Этот модуль является ресурсом для лекторов  

 

Контроль за соблюдением законодательства о конфиденциальности и защите данных

 

Как правило, проблемы, с которыми сталкиваются страны при применении мер по обеспечению надлежащего соблюдения законов о защите данных, включают в себя проблемы финансирования, неспособность надлежащим образом обеспечить исполнение этих законов (например, из-за ограниченных людских и технических ресурсов), неадекватную инфраструктуру ИКТ, а также неспособность или нежелание выполнять обработку трансграничных запросов на передачу данных (UCTAD, 2016, p. 9).

Меры по обеспечению соблюдения принципов и законов, касающихся конфиденциальности и защиты данных, различаются между государственным и частным секторами, между отдельными странами и внутри стран. Например, ОРЗД был принят с целью гармонизации и укрепления полномочий органов по защите данных для обеспечения эффективной реализации законодательства. В дополнение к законам о защите данных, в целях содействия усилиям по защите данных международные и региональные организации разработали и приняли регламенты по защите данных. Например, Азиатско-Тихоокеанское экономическое сотрудничество (АТЭС) разработало Рамочное соглашение по защите персональных данных, которое включает в себя принципы и руководящие указания для защиты данных таким образом, чтобы избежать препятствий, затрудняющих потоки информации между странами-участниками, а также Правила трансграничной передачи персональных данных - добровольный механизм саморегулирования, который устанавливает  стандарты защиты данных для трансграничного обмена данными между странами-участниками. Важно отметить, что национальное законодательство о конфиденциальности и защите данных имеет преимущественную силу по сравнению с этими правилами.

Знаете ли вы?

Таблица с описанием сходств и различий между Рамочным соглашением АТЭС по защите персональных данных и ОРЗД с точки зрения таких аспектов, как цель, материальная сфера действия, территориальная сфера действия, личная информация, контролер данных, лица, обрабатывающие данные, общедоступная информация, допустимые отклонения для стран-участниц (дерогация), принцип предупреждения вреда, уведомление, ограничение на сбор, ограничение на использование, выбор и согласие, целостность данных, гарантии безопасности, доступ и исправление, подотчетность, передача персональных данных другому лицу или стране, определение утечки данных, уведомление об утечке данных и смягчение последствий утечки данных, была опубликована Международной ассоциацией специалистов в области защиты неприкосновенности частной жизни (IAPP) и доступна для просмотра по следующей ссылке.

В дополнение к мерам по обеспечению соблюдения этих правил, принимаемым органами власти, защиту данных также могут обеспечивать технологии. В качестве примера можно привести технологию повышения конфиденциальности. Цель таких технологий заключается в защите и сохранении неприкосновенности частной жизни отдельных лиц. Поэтому технологии повышения конфиденциальности могут использоваться для реализации и соблюдения законов о защите данных. Эти технологии в первую очередь используются для защиты конфиденциальности (т.е. данные защищены, и только авторизованные пользователи могут получить к ним доступ) и целостности данных (т.е. данные не изменены и являются тем, в качестве чего они заявлены). Одним из примеров технологии повышения конфиденциальности является шифрование. Другим примером является управление учетными данными, которое относится к процессу аутентификации идентификационных данных пользователей, идентификации соответствующих привилегий и предоставления доступа пользователям на основе этих привилегий. Управление учетными данными поддерживает принципы безопасности и пропорциональности защиты данных путем введения ограничения на доступ и использование данных.

Исполнение законов о защите данных также может обеспечиваться путем применения принципа защиты данных на основе продуманных действий. Статья 25 ОРЗД устанавливает требование о «защите данных на основе продуманных действий», в соответствии с которым контролеры данных и лица, обрабатывающие данные, должны внедрять технологии повышения конфиденциальности и предусматривать прочие меры по обеспечению конфиденциальности персональных данных при разработке систем и технологий. Эти конструктивные особенности требуют принятия технических и организационных мер контроля и политики для защиты персональных данных, а также мер безопасности, которые направлены на обеспечение конфиденциальности, целостности и доступности (т.е. доступности по требованию) систем, сетей, сервисов и данных (например, управление доступом, шифрование, брандмауэры, мониторинг использования компьютеров и принципы информационной безопасности; рассматриваются в модуле 9 Серии модулей по киберпреступности: «Кибербезопасность и предупреждение киберпреступности: практические методы и меры»). 

Еще одна мера защиты данных на основе продуманных действий (или конфиденциальности на основе продуманных действий) предполагает сокрытие идентифицирующей информации путем анонимизации или псевдонимизации. В соответствии со статьей 4(5) ОРЗД, под термином «псевдонимизация» понимается «обработка персональных данных таким образом, что персональные данные не могут быть больше отнесены к определенному субъекту данных без использования дополнительной информации, при условии, что дополнительная информация хранится отдельно и подлежит применению технических и организационных мер, гарантирующих, что персональные данные не отнесены к идентифицированному или идентифицируемому физическому лицу». Псевдонимизация происходит, когда идентифицирующие данные в записи заменяются искусственными идентификаторами. Она представляет собой одну из форм маскирования данных, поскольку защищает конфиденциальность данных для предотвращения идентификации субъекта данных. В дополнение к мерам по защите данных на основе продуманных действий могут применяться меры по защите данных по умолчанию. Примером такой меры является практика обработки только тех персональных данных, которые необходимы для достижения конкретной заявленной цели обработки (с соблюдением принципа минимизации данных и целевого ограничения).

 
Далее: Заключение
Наверх