Алексей Мунтян, эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association (RPPA)
В настоящее время в качестве DPO отвечает за организацию и контроль соответствия бизнес-процессов, организационно-распорядительной документации и информационных систем крупного международного холдинга в России и СНГ требованиям применимого законодательства в области персональных данных. Ранее на протяжении 5 лет работал в DHL Express Russia и АО «Сбербанк КИБ» на аналогичной позиции.
Обладает двумя высшими юридическими образованиями: в 2008 г. с отличием окончил факультет правового обеспечения информационной безопасности МИФИ, а в 2013 г. получил образование в области интеллектуальной собственности и телекоммуникационного права в University of London.
Располагает 6-летним опытом консалтинга (более 60 проектов) в сфере юридического, организационного и технического обеспечения информационной безопасности крупных российских и международных компаний, а также в Управлении Верховного комиссара ООН по правам человека в Восточной Африке. Также 1,5 года осуществлял информационное наполнение «Портала персональных данных Роскомнадзора» – pd.rkn.gov.ru.
Алиса Шевченко, эксперт компании 3М в регионе «Россия и СНГ» в области визуальной защиты информации, побеседовала с Алексеем Мунтяном, одним из руководителей первой в России профессиональной ассоциации по персональным данным (Russian Privacy Professionals Association, RPPA), и выяснила, как развивается сфера обеспечения конфиденциальности данных, как меняется среда и чего следует ожидать рынку в будущем.
А. Ш.: Какие тренды вы видите в сфере защиты персональных данных? Как повлияла на ситуацию пандемия COVID-19?
А. М.: Мы наблюдаем, что многие компании увеличивают бюджет на защиту персональных данных. Согласно исследованию, проведённому совместно RPPA и компанией Б-152, защитой персональных данных всё больше занимаются специалисты с юридическим бэкграундом, из чего можно заключить, что мы переходим от защиты данных к защите прав субъектов.
В России запускаются регуляторные меры касательно обработки данных, например Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"». Подобные меры создают риски ущемления прав граждан как субъектов персональных данных — риски, которые должны быть компенсированы за счёт предоставления субъектам соответствующих юридических гарантий.
Согласно поручению президента РФ постоянный представитель России при Совете Европы в Страсбурге в 2018 году подписал протокол СДСЕ № 223 об изменениях в европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных № 108. Сам протокол пока что ещё не ратифицирован нашей страной. В будущем стоит ожидать соответствующих изменений в законодательстве — к примеру, появления у операторов обязанности своевременно уведомлять компетентный надзорный орган и субъектов об утечках персональных данных.
Если говорить о влиянии пандемии COVID-19, то потребовались существенная перестройка деятельности почти всех организаций и внедрение режима удалённой работы, что породило риски для сохранения конфиденциальности персональных данных и информационной безопасности. В таких условиях необходимо найти баланс между эффективностью удалённого режима работы, включая механизмы контроля удалённых сотрудников, и защитой права людей на приватность.
А. Ш.: Человек, занимающийся защитой персональных данных — кто это? Какие основные персональные и профессиональные особенности он должен иметь?
А. М.: Стоит начать с того, что в России отсутствуют нормативные требования к таким специалистам. Исключением являются ситуации, когда по договору оказания услуг привлекается лицо, ответственное за обеспечение безопасности персональных данных в информационной системе по постановлению правительства № 1119: такая деятельность подлежит лицензированию Федеральной службой по техническому и экспортному контролю.
Однако, как я говорил раньше, мы видим, что компании постепенно наращивают бюджеты и нанимают на соответствующие должности всё более подготовленных людей, которые совмещают знание закона с компетенциями в сфере информационной безопасности и умением управлять процессами бизнес-этики.
А. Ш.: Как вы думаете, насколько актуален аспект визуальной защиты данных? Для какой отрасли и категории сотрудников в первую очередь актуально такое решение для визуальной защиты, как экраны защиты информации? Кому вы могли бы порекомендовать протестировать данное решение?
А. М.: Реальность пандемии коронавируса может потребовать от компаний соответствующей адаптации в области обеспечения дополнительных мер безопасности информации, в частности — для визуальной защиты. К примеру, сейчас рассматривается проект федерального закона о внесении изменений в Трудовой кодекс по вопросам дистанционной и удалённой работы. По текущему проекту в трудовые договоры могут вноситься требования мер безопасности. Предполагаю, что некоторые компании могут потребовать от работников применять меры в том числе визуальной защиты из-за того, что экран виден всем домочадцам.
Защитные плёнки — очень интересное, но при этом специализированное решение. На наш взгляд, оно будет актуально для следующих категорий пользователей.
Во-первых, это топ-менеджмент, потому как на их экранах отображаются наиболее конфиденциальные данные о компании. Во-вторых, сотрудники, часто находящиеся в рабочих поездках, особенно если они используют не личный транспорт, а общественный — к примеру, авиаперелёты. Сосед по ряду может узнать очень многое из-за отсутствия визуальной защиты на ноутбуке. Далее — бухгалтерия: конфиденциальные финансовые данные необходимо тщательно защищать. И, наконец, адвокаты — в связи с адвокатской тайной.
А. Ш.: Мы живём во время быстрого развития, когда технологические решения постоянно изобретаются и совершенствуются. В том числе меняется подход к пониманию рабочего места. Какие меры визуальной защиты необходимо применить для защиты конфиденциальных и персональных данных?
А. М.: Оптический или визуальный канал утечки информации — вполне стандартный риск в информационной безопасности, поэтому методы профилактики угроз должны его учитывать. Нам всем известны многие методы защиты себя не только в корпоративной среде, но и в личной жизни.
Например, это блокирование камеры ноутбука. Самый распространённый способ — заклеивание скотчем, но сейчас многие модели имеют механические шторки. Также — поляризация экрана, в том числе с использованием поляризующих плёнок. Наконец, некоторые средства конференц-связи позволяют блокировать возможность создания скриншотов.
А. Ш.: Вы являетесь одним из руководителей профессиональной ассоциации по защите персональных данных. Ваша миссия — объединить специалистов по защите персональных данных из России, Восточной Европы и Азии для того, чтобы создать единую стратегию и определить подходы по выполнению требований применимого законодательства в области обработки и защиты персональных данных. Расскажите, что уже удалось сделать? Каковы планы на ближайшее будущее?
А. М.: Прежде всего, мы проводим образовательную деятельность: часто организуем вебинары, семинары, распространяем материалы. Нашей аудиторией являются как профессионалы в области приватности и защиты персональных данных, представляющие разные секторы и отрасли российской экономики, так и начинающие специалисты. За последнее время мы провели дебаты по вопросу обработки персональных данных с использованием искусственного интеллекта, обсудили лучшие практики ведения реестра процессов обработки персональных данных и многое другое.
Но помимо образовательной функции мы всё больше вовлекаем участников ассоциации в свою работу, чтобы ассоциация больше занималась тем, ради чего она создана — представляла своих членов. В связи с этим мы с участниками сообщества готовим шаблоны документации по защите персональных данных, участвуем в процессах законотворчества, отвечаем на поступающие вопросы.
Спасибо за интервью!
