Эффективное управление рисками обработки персональных данных

# Эффективное управление рисками обработки персональных данных

## Использование данных: выиграть или не проиграть?

—

## Дата-оптимизм или дата-пессимизм?

Данные — это новая нефть, золото, платина XXI века. Цифровые данные, в отличие от традиционных ресурсов, неисчерпаемы и чем их больше — тем больше добавленной стоимости. Это удивительное свойство данных — рождать новую стоимость при их структуризации и обработке, в том числе с использованием алгоритмов ИИ.

— Премьер-министр РФ Михаил Мишустин, [12.03.2020](https://government.ru)

Персональные данные, которые накапливают компании — это токсичный материал. Точно так же, как сложное химическое производство: если эти химикаты у тебя утекли и нанесли ущерб окружающей среде или людям, ты будешь нести ответственность. Чем быстрее компания прекратит обработку персональных данных, уничтожит их, достигнув цели обработки, тем меньше она будет уязвима.

— Замруководителя Роскомнадзора Милош Вагнер, [20.06.2023](https://www.rkn.gov.ru)

—

## Дата-прагматизм: риск-ориентированный подход

01 | Классический privacy-комплаенс

02 | Бережливая обработка данных

03 | Технологии защищённой обработки данных

—

## Чек-лист из основных контролей обработки и защиты ПД

[t.me/prv_adv/3230](https://t.me/prv_adv/3230)

- ⚖️ 1 Целенаправленность и пропорциональность обработки ПД - 📋 2 Основания обработки ПД - 📤 3 Передача ПД и соглашения с третьими лицами - 🔒 4 Сбор, использование, хранение и уничтожение ПД - 📣 5 Коммуникация и взаимодействие с субъектами ПД ← *Критичность санкций* - 🏛️ 6 Коммуникация и взаимодействие с уполномоченными органами - 📚 7 Осведомлённость и обучение персонала, допущенного к обработке ПД - 🔧 8 Контроль отклонений и реагирование на инциденты - 🔐 9 Безопасность обработки ПД - 📊 10 Руководство и учёт в области ПД

⚡ Приложение 1: Меры юридической ответственности для юридических лиц и должностных лиц

⚠️ Приложение 2: Риск-факторы повышения вероятности контрольных (надзорных) мероприятий в области ПД

—

## Критичность юридических санкций по областям контроля

—

## Бережливая обработка данных [1/2]

Бережливая обработка данных — аналогия с концепцией «бережливого производства» (lean production).

- Необходимо выявление и исключение (оптимизация) тех элементов процессов обработки данных, которые не добавляют ценности к итоговому результату обработки данных и могут являться причиной возникновения дополнительных рисков. - Бережливая обработка данных — это, в первую очередь, минимизация обработки данных:

1. меньше объём и состав обрабатываемых данных;
2. меньше способов и длительность обработки данных;
3. меньше круг лиц, вовлечённых в обработку данных.

—

## Бережливая обработка данных [2/2]

Что даёт бережливая обработка данных компании?

- Снижение потенциальных издержек из-за утечек — чем меньше данных, тем меньше риски их утечки и, как следствие, риск привлечения к ответственности за утечку. - Снижение затрат на ИТ и ИБ мощности — чем меньше данных, тем меньше ресурсов нужно тратить на их обработку и защиту. - Поддержание позитивного privacy-имиджа — демонстрация добросовестных практик и соответствие ожиданиям регуляторов.

—

## Роскомнадзор: подходы к надлежащей обработке ПД

- Минимизировать перечень собираемых и обрабатываемых ПД - Обеспечить раздельное хранение различных категорий ПД, в том числе несовместимых между собой по целям обработки - Хранить идентификаторы, указывающие на человека (*ФИО, e-mail, телефон, адрес*), и данные о взаимодействии с ним (*оказанные услуги, проданные товары, переписка и пр.*) в разных базах данных - Отказаться от практики накопления ПД «на всякий случай» и от формирования профилей клиента, если это не жизненно нужно для организации - Минимизировать количество эпизодов поручения обработки ПД третьим лицам, которое не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности

—

## Технологии защищённой обработки данных [ТЗОД]

В условиях массовых утечек персональных данных ТЗОД — это инструмент создания доверия к бизнесу со стороны:

а) пользователей (клиентов, партнёров)

б) регуляторов

- ✓ ТЗОД рассматривается как эффективное средство защиты персональных данных многими международными организациями и регуляторами. - ✓ Развитие ТЗОД помогает в обеспечении кибербезопасности, как одной из ключевых задач нацпроекта «Экономика данных»

—

## Применение и направления развития ТЗОД

*Области применения ТЗОД:*

- кибербезопасность и противодействие утечкам - обучение систем ИИ - аналитика и обработка больших данных - совершенствование государственных сервисов

*Правовые аспекты применения ТЗОД:*

- законодательство РФ не регулирует применение ТЗОД само по себе - использование ТЗОД в отношении персональных данных или охраняемых законом тайн не меняет их статус

—

## «Белая книга» ТЗОД

*(Совместный документ Ассоциации больших данных и Privacy Advocates)*

1. ТЗОД — введение, классификация, проблематика, международный опыт 2. Доверенные среды исполнения (Trusted Execution Environment, TEE) 3. Методы разделения секретов (Secure Multi-Party Computation, SMPC) 4. Федеративное обучение (Federated Learning, FL) 5. Синтетические данные (Synthetic Data, SD) 6. Иные ТЗОД, соответствующие критерию «state-of-the-art»

—

## Использование технологии совместных конфиденциальных вычислений одобрено ЦБ РФ

- Банк России разрешил кредитным организациям совместно использовать новую технологию для расчёта показателя долговой нагрузки (ПДН) потенциальных заёмщиков. - Платформа счёт-скоринга позволяет банкам оперативно обмениваться агрегированной информацией о денежных поступлениях на счета клиентов-физлиц без нарушения банковской тайны. - Расчёты осуществляются с помощью технологии совместных конфиденциальных вычислений (Multi-Party Computation, МРС) — это специальный криптографический протокол, позволяющий зашифровывать данные лица, по которому делается выписка, а также данные, в каком конкретном банке открыты те или иные счета. - В основе технологии лежит так называемая задача разделения секрета — она позволяет найти решение, когда у каждого из участников группы есть только часть информации для расчёта какого-то показателя и они не готовы или не могут делиться данными в открытую.

*Подробнее: [www.rbc.ru](https://www.rbc.ru)*

—

## Контекстуальные идентификаторы [Context ID]

- Это «временные ярлыки» для вас в конкретной ситуации: в одном приложении вы «Пользователь-123», в другом — уже «Гость-7», и эти ярлыки не склеиваются между собой. - Меняются по времени/месту/устройству, поэтому вас сложнее отслеживать по всей цифровой вселенной. - Работают как номерок в гардеробе: внутри гардероба всё понятно, на улице по нему вас не найдут. - Плюс: меньше трекинга и профилирования. - Минус: сложнее делать «сквозную» аналитику.

—

## Децентрализованная идентификация [Decentralized Identity]

- Ваши «документы» живут у вас в цифровом кошельке, а не в одном большом центре; подтверждать их могут разные уважаемые «выдавальщики» (университет, банк и т.п.). - Вы показываете только нужные кусочки: «мне 18+» без полного паспорта — как прикрыть лишнее пальцем на фото. - Ключи — у вас: потеряли — придётся восстанавливать (как если потерять связку ключей от всех дверей сразу). - Нет единой точки взлома, больше контроля у пользователя.

—

## Доказательства с нулевым разглашением [Zero-Knowledge Proof]

- «Матемагия»: вы доказываете факт («я совершеннолетний») не раскрывая секрет («дата рождения»). - Собеседник получает уверенность, но не получает данных — как проверка билета без того, чтобы отдавать его копию. - Отлично для приватности и соответствия правилам: «докажи, что можно», не «расскажи про всё». - Минусы: это не «домашняя арифметика», технологии сложны и иногда требовательны к ресурсам; но оно того стоит.

—

## Геоинформационная неразличимость [Geo-Indistinguishability]

- Приложение видит вас не «на этой скамейке», а «где-то в парке»: к координатам добавляется аккуратный «шум». - Настраиваемый баланс: больше шума — больше приватности, но некоторые интернет-сервисы и мобильные приложения становятся немного «косыми» или даже «слепнут». - Хорошо против точечного слежения и отслеживания траекторий перемещений; для вызова такси лучше уменьшить шум, иначе уедет сосед. - Работает особенно хорошо в городах; в чистом поле «шум» может утащить вас в соседнюю деревню — не пугайтесь, это по плану.

—

## Система privacy-комплаенса в организации [1/2]

*(Иллюстрация: «Замок» privacy-комплаенса)*

- Страж контроля рисков и безопасности данных (DPO) — наблюдает с башни - Башня классического privacy-комплаенса — содержит персональные данные - Остров бережливой обработки данных — на котором стоит замок - Регуляторно-нормативный ров — окружает остров - Мост технологий защищённой обработки данных (ТЗОД) — ведёт к замку - Пользователи — направляются к замку через остров

—

## Система privacy-комплаенса в организации [2/2]

### Деятельность по обработке ПД

Подбор персонала | Управление персоналом | Вознаграждение персонала | Обеспечение продуктивности, развития и безопасности персонала | Поддержка и мотивация персонала | Обеспечение пространственной мобильности персонала | Обеспечение безопасности деятельности | Информационно-технологическое обеспечение деятельности | Обеспечение эффективности и устойчивости деятельности | Сопровождение и поддержка деятельности | Совершенствование и развитие деятельности | Ведение основной деятельности

### Каналы взаимодействия

Сайты | Аппс | Телеком | Документы | Офис | СМИ

### Анализ обработки

- Статус лица в отношении ПД - Цель обработки ПД - Чувствительность ПД - Источники получения ПД - Категории субъектов ПД - Участие третьих лиц - Трансграничная передача ПД - Масштаб обработки ПД - Сценарии обработки ПД - Заметность обработки ПД

### Проекты и инициативы (*As is → To be*)

### Управление рисками

3.1 Оценка уровня риска | 3.2 Выбор методов реагирования | 3.3 Определение мер реагирования | 3.4 Планирование мер реагирования

### Прайваси-программа

- Миссия и видение - Стратегия - KPI и метрики - Риск-толерантность

### Управляющий комитет по ПД. DPO и команда

### Контроли (выделены ключевые):

- ✅ Целенаправленность и пропорциональность обработки ПД - ✅ Основания обработки ПД - ✅ Сбор, использование, хранение и уничтожение ПД - ✅ Руководство и учёт в области ПД - ✅ Осведомлённость и обучение персонала - ✅ Контроль отклонений и реагирование на инциденты - ✅ Безопасность обработки ПД

### Заинтересованные лица

Персонал | Клиенты | Поставщики/партнёры | Владельцы/инвесторы | Уполномоченные органы | СМИ/НКО/лидеры мнений | Активисты/экстремисты | Злоумышленники/конкуренты

→ Коммуникация и взаимодействие с субъектами ПД → Передача ПД и соглашения с третьими лицами → Коммуникация и взаимодействие с надзором

### Внешний комплаенс ПД → СЗПД

—

## Цель и принципы риск-менеджмента обработки ПД

Контроль рисков обработки ПД с учётом риск-толерантности и (или) разумных ожиданий заинтересованных сторон *(в т.ч. владельцев риска внутри оператора, субъектов ПД, надзорных органов)*

### Не навреди *Отказ от снижения риски обработки ПД за счёт увеличения иных рисков*

### Активное взаимодействие *Вовлечение в оценку и обработку рисков заинтересованных сторон*

### Не существует универсальной методики *Методика риск-менеджмента должна быть специфичной и удобной*

### Чем проще, тем лучше *Методика и результат риск-менеджмента должны быть понятны и воспроизводимы*

### Ограниченный срок годности результатов риск-менеджмента *Оценка и обработка рисков зависят от изменения риск-факторов во времени*

### Нет документированной информации — нет риск-менеджмента *Те, кто пренебрегает документами, — воск в руках тех, кто документами не пренебрегает*

—

## Оценка воздействия на защиту ПД в ЕС (DPIA)

- Оценка воздействия на защиту ПД (Data Protection Impact Assessment, DPIA) — процедура, предусмотренная ст. 35 Общего регламента защиты ПД в ЕС (GDPR). - Она заключается в выявлении и описании всех процессов работы с ПД внутри компании. - DPIA проводится для оценки рисков негативного воздействия на данные, поиска наиболее уязвимых мест в системе защиты, но главное — для выработки действий по недопущению утечек и ошибок. - Важным при определении необходимости DPIA является качественная оценка рисков в процессах обработки ПД.

*(Цикл DPIA: Does the business need to carry out a DPIA for this project/process? → Describe how the data will be gathered/processed → Considered if external advice is needed to deal with the risk appropriately → Assess the necessity and proportionality of gathering/processing the data → Identify and assess risk of gathering/processing the data → Identify and required measures to mitigate the identified risk → Sign off and record the outcomes of any decision made → Integrates these outcomes into the overall business plan/objectives → Keep these outcomes under review so that they remain applicable)*

—

## Оценка и управление рисками в государственном контроле (надзоре) за обработкой ПД в РФ

С 1 июля 2021 г. при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками. Надзорный орган при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из пяти категорий риска причинения вреда (ущерба).

Критерии отнесения объектов федерального государственного контроля (надзора) за обработкой персональных данных к определённой категории риска согласно постановлению Правительства РФ от 29.06.2021 № 1046 (в ред. ПП РФ от 27.08.2025 № 1286)

—

## Алгоритм риск-менеджмента обработки ПД [1/2]

### Риск-менеджмент процесса обработки ПД

#### 1. Анализ обработки

- 1.1 Статус лица в отношении ПД - 1.2 Цель обработки ПД - 1.3 Чувствительность ПД - 1.4 Источники получения ПД - 1.5 Категории субъектов ПД - 1.6 Участие третьих лиц - 1.7 Трансграничная передача ПД - 1.8 Масштаб обработки ПД - 1.9 Сценарии обработки ПД - 1.10 Заметность обработки ПД

#### 2. Выявление отклонений

- 2.1 Целенаправленность и пропорциональность обработки ПД - 2.2 Основания обработки ПД - 2.3 Передача ПД и соглашения с третьими лицами - 2.4 Сбор, использование, хранение и уничтожение ПД - 2.5 Коммуникация и взаимодействие с субъектами ПД - 2.6 Коммуникация и взаимодействие с уполномоченными органами - 2.7 Осведомлённость и обучение персонала, допущенного к ПД - 2.8 Контроль отклонений и реагирование на инциденты с ПД - 2.9 Конфиденциальность и безопасность обработки ПД - 2.10 Руководство и учёт в области ПД

#### 3. Управление рисками

- 3.1 Оценка уровня риска - 3.2 Выбор методов реагирования - 3.3 Определение мер реагирования - 3.4 Планирование мер реагирования

*© 2024.03.01 Алексей Мунтян | t.me/prv_adv*

—

## Алгоритм риск-менеджмента обработки ПД [2/2]

### 1. Анализ обработки — детальная схема

1.1 Статус лица в отношении ПД: - обработчик [0] - оператор [1]

1.2 Цель обработки ПД: - цели сбора и обработки ПД совпадают [0] - цель обработки ПД отличная от первоначальной цели сбора ПД [1]

1.3 Чувствительность ПД: - контакты, идентификаторы, учёба, работа, мероприятия, веб-сёрфинг и т.п. [0] - ДУ, семья, финансы/покупки, страхование, связь, поездки/геолокация и т.п. [1] - здоровье, судимость, иные спец. категории, биометрия (в т.ч. геном) [2]

1.4 Источники получения ПД: - сам субъект или его представитель [0] - третьи лица, являющиеся самостоятельными операторами [1] - любые системы мониторинга поведения субъектов [1] - сопоставление/сравнение и объединение/связывание данных между собой [1] - общедоступные/открытые информационные ресурсы [2]

1.5 Категории субъектов ПД: - субъекты — равноправная (независимая от оператора) сторона [0] - субъекты — более слабая (зависимая от оператора) сторона [1] - недееспособные или ограниченно дееспособные субъекты [2]

1.6 Участие третьих лиц: - третьи лица не участвуют в обработке ПД [0] - третьи лица участвуют в обработке ПД как операторы [1] - третьи лица участвуют в обработке ПД как обработчики [2]

1.7 Трансграничная передача ПД: - трансграничная передача отсутствует [0] - трансграничная передача ПД в доверенную страну [1] - трансграничная передача ПД в недоверенную страну [2] - трансграничная передача ПД — неправомерное получение ПД [2]

1.8 Масштаб обработки ПД: - нерегулярная и затрагивает мало субъектов [0] - регулярная или затрагивает много субъектов [1] - регулярная и затрагивает много субъектов [2]

1.9 Сценарии обработки ПД: - создание/использование скан-копий и фотокопий документов с ПД [1] - создание/использование фотоизображений, видео- и аудиозаписей с ПД [1] - прямые маркетинговые/информационные контакты с субъектами ПД [1] - распространение ПД и/или включение ПД в общедоступные источники [1] - профилирование (анализ, предугадывание) личных аспектов субъектов [1] - определение точного или приблизительного местоположения субъекта [1] - дистанционное взаимодействие без идентификации и/или аутентификации субъекта [1] - применение рекомендательных технологий на Интернет-ресурсе [1] - (не)обратимое обезличивание и/или деобезличивание ПД [2] - применение продвинутых технологий (например, ИИ и большие данные) обработки ПД [2] - автоматизированное принятие решений в отношении субъектов [2] - автоматизированная биометрическая аутентификация [2] - автоматизированная биометрическая идентификация [3]

1.10 Заметность обработки ПД: - обработка ПД малоизвестна персоналу и внешним лицам [1] - обработка ПД малоизвестна персоналу и известна внешним лицам [2] - обработка ПД известна персоналу и малоизвестна внешним лицам [3] - обработка ПД известна персоналу и внешним лицам [4]

💡 Инсайты (подсказки):
- по каждому из п.1.1–1.10 ставятся оценки согласно применимым характеристикам (если в пункте несколько применимых характеристик, то оценка суммируется);
- предварительно опишите характеристики процесса обработки ПД;
- масштаб анализа м.б. разным (например, процесс маркетинга или маркетинговый сайт);
- в п.1.10 под «внешними лицами» понимаются субъекты ПД (не являющиеся персоналом), клиенты, поставщики/партнёры, уполномоченные органы, СМИ, НКО, privacy-активисты, конкуренты и т.п.

### 2. Выявление отклонений — масштаб по контролям

💡 Инсайты (подсказки):
- в п.2.1–2.10 ставятся оценки согласно объёму отклонений (отсутствует, незначительные, значительные);
- чек-лист из основных контролей обработки и защиты ПД находится по адресу [t.me/prv_adv/3230](https://t.me/prv_adv/3230);
- дополнительные требования (контроли) есть в отраслевых НПА (связь, банки, медицина, образование и т.д.);
- используйте чек-листы и схемы закрытых вопросов для оценки применимости требований и их соблюдения.

### 3. Управление рисками — методология

3.1 Оценка уровня риска: - виктимность обработки = сумма оценок п.1.1–1.9 умноженная на п.1.10 - критичность отклонений = сумма оценок выявленных отклонений в п.2.1–2.10 - уровень риска = соотношение оценок виктимности обработки и критичности отклонений

3.2 Выбор методов реагирования: - снижение - отказ - передача - принятие

3.3 Определение мер реагирования: - корректировка отношений с субъектами - корректировка отношений с третьими лицами - корректировка внутренней документации - корректировка (минимизация) процесса обработки - изменение ИТ-систем/ИТ-инфраструктуры

3.4 Планирование мер реагирования: - что делаем? - кто делает? - в какие сроки?

💡 Инсайты (подсказки):
- риск-толерантность определяется вместе с владельцем процесса обработки / риска;
- оценку виктимности обработки и критичности отклонений надо регулярно пересматривать;
- меры реагирования могут разделяться на краткосрочные и долгосрочные;
- возможно принятие в т.ч. остаточных рисков (после обработки первоначальных рисков).

—

## 1. Анализ контекста и интенсивности обработки ПД

*(Иллюстрация к блоку «Анализ обработки» алгоритма риск-менеджмента)*

Пример 1 *(п.1.5 Категории субъектов ПД):* - субъекты — равноправная (независимая от оператора) сторона - субъекты — более слабая (зависимая от оператора) сторона - недееспособные или ограниченно дееспособные субъекты

Пример 2 *(п.1.8 Масштаб обработки ПД):* - нерегулярная и затрагивает мало субъектов - регулярная или затрагивает много субъектов - регулярная и затрагивает много субъектов

💡 Инсайты (подсказки):
- предварительно опишите характеристики процесса обработки ПД;
- масштаб анализа м.б. разным (например, процесс маркетинга или маркетинговый сайт).

—

## 2. Выявление возможных отклонений в обработке ПД

*(Иллюстрация к блоку «Выявление отклонений» алгоритма риск-менеджмента)*

Контроли второго блока:

- 2.1 Целенаправленность и пропорциональность обработки ПД - 2.2 Основания обработки ПД - 2.3 Соглашения и обмен ПД с третьими лицами - 2.4 Локализация, хранение и уничтожение ПД - 2.5 Конфиденциальность и безопасность обработки ПД - 2.6 Права и информирование субъектов ПД - 2.7 Коммуникация и взаимодействие с уполномоченными органами - 2.8 Мониторинг и реагирование на нарушения/инциденты с ПД - 2.9 Осведомлённость и обучение персонала, допущенного к ПД - 2.10 Руководство, учёт и риск-менеджмент в отношении ПД

Пример *(п.2.2 Основания обработки ПД — Согласие на обработку ПД [ст.6(1)(1) и ст.9(4) 152-ФЗ]):*

- ✅ сведения о субъекте ПД - ✅ сведения об операторе - ✅ цель обработки ПД - ✅ состав обрабатываемых ПД - ✅ перечень действий с ПД - ✅ способы обработки ПД - ✅ сведения об обработчиках ПД - ✅ сведения о получателях ПД - ✅ срок действия согласия - ✅ способ отзыва согласия

💡 Инсайты (подсказки):
- требования (контроли) см. в ПРКН-253 от 24.12.2021, ППРФ-1046 от 29.06.2021, ППРФ-24 от 16.01.2023 и отраслевые НПА (потребители, реклама, связь, банки, медицина, образование и т.д.);
- используйте чек-листы и схемы закрытых вопросов для оценки применимости требований и их соблюдения.

—

## 3. Управление актуальными рисками обработки ПД

*(Иллюстрация к блоку «Управление рисками» алгоритма риск-менеджмента)*

3.1 Оценка уровня риска: - виктимность обработки = сумма оценок п.1.1–1.9 умноженная на п.1.10 - критичность отклонений = сумма оценок выявленных отклонений в п.2.1–2.10 - уровень риска = соотношение оценок виктимности обработки и критичности отклонений

3.2 Выбор методов реагирования: - снижение - отказ - передача - принятие

3.3 Определение мер реагирования: - корректировка отношений с субъектами - корректировка отношений с третьими лицами - корректировка внутренней документации - корректировка (минимизация) процесса обработки - изменение ИТ-систем/ИТ-инфраструктуры

3.4 Планирование мер реагирования: - что делаем? - кто делает? - в какие сроки?

💡 Инсайты (подсказки):
- риск-толерантность определяется вместе с владельцем процесса обработки / риска;
- оценку виктимности обработки и критичности отклонений надо регулярно пересматривать;
- меры реагирования могут разделяться на краткосрочные и долгосрочные;
- возможно принятие в т.ч. остаточных рисков (после обработки первоначальных рисков).

—

## Пример оценки уровня риска обработки ПД

*(График: ось Y — Критичность отклонений [0–10], ось X — Виктимность обработки [0–10])*

*Динамика демонстрирует последовательное снижение уровня риска с 2022 по 2024 год — от зоны высокого риска к зоне низкого риска.*

—

## Типичный анализ процесса обработки ПД

*(Иллюстрация: расступившееся море с мусором на дне — метафора того, что «открывается» при полноценном анализе процессов обработки ПД)*

—

## Главный вывод

Как эффективно управлять рисками обработки ПД?

### Минимизируйте обработку ПД

*Вы великолепны!* 🏆