных данных. Это не временный тренд — это необратимое изменение regulatory landscape, к которому нужно адаптироваться системно.

152-ФЗ: последние изменения.. Административные штрафы за нарушения в области ПД существенно выросли. Введены оборотные штрафы за повторные нарушения (до 3% от выручки). Требование об уведомлении об утечках в течение 24-72 часов. Усиление контроля за трансграничной передачей данных. Ответственность руководителей.

GDPR: для работающих с ЕС.. Один из самых строгих законов о защите данных в мире. Применяется к любой компании, обрабатывающей данные граждан ЕС — независимо от местонахождения компании. Штрафы до €20 млн или 4% от мирового оборота. Резонансные дела: Meta (€1,2 млрд штрафа), Google (€50 млн).

Тренд: персональная ответственность руководителей.. В ряде юрисдикций (Великобритания, Сингапур) ответственность за нарушения в области ПД несут директора лично. В России этот тренд пока в начале, но двигается в том же направлении.

Data Privacy Governance Framework.. Назначенное лицо, ответственное за защиту данных (DPO или его аналог). Утверждённая политика обработки персональных данных. Реестр деятельности по обработке. Процедуры реагирования на запросы субъектов ПД и на утечки.

Privacy by Design.. Требование, чтобы все новые продукты, процессы и системы проходили оценку воздействия на privacy (DPIA) до внедрения. Это значительно дешевле, чем «встраивать» защиту в уже работающую систему.

Готовность к инцидентам.. Задокументированный plan response на утечку данных. Знание: кто принимает решение об уведомлении регулятора? В течение скольких часов? Кто коммуницирует с субъектами ПД? Регулярное тестирование плана.

Регулярный аудит.. Ежегодный аудит системы защиты данных. Независимая проверка соответствия требованиям. Результаты — в аудиторский комитет СД.