Skip to content Skip to footer
Поиск

Загрузка результатов

Роль технологий в обеспечении защиты данных

Недостающее звено при обеспечении соответствия GDPR

GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свои подходы к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.

Раньше оператор мог добавлять механизмы защиты персональных данных в последний момент по своему усмотрению. С вступлением в силу GDPR такие механизмы превратились в обязательный компонент информационных систем, который должен быть запланирован заранее. Оператор также должен оценить достаточность внедряемых мер по отношению к рискам нарушения прав и свобод физических лиц.

Контроль использования технологий обработки данных

GDPR разработан с учетом возможностей современных технологических платформ и направлен на контроль легитимности их использования. Требования закона призваны создать условия, которые бы не позволяли лицам, занимающимся обработкой данных, нарушать права и свободы физических лиц или создавать повышенный риск нарушений безопасности данных.

Однако, в повседневной практике системы обработки данных могут внедряться без учета требований по защите данных и минимизации их распространения. Часто собранные персональные данные распределяются в компаниях и передаются третьим лицам в соответствии с устоявшимися бизнес-процессами без требуемого контроля.

GDPR вносит два новых принципа защиты персональных данных:

  • Запланированная защищенность данных

В соответствии с принципом запланированной защищенности данных (“data protection by design”), компания должна рассматривать вопросы защиты персональных данных на этапе планирования систем обработки и бизнес-процессов и предусмотреть меры защиты до их внедрения. При этом меры защиты должны быть выбраны компанией с учетом предполагаемых рисков, специфики обработки и соответствовать уровню развития технологий.

  • Защищенность данных по умолчанию

Принцип защищенности данных по умолчанию (“data protection by default”) требует, чтобы объем и состав обрабатываемых персональных был минимально достаточным для достижения целей обработки. Данный принцип также распространяется на обеспечение минимальной продолжительности хранения данных и минимального доступа к ним внутри компании и среди третьих лиц.

Оценка технологической среды обработки персональных данных

Требования GDPR по обработке инцидентов, связанных с нарушением безопасности персональных данных, и обеспечению защиты вынуждают операторов более ответственно подходить к выбору технологий для их обработки.

Оптимизация технологической среды, участвующей в обработке персональных данных, позволяет компаниям лучше контролировать процессы обработки данных, снижает затраты ресурсов компании на поддержание защитных мер и минимизирует риск возникновения инцидентов.

Мы рекомендуем операторам предпринять несколько шагов для оптимизации технологий, используемых для обработки персональных данных:

Оценить роль используемых технологий в достижении целей обработки

Компании требуется идентифицировать программное обеспечение и информационные системы, используемые для обработки данных, и определить их вклад в достижение конечных целей обработки. Оценка позволит выявить пути минимизации обработки данных и сократить область применимости требований GDPR к технологиям и информационным системам.

Подробнее

Определить возможность внедрения мер защиты

На данном шаге необходимо оценить возможность реализации принципов защиты данных в используемых технологиях и информационных системах, с учетом имеющейся в компании технологической среды.

Подробнее

Провести оценку экономической эффективности

Мы рекомендуем проанализировать экономическую эффективность (соотношение затрат и выгод) внедрения технологических изменений, требуемых по GDPR. Основная цель такого анализа – получить представление об объеме необходимых ресурсов для приведения в соответствие с требованиями GDPR и определить подходящий способ трансформации.

Подробнее

Документировать проведенный анализ и процесс трансформации

Компания должна документировать проведенный анализ и процесс трансформации, чтобы иметь возможность продемонстрировать регулятору записи, подтверждающие выполнение требований GDPR.

Подробнее

Риски несоблюдения законодательства

Выбирая оптимальные пути трансформации технологий, компании должны помнить о том, что отсутствие необходимых технологий впервые создает реальный риск и может стать причиной репутационных и финансовых потерь.

Помимо риска наложения надзорными органами административных штрафов, несоответствие GDPR может нести риски судебных разбирательств, инициированных физическими лицами, и необходимости выплаты компанией компенсаций субъектам персональных данных.

Контакты

Виталий Соколов

Виталий Соколов

Партнер отдела анализа и контроля рисков, лидер практики по оказанию услуг в области кибербезопасности и непрерывности бизнеса, PwC в России

Тел: +7 (495) 967 6153

Елизавета Дмитриева

Елизавета Дмитриева

Старший консультант, услуги в области обработки и защиты персональных данных, PwC в России

Тел: +7 (495) 967 6000, доб. 3821

Мы в социальных сетях