Как соответствовать требования GDPR, оказывая сервис из России?

284 просмотры
0 Лайки
0 0

Поделиться в социальных сетях

Поделиться Ссылкой

Use permanent link to share in social media

Поделиться с другом

Пожалуйста Логин послать это presentation по электронной почте!

Встроить в свой сайт

Выберите страницу, чтобы начать с

21. СПАСИБО ЗА ВНИМАНИЕ!

9. GDPR Compliance Project #CODEIB

19. Summary #CODEIB

3. Еще раз про GDPR #CODEIB

6. DATA SUBJECT Обработка ПДн DATA CONTROLLER DATA PROCESSOR

13. ICL - Services GDPR Readiness Project Results #CODEIB

8. Обеспечение ИБ – один из принципов обработки ПДн по GDPR #CODEIB

20. Summary ОПРЕДЕЛИТЕ ПЕРЕЧЕНЬ КОНТРАГЕНТОВ ПОДГОТОВЬТЕ НЕОБХОДИМЫЕ ДОКУМЕНТЫ, ВЫДЕЛИТЕ РОЛЬ DPC(DPO) ОБУЧИТЕ СОТРУДНИКОВ РАЗРАБОТАЙТЕ И ВНЕДРИТЕ ПРОЦЕССЫ ОПРЕДЕЛИТЕ ПЕРЕЧЕНЬ СИСТЕМ, ОБРАБАТЫВАЮЩИХ ПДн ОПРЕДЕЛИТЕ СВОИ РОЛИ В ОТНОШЕНИИ КОНТРАГЕНТОВ

7. 1 ЗАКОННОСТЬ, СПРАВЕДЛИВОСТЬ И ПРОЗРАЧНОСТЬ 2 ОГРАНИЧЕНИЕ ЦЕЛИ МИНИМИЗАЦИЯ ДАННЫХ 4 ТОЧНОСТЬ 3 5 ОГРАНИЧЕНИЕ ХРАНЕНИЯ 6 принципов обработки данных по GDPR #CODEIB 6 ЦЕЛОСТНОСТЬ И КОНФИДЕНЦИАЛЬНОСТЬ

11. 1 АНАЛИЗ ПРОЦЕССОВ, СВЯЗАННЫХ С ПЕРЕДАЧЕЙ ДАННЫХ 2 УВЕДОМЛЕНИЯ ОБ УТЕЧКАХ РЕАЛИЗАЦИЯ «ПРАВА НА ЗАБВЕНИЕ» ( RTBF ) 4 РЕАЛИЗАЦИЯ ЗАПРОСОВ НА ОБРАБОТКУ ДАННЫХ (SAR) 3 5 ОПИСАНИЕ ЖИЗНЕННОГО ЦИКЛА ДАННЫХ РАЗРАБОТКА ПОЛИТИК И ПРОЦЕССОВ #CODEIB

10. 1 ОПРЕДЕЛЕНИЕ ВСЕХ СТОРОННИХ ПОСТАВЩИКОВ, СИСТЕМ И СЕРВИСОВ ТРЕТЬИХ СТОРОН, ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ 2 ВЫПОЛНЕНИЕ DATA MAPPING ВСЕХ ВЫЯВЛЕННЫХ СИСТЕМ И СЕРВИСОВ ТРЕТЬИХ СТОРОН, ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПОДГОТОВКА И УТВЕРЖДЕНИЕ ПЛАНА ДЕЙСТВИЙ ПО КАЖДОЙ ИЗ СИСТЕМ 3 DATA MAPPING #CODEIB

12. 1 АУДИТ СИСТЕМ, ИСПОЛЬЗУЕМЫХ СОВМЕСТНО С ПАРТНЕРАМИ, ОБРАБАТЫВАЮЩИХ ПДН ЗАКАЗЧИКОВ 2 АУДИТ ВНУТРЕННИХ СИСТЕМ, ОБРАБАТЫВАЮЩИХ ПДН ЗАКАЗЧИКОВ АУДИТ САЙТОВ ОБРАБАТЫВАЮЩИХ ПДН ЗАКАЗЧИКОВ 4 РАЗРАБОТКА ПЛАНОВ И МЕТОДОВ РЕАГИРОВАНИЯ 3 5 ПРИВЕДЕНИЕ СИСТЕМ В СООТВЕТСТВИЕ С GDPR СООТВЕТСТВИЕ СИСТЕМ #CODEIB

1. КАМИЛА ИОСИПОВА, МИХАИЛ ЦЫКАРЕВ КОМПАНИЯ ICL - SERVICES EMAIL : K amila.Balzamova @ icl - services .com Mikhail.Tsykarev@icl - services.com КАК СООТВЕТСТВОВАТЬ GDPR , ОКАЗЫВАЯ СЕРВИС ИЗ РОССИИ 25 октября 2018 г. г. Казань #CODEIB

15. Data Protection Consultant  Разработана ролевая инструкция Data Protection Consultant Role Profile  Обязанности Data Protection Consultant :  Разработка документов, процессов  Осведомленность сотрудников компании по вопросам GDPR  Координация исполнения запросов и инцидентов на тему GDPR  Взаимодействие с DPO Data Controller/ заказчика  Инвентаризация ПДн  Пересмотр DTA

2. 1 Еще раз про GDPR • Цель закона • Основные термины • 6 принципов обработки данных по GDPR • Права субъектов ПДн • Риск несоответствия Russia GDC требованиям GDPR 2 GDPR COMPLIANCE PROJECT • Data mapping • Политики • Процессы ICL - SERVICES GDPR READINESS • GDPR Policy • Data Protection Consultant • Обработка запросов( Data Controller Requests ) • Аудит и отчетность • Реагирование на инциденты 4 SUMMARY 3 СОДЕРЖАНИЕ #CODEIB

4. Цель закона • 25 мая вступил в силу GDPR – новый европейский закон о защите персональных данных граждан ЕС • Цель закона - предоставить гражданам ЕС инструменты для полного контроля над своими персональными данными • GDPR имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, независимо от местонахождения такой компании

18. Internal use only GDC © 2018 18 Аудит и отчетность  Группа Внутреннего аудита отвечает за проверку соответствия подразделений компании политике GDPR Policy  Мы предоставляем право нашим заказчикам проводить GDPR аудиты Любой сотрудник, который нарушает GDPR Policy компании будет подвергнут дисциплинарному взысканию, а также может быть подвергнут гражданским или уголовным обязательствам, если его поведение нарушает законы или правила Российской Федерации .

14. GDPR Readiness Project Results  В рамках стратегического проекта « GDPR compliance» :  разработан ряд документов, в том числе General Personal Data Protection Policy  разработаны новые положения в контракты  создан новый класс инцидента ИБ – Personal Data Breach  Разработана ролевая инструкция Data Protection Consultant Role Profile  Провели тренинг по GDPR в e - learning системе  Включили пункты про GDPR в план адаптации новых сотрудников

16. DATA SUBJECT Обработка запросов ( Data Controller Requests) DATA CONTROLLER DATA PROCESSOR  Data Controller Request Guideline регламентирует деятельность Компании при получении запросов от Data Controller, выполнении таких запросов , подготовку и отправку ответа . У нас 14 рабочих дней на то чтобы оформить ответ  Для подготовки запроса и ответа на данный запрос разработаны шаблоны форм Data Controller Request Form и Response to Data Controller Request Form соответственно DATA CONTROLLER REQUEST

17. Реагирование на инциденты  GDPR обязывает Data Controller уведомлять об утечках ПДн ( Personal Data breach ) в течении 72 часов  У нас всего 24 часа чтобы сформировать отчет и сообщить Data Controller что произошла утечка ПДн  Мы ввели новый класс инцидента ИБ - « Personal Data Breach » . И внесли изменения в существующий процесс «Управлять инцидентами ИБ» и в процедуру «Классифицировать инцидент ИБ»  Порядок реагирования на подобные инциденты описан в процедуре «Реагировать на Personal Data Breach »

5. Основные термины Контролер ( Data Controller ) : лицо или организация, которая определяет цели и средства обработки персональных данных . Персональные данные (ПДн) — все что может участвовать в идентификации человека (имя, фото, адрес, друзья, cookies, IP – адрес ) . Очень широкое понятие . 5 000 ₽ Обработчик ПДн ( Data Processor ) : это лицо или организация, которая обрабатывает персональные данные от имени Data Controller . Обработка ПДн ( Processing) : Любая операция или набор операций, выполняемых с ПДн или с набором ПДн как с использованием средств автоматизации, так и без использования оных, включая : сбор, запись, структурирование, хранение, адаптацию или изменение, использование, распространение, ограничение, уничтожение Утечка ПДн ( Personal Data breach) – означает нарушение безопасности, приводящее к случайному или противозаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к ПДн, переданных, хранящихся или обработанных иным образом Соглашение об обработке данных ( Data Processing Agreement , DPA) : это общее определение любого соглашения между Russia GDC и Дата Контроллером ( Data Controller) или другим Обработчиком ПДн ( Data Processor), которое регулирует обработку и защиту ПДн

Просмотры

  • 284 Всего просмотров
  • 185 Просмотров Веб-сайта
  • 99 Embedded Views

Действия

  • 0 Social Shares
  • 0 Лайки
  • 0 Дизлайки
  • 0 Комментарии

Поделиться счетчик

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+