Приведение деятельности компании в соответствие требованиям нового регламента ЕС по защите персональных данных GDPR (на примере российской медиа-компании)

Наймушин Д.И.

Выпускник группы MBA CSO-29

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Современный мир трудно себе представить без многочисленных каналов передачи информации, без телевидения, радио, сотовой связи и конечно же без сети интернет, которая с каждым годом становится все более значимым средством коммуникации и глобальным банком данных.

Однако важно понимать, что использование благ информационного общества несет в себе и определенные издержки. Одной из таких издержек является «цифровой след», который остается в «сети» при каждом нашем соприкосновении с ней. Это ассоциированная с нами или нашими действиями персональная информация, которая надолго остается в интернете, обрабатывается разными компаниями и алгоритмами, агрегируется, анализируется и используется в коммерческих и иных целях. Вместе с несомненными благами информационного общества мы получаем крайне высокие риски связанные с недобросовестной обработкой персональных данных, в особенности при обработке таких данных в больших объемах. Современная история не раз показывала нам, что даже клиенты больших и уважаемых организаций становятся жертвами утечки персональных данных, несмотря на огромные усилия организаций по защите своих информационных ресурсов

Большое количество инцидентов и осознание масштабов проблемы позволило изменить взгляды мировых элит на вопросы защиты персональных данных. Во многих ведущих странах мира государство включилось в работу по созданию и\или модернизации правовых актов, регулирующих обмен персональными данными.

Безусловно, ключевым нормативным актом для мирового сообщества стал принятый в 2016 году (вступил в силу в мае 2018 года) Регламент ЕС. Именно он послужил толчком для развития законодательства в области Privacy по всему миру и стал основателем новых трендов и тенденций, в т.ч. и на значительное усиление ответственности за нарушения в процессах обработки персональных данных по всему миру.

Так или иначе изменения в законодательстве о защите персональных данных затрагивают любую компанию. Если компания достигла средних размеров и\или ее деятельность связана с систематической обработкой пользовательских данных, то для нее compliance риск нарушения такого законодательства становится весьма актуальным. Подробное исследование вопроса о применимости норм GDPR к каждой конкретной российской компании изложено в основной части дипломной работы. Однако, важно зафиксировать, что если ваша компания обрабатывает персональные данные «европейцев» на постоянной основе, в той или иной степени на нее будут распространяться требования положений Регламента GDPR.

Выполнение норм Регламента позволит избежать огромных штрафов - до $20 млн, или 4% годового оборота компании-нарушителя. Кроме того, на сегодняшний день можно говорить о том, что бережное отношение к персональным данным и исполнение требований GDPR стало базовой линией для европейских компаний, т.к. это позволяет выстраивать более доверительные отношения с клиентами и положительно влияет на репутацию компании. Очевидно, что подобные преимущества будут распространяться и на зарубежные компании, работающие на рынках ЕС.

Объектом исследования для данной дипломной работы выступила одна из крупнейших российских медиа-компаний. Компания работает как на российском рынке, так и для пользователей за пределами РФ ( в т.ч. в ЕС).

Предметом исследования является совокупность явлений, возникающих в организации в процессе трансформации деятельности по обработке персональных данных, в том числе для целей обеспечения постоянного соответствия такой деятельности требованиям GDPR.

Основной целью данной работы является выработка и представление детального Плана для приведения деятельности организации в соответствие требованиям GDPR.

Исходя из вышеописанной цели, можно обозначить следующие задачи дипломной работы:

1. В теоретической части дать характеристику существующих норм по защите персональных данных в ЕС, описать историю развития законодательства в сфере защиты данных, привести примеры толкования норм GDPR регуляторами и экспертными сообществами. Выказать отношение к существующей модели нормативного регулирования и обозначить возможные пути использования законодательства и комментариев для достижения цели данной работы.
2. В методической части в развитие теоретической части описать конкретные разработки, методики и аналитические инструменты, применимые для достижения цели работы. (Проектное управление и профиль проекта, методики аудита на предприятии, методика оценки рисков, методы разработки регламентирующей документации, внедрение PDCA для процессов обработки персональных данных).
3. В практической части описать состояние процессов обработки данных на объекте исследования на момент начала проекта, обозначить однозначные проблемы и несоответствия требованиям GDPR, пошагово описать все этапы проекта по приведению деятельности в соответствие требованиям. Описать шаги, которые необходимо выполнить по завершении проекта для запуска процессного подхода, в части обеспечения соответствия требованиям GDPR на постоянной основе.

По итогу проведенного исследования можно сделать вывод о том, внедрение системы управления privacy, соответствующей требованиям GDPR будет правильным шагом не только с точки зрения стратегии компании в области compliance. Реализация требований GDPR может помочь повысить общий уровень информационной безопасности компании, обеспечить более транспарентную работу при создании и эксплуатации информационных систем. Использование методик внутреннего аудита и оценки рисков также поможет выявить компании и другие имеющиеся проблемы, лишь косвенно связанные с тематикой privacy.

Но даже с точки зрения только соблюдения нормативных требований, реализация проекта, подобного описанному в данной работе создаст предпосылки для дальнейшего обеспечения соответствия не только требованиям GDPR, но и нормам российского законодательства о персональных данных. Кроме того построение системы управления privacy даст основу для выполнения других существующих требований стандартов в области защиты информации (например ISO 27001 и 27002).

Наиболее сложными проблемами на пути реализации требований GDPR со стороны российских компаний может быть признано следующее:

• Процессы обработки персональных данных на интернет сайтах часто реализуются через инструменты партнеров, часто без оформления необходимых документов. Ограничения такой обработки повлекут за собой негативные последствия для эффективности работы компании, что скажется на производительности и доходности бизнеса.
• Низкий уровень подготовки в области privacy (по GDPR) у DPO и необходимость больших затрат на квалифицированного внешнего со знаниями зарубежных практик и опытом коммуникации с регуляторами;
• Отсутствие контактного лица с должным уровнем компетенции непосредственно в ЕС для оперативной очной коммуникации с регуляторами или субъектами данных.

Для того чтобы обеспечить трансформацию деятельности по обработке персональных данных и выполнить требования GDPR недостаточно работы одной, пускай и высококвалифицированной команды. Такая работа должна проводиться в масштабах проекта по всей компании.

Созданная система управления privacy на предприятии не может быть статичной и нуждается в постоянной переоценке и улучшении, так как постоянно меняются процессы внутри компании, взгляды регуляторов на те или иные вопросы, меняются ожидания клиентов, сотрудников и партнеров. Система должна быть максимально гибкой и в то же время обеспечивать постоянное соответствие актуальным требованиям.

Приведенные в дипломной работе конкретные рекомендации, методы и меры не являются исчерпывающими, с учетом формата работы скорее уместно говорить о том, что здесь описаны минимально необходимые меры для создания системы управления privacy, их однозначно необходимо дополнять и развивать в зависимости от специфики конкретной компании.