По случаю Международного дня защиты персональных данных 28 января в Центре был организован ряд масштабных мероприятий, в которых приняли участие специалисты, интересующиеся сферой, со всех уголков страны.
Так, совместно с международной консалтинговой компанией ”Дата Прайваси Офис“ проведён митап, в рамках которого эксперты в сфере приватности обсудили мировые тренды в сфере защиты персональных данных, детально разобрав актуальные вопросы трансграничной передачи данных, защиту конфиденциальности детей и регулирование искусственного интеллекта в зарубежных юрисдикциях в контексте защиты личных данных. Более ста участников присоединились к митапу онлайн.
Специалисты, ответственные за осуществление внутреннего контроля за обработкой персональных данных в организациях различных форм собственности, обменялись опытом работы в рамках круглого стола.
Так, Анна Стрельчик, DPO ООО ”Дженерал лизинг“ рассказала о своем опыте организации внутреннего контроля за обработкой персональных данных и дала рекомендации по улучшению системы обработки персональных данных для своих коллег:
- Создавайте карты потока данных для визуализации процессов.
- Регулярно пересматривайте права доступа.
- Внедрите автоматическое удаление устаревших данных.
- Организуйте ”горячую линию“ для экстренных ситуаций.
- Проводите стресс-тесты систем и сотрудников.
- Повышайте мотивацию сотрудников через поощрения и обучение.
- Организуйте мероприятия для повышения осведомленности о важности защиты данных.
Руководитель службы по защите информации ЗАО ”ПАТИО“ Максим Гречаников разобрал аспекты обработки персональных данных при направлении рекламной рассылки.
Он также подготовил рекомендации для DPO компаний, осуществляющих рассылку сообщений:
- Определите минимально необходимый срок хранения персональных данных в ПО агрегатора, закрепите этот срок в договоре или соглашении об обработке персональных данных.
- Согласуйте с агрегатором порядок удаления и подтверждения удаления персональных данных. Отличной практикой является реализация агрегатором ”автоудаления“ персональных данных в ПО.
- Обеспечьте удаление персональных данных агрегатором при реализации прав субъектов (например, отзыв согласия на направление рекламы).
- Осуществляйте периодический контроль удаления персональных данных агрегатором посредством контроля лог-файлов рассылки в рекламном кабинете, который создан для вашей компании в ПО агрегатора.
- Осуществляйте удаление загруженных ”аудиторий“ рассылки в рекламном кабинете вашей компании.
- Проведите анализ, контроль, корректировку, а в некоторых случаях, исключите (как при осуществлении рекламной рассылки, так и при осуществлении сервисной рассылки в рамках договорных отношений) персональные данные, которые содержатся в сообщении, в том числе при направлении viber-сообщений, в части наличия специальных персональных данных (например, сведений о состоянии здоровья), ”чувствительных“ ПД (например, сведения о финансовых транзакциях).
- Совместно с лицами, ответственными за рассылку, проанализируйте и осуществите разграничение сообщений на рекламные и сервисные для последующего определения правовых оснований обработки.
Завершил практических блок Виктор Андрощук, DPO Международной ИТ-компании, который рассказал об автоматизации ведения реестра обработки персональных данных. На сегодняшний день в его компании внедрен функциональный модуль ”Реестр обработки персональных данных“, который позволяет с использованием готовых шаблонов и информационных справочников:
- создавать карточки активов (ресурсов) персональных данных и их обработок;
- поддерживать актуальность данных в соответствии с требованиями законодательства;
- анализировать данные на основе различных критериев (по цели обработки, по структурному подразделению, по информационному ресурсу, по функциям и т.п.);
- формировать справочные документы на основе данных, хранимых в функциональном модуле;
- эффективно использовать временные ресурсы специалиста по контролю за обработкой персональных данных.
В рамках дискуссионной панели участники обменялись мнениями по вопросам взаимоотношений оператора и уполномоченного лица и оценки рисков, связанных с обработкой персональных данных.
Подводя итоги мероприятия, директор Национального центра защиты персональных данных Андрей Гаев отметил ценность подобного обмена опытом и лучшими практиками. Он поблагодарил специалистов в сфере защиты персональных данных, которые добросовестно подходят к своей работе, и не только соблюдают законодательство, но и выступают с инициативами по развитию сферы, способствуя тем самым созданию безопасного информационного пространства для граждан.