Представительства зарубежных компаний, как правило, являются операторами персональных данных в соответствии с Российским законодательством. Как минимум, они обрабатывают персональные данные своих сотрудников в соответствии с ТК РФ. Кроме того, они зачастую собирают и обрабатывают персональные данные своих клиентов, граждан РФ.

Существенной особенностью технологий обработки персональных данных в представительствах зарубежных компаний является то, что хранятся и обрабатываются они, как правило, за рубежом.

На практике используются:

  • Серверы головной компании (за границей РФ)
  • ЦОДы (за границей РФ)
  • «облачные» технологии обработки данных, с использованием территориально распределенных по миру вычислительных средств.

Представительства зарубежных компаний обычно ответственно относятся к выполнению требований российского законодательства и обращаются в специализированные компании, имеющие соответствующие лицензии, для проведения работ по приведению своих информационных систем персональных данных (ИСПДн) с соответствие с требованиями закона 152-ФЗ «О персональных данных».

Компания ООО «НИИ СОКБ» имеет большой опыт проведения таких работ.

На первом этапе проводится обследование ИСПДн Заказчика и разрабатывается концепция защиты ПДн, включающая рассмотрение следующих аспектов:

  • разграничение полномочий между Российским филиалом и головной организацией в части обработки и защиты ПДн;
  • законодательство иностранного государства в части защиты ПДн;
  • политика ИБ Компании в части защиты ПДн;
  • правовое обоснование трансграничной передачи ПДн;
  • характеристики передаваемых ПДн;
  • технология обработки ПДн;
  • технология обеспечения безопасного информационного обмена персональными данными с зарубежными офисами;
  • организационные мероприятия по защите информации.

После обсуждения Концепции с Заказчиком разрабатывается необходимый пакет документов для Российского представительства, включая:

  • перечень обрабатываемых персональных данных;
  • перечень ИСПДн;
  • акты класификации ИСПДн;
  • частную модель угроз;
  • предложения по построению защиты (или обоснование достаточности существующей);
  • другие документы (проекты приказов, положения, инструкции, журналы учета).

Пакет документов тот же, что и для Российской компании.

В дополнение к нему разрабатывается положение, в котором Российский филиал обязуется соблюдать Российское законодательство в части защиты ПДн, обязуется обеспечить адекватную защиту полученных и обрабатываемых ПДн. Документ подписывает глава Российского филиала и ответственных лица головной организации.