СОДЕРЖАНИЕ Об авторе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III Предисловие переводчика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V Глоссарий переведенной терминологии . . . . . . . . . . . . . . . . VIII Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Ключевые термины . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Ключевые концепции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Предмет: Защита персональных данных, конфиденциальность и безопасность . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Территория: Европа, США и другие страны . . . . . . . . . . . . . . . . . . . . 10 Виды данных: персональные данные, персонально идентифицирующая информация и специальные категории персональных данных (чувствительные данные) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Деятельность: передача персональных данных и другие виды обработки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Участники: лица, контролирующие персональные данные, а также лица, осуществляющие процессинг (обработку) персональных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Надзор: органы по защите прав субъектов персональных данных и должностные лица организаций, ответственные за обеспечение соблюдения законодательства в области защиты персональных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 XX
Оглавление
Путеводитель . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Глава 1. Запуск корпоративной программы обеспечения комплаенса в сфере защиты персональных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Распределение ответственности . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Взаимодействие с заинтересованными лицами внутри организации и внешними консультантами . . . . . . . . . . . 29 Назначение ответственного должностного лица по защите данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Подготовка списка задач . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Исполнение задач . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Глава 2. Выбор механизмов обеспечения комплаенса при трансграничной передаче данных . . . . . . . . . . . . 69 Три препятствия для трансграничной передачи персональных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Варианты передачи данных из европейской экономической зоны . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Сравнение механизмов обеспечения комплаенса . . . . . . . . . . 86 Имплементация механизмов обеспечения комплаенса . . . . 105 Передача данных из юрисдикций за пределами ЕЭЗ . . . . . . . 113 Глава 3. Подготовка необходимой документации . . . . . . . . . . .116 Для чего вы готовите документ? . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Кто ваша аудитория? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Категории документов и их примеры . . . . . . . . . . . . . . . . . . . . . . 123 Уведомления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Согласие субъекта персональных данных . . . . . . . . . . . . . . . . . 145 Как получить законное согласие? . . . . . . . . . . . . . . . . . . . . . . . . . 149 Способы выражения и документирования согласия: опции «Opt in», «Opt Out», а также «In between» . . . . . . . . . . . . . 152 За пределами выражения согласия в формате «Opt In» . . . . . 158 Иные вопросы при работе над текстом согласия . . . . . . . . . . 160 Соглашения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Корпоративные протоколы и инструкции . . . . . . . . . . . . . . . . . . 174 XXI
Оглавление
Опросники и формы для предоставления данных . . . . . . . . . . 175 Оформление корпоративных решений и мер по обеспечению комплаенса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Уведомления государственных органов и получение их одобрения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Глава 4. Обеспечение выполнения и аудит программы комплаенса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Глава 5. Защита персональных данных от А до Я . . . . . . . . . . . 189 Анкетирование и запрос информации . . . . . . . . . . . . . . . . . . . . . 189 Большие данные {«Big Data»}, брокеры данных и «Интернет всего» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Выход Великобритании из EC (Brexit), регламент ЕС по защите персональных данных при использовании электронных средств связи и программа «Щит конфиденциальности» . . . . . . . . . . . . . . . . . . 194 Данные о месте нахождения субъекта данных . . . . . . . . . . . . . 196 Данные о состоянии здоровья . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Запросы и расследования государственных органов . . . . . . . 199 Зачем защищать конфиденциальность персональных данных? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Индексы, IP-адреса и другая нумерация . . . . . . . . . . . . . . . . . . 209 Контракты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Локализация и сроки хранения данных . . . . . . . . . . . . . . . . . . . . 213 Мониторинг сотрудников и их данные . . . . . . . . . . . . . . . . . . . . . 218 Несовершеннолетние . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Облачные вычисления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 Отпечатки пальцев, распознавание лица, рентген и ДНК – биометрические данные . . . . . . . . . . . . . . . . 258 Право собственности на персональные данные . . . . . . . . . . . 260 Проектируемая конфиденциальность {«Privacy by Design»} . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Прослушивание и контроль за интернет-активностью . . . . . 263 Рассылка нежелательных сообщений (спам, холодные звонки и т. д.) . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 XXII
Оглавление
Рекламирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Социальные сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Способы защиты нарушенных прав и надзор за исполнением законодательства . . . . . . . . . . . . . . . . . . . . . . . 276 Технологии отслеживания в интернете . . . . . . . . . . . . . . . . . . . 284 Уведомления о выявленных нарушениях защиты персональных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Управление поставщиками . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Финансовая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Юрисдикция . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 Чек-лист программы комплаенса в области обеспечения защиты и безопасности персональных данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 Дополнительные ресурсы . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
XXIII