Котик стал очень маленьким по сравнению с тем годом

Всем привет 🙂

Сегодня в нашем чате Андрей Прозоров, менеджер по методологии ИБ, автор блога 80na20

📢Тема дня: GDPR: Европейские требования по обработке и защите ПДн

Стартуем в 14.00 мск

Зачем это российским безопасникам?

1. Темы ИБ и privacy/data protection очень близки.
2. Надо соответствовать GDPR если у вашей компании есть офисы в ЕС или планируются у открытию.
3. Надо соответствовать GDPR если работаете с ПДн европейцев.
4. Крайне желательно соответствовать GDPR при взаимодействии с европейскими партнёрами, особенно если обрабатываете ПДн.
5. Если вы планируете делать карьеру на Западе (например, сейчас в ЕС большая нехватка DPO, а в США CPO).
6. И, вообще, у GDPR довольно здравый подход к защите прав субьектов, и российская защита ПДн идёт именно в сторону GDPR, старается догонять и выравниваться. У европейских надзорных органов есть много полезных материалов / рекомендаций по ИБ и Privacy.

После вводной части Андрей готов будет ответить на вопросы, поделиться опытом (есть опыт и консалтинга, и compliance для себя (компании, в которой работаю)).

Какие-то базовые вещи не хотелось бы рассказывать, поэтому посмотрите прошлогоднюю вводную презентацию GDPR Intro - http://80na20.blogspot.com/2018/05/gdpr.ht

Или вот сегодня в ВК выложил книжку

Сам текст европейского регламента можно найти на официальном сайте тут  https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679

В Лучшие рекомендации по нему у EDPB, ICO и CNIL.
EDPB.europa.eu ; ico.org.uk ; cnil.fi

Ещё я выкладывал в блог расширенный перечень полезных ссылок, их модно посмотреть тут http://80na20.blogspot.com/2019/05/gdpr-v2.html

Сегодня утром выложил на слайдшару, но ещё не успел выложить в блог таблицу для самооценки compliance

Документ может помочь посмотреть системно на процессы обработки.  защиты ПДн, выявить «болевые точки» и спланировать улучшения

Также я выкладывал в блог Перечень рекомендуемых документов и записей, необходимых для соответствия GDPR http://80na20.blogspot.com/2019/06/gdpr.html Таблицу делал в связке с главами Регламента...

Ну, в общем, вот это вся вводная информация, теперь готов отвечать на ваши вопросы по теме;)))

Из занятных находок последних месяцев. В ЕС не рекомендуют совмещать должности CISO и DPO из-за возможного конфликта интересов. Идея в том, чтобы DPO «сдерживал» CISO при использовании средств мониторинга сотрудников: DLP, UEBA, SIEM и пр.

«The Data Protection Officer must be independent and cannot have conflicts of interest with the duties of the Data Protection Officer. As every organisation is different, such conflicts of interest must be evaluated on a case-by-case basis.

The Data Protection Officer cannot hold a position or duty that requires him or her to define the purposes and methods of the processing of personal data. Defining the purposes and methods of personal data processing is the controller's responsibility. Conflicts of interest may arise if, for example, an information security officer or senior manager is designated as the Data Protection Officer.»

Причём об этом стали говорить недавно, в ранних разъяснениях по DPO от WP29 упоминания Information Security в качестве роли, с которой есть конфликт интересов, не было...

омайгадбл, DPO уже появились..

Начинают появляться, эта позиция намного интереснее, чем просто ответственный за обработку / защиту ПДн