28 мая 2018 г.
25 мая 2018 года в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). Цель принятого закона — укрепить права субъектов персональных данных (ПДн). GDPR подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональной информации, устанавливает глобальные стандарты защиты данных и регламентирует их трансграничную передачу.
Под действие нового регламента попадают все европейские и иностранные компании, в том числе и российские, оказывающие услуги на территории ЕС или обрабатывающие большое количество персональных данных субъектов, находящихся на территории Европейского Союза (например, интернет-магазины, авиакомпании, банки). Основное требование GDPR — обеспечение прозрачности процесса обработки персональных данных.
В соответствии с законом вводятся два термина — организация-контролер и организация-обработчик. Контролер — это организация, которая сама инициирует процесс обработки персональных данных своих сотрудников или клиентов, отвечает за его надлежащее исполнение, обеспечивает права субъектов и отчитывается перед надзорным органом. Контролер может передать фактическую функцию обработки данных организации-обработчику. Обработчик — организация, которая обрабатывает личные данные от имени контролера. При этом контролер будет нести ответственность за безопасность обработки персональных данных, в том числе и за действия обработчика. Организации одновременно могут выполнять роль и контролера, и обработчика, например, организация может быть обработчиком персональных данных клиентов, но являться контролером персональных данных собственных сотрудников.
Новый закон призван повысить защищенность персональной информации субъектов, находящихся на территории ЕС. По данным аналитического центра InfoWatch, доля утечек персональных данных граждан за 2017 год составила 64,8% от совокупного числа утечек информации из организаций в мире. Украденные ПДн используются злоумышленниками для совершения мошенничества, которое может привести к ущербу репутации и материальным потерям для пострадавшего.
Для юридических лиц соответствие новому регламенту означает возможность расширения бизнеса и работы с европейскими клиентами, поскольку к организациям, выполняющим требования нового закона, повышается уровень доверия со стороны клиентов и контрагентов. Кроме того, теперь на всей территории ЕС действует один регламент, а не несколько региональных, как это было раньше, что более удобно для российских компаний, которые имеют филиалы на территории ЕС, поскольку они могут привести все филиалы в соответствие требованиям одного законодательства, а не к положениям в каждой отдельной стране. Это касается и тех случаев, когда филиалов нет в ЕС, но все равно ведется обработка ПДн субъектов в данных европейских странах (например, продажа авиабилетов).
Тем не менее, закон предусматривает огромные штрафы для компаний-нарушителей. Так, за нарушение базовых принципов обработки данных, нарушение правил передачи персональных данных, игнорирование запрета надзорного органа на обработку данных, нарушение прав субъекта и др. на компанию будет наложен штраф в размере 4% от общего годового оборота предприятия или 20 млн евро (в зависимости от того, какая сумма окажется больше). За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПДн ребенка и др. предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия. На данный момент процедура наложения штрафов на неевропейские компании не регламентирована. Поэтому пока возможны два сценария наказания за нарушение правил обработки. Первый — запрет на обработку персональных данных субъектов, находящихся на территории ЕС, что сделает невозможным работу с европейскими клиентами. Второй — в случае если российская компания выступает в роли обработчика, за нарушения оштрафуют европейскую компанию-контролера, а она, в свою очередь обработчика (в договорах, заключенных между компаниями будут прописаны эти аспекты).
В связи с этим, компаниям, обрабатывающим персональные данные, стоит тщательно проверить, не нарушают ли они требования GDPR.
10 основных шагов для обеспечения соответствия GDPR
Шаг 1. Провести аудит персональных данных (ПДн) и задокументировать весь процесс обработки ПДн
Аудит персональных данных является первым шагом для организации в выполнении обязательств по ведению учета обработки ПДн.
Полнота аудита персональных данных может отличаться в зависимости от организации, однако, по меньшей мере, аудит должен отвечать на следующие вопросы:
- что именно является персональными данными в рамках GDPR;
- какие персональные данные собираются и обрабатываются организацией;
- где данные хранятся, включая сторонние системы, и где географически расположены сервера;
- по какому пути проходят ПДн в процессе обработки: начиная со сбора и заканчивая их удалением, а также передаются ли третьим лицам;
- какой срок и формат хранения данных, а также тип базы данных.
Шаг 2. Определить законные основания для обработки ПДн
После того как персональные данные выявлены, прокатегорированы и проанализированы, необходимо выяснить еще один вопрос: для каких целей они обрабатываются? Статья 5 GDPR требует, чтобы обработка была «справедливой и законной» и цель сбора данных была четко определенной, прозрачной и легитимной. Включение данного пункта в процесс аудита ПДн значительно ускорит приведения к соответствию процессов обработки данных к требованиям GDPR.
Шаг 3. Разработать политику по обработке и защите персональных данных
Политика обработки персональных данных — внутренний документ организации, устанавливающий основные принципы по обработке и защите персональных данных. Политика должна регулярно обновляться. Правки также необходимо вносить, когда в компании происходят изменения, которые могут затронуть обработку персональных данных.
Шаг 4. Назначить ответственных за защиту персональных данных
В организации должны быть назначены ответственные за защиту персональных данных. Кроме того, если в компании ведется регулярная и систематическая обработка персональных данных (к примеру, услуги сотовой связи или поведенческая реклама), а также обработка специальных категорий персональных данных (в первую очередь это медицинские и страховые организации), должно быть назначено лицо, ответственное за организацию обработки персональных данных (Data Protection Officer (DPO)). Для государственных органов назначение DPO является обязательным.
Для компаний, которые не располагаются на территории ЕС, существует требование по назначению представителя в одной из стран ЕС, где ведется обработка персональных данных. В случае инцидента, связанного с обработкой персональных данных, представитель действует от имени контролера или обработчика и полностью отвечает за нарушения перед надзорным органом.
Шаг 5. Провести оценку информационных рисков, в том числе оценку воздействия на защиту персональных данных (DPIA)
Для эффективной защиты персональных данных организациям необходимо провести оценку рисков информационной безопасности. После того, как риски обнаружены и задокументированы, организация должна приступить к реализации мер по их минимизации и устранению. Например, может быть принято решение не начинать деятельность, приводящую к рискам, или стараться избегать их. Однако компания может принять эти риски и организовать свою деятельность в соответствии с ними.
При использовании новых технологий, а также если сфера применения и цели обработки ПДн могут привести к высокому риску для прав и свобод физических лиц, контролер должен проводить оценку воздействия этих факторов на защиту персональных данных.
Шаг 6. Обеспечить права субъектов данных
GDPR устанавливает ряд прав субъектов данных (право на получение, доступ, исправление, забвение, ограничение обработки информации и т.д), уделяя особое внимание принципам прозрачности и подотчетности. В отношении каждого из этих прав, организации должны будут внедрить соответствующие процессы для управления запросами от физических лиц в указанные сроки. Возможно, компаниям потребуется провести системные изменения для реализации необходимых процедур.
Шаг 7. Внедрить систему обработки запросов субъектов данных
Физические лица должны иметь возможность беспрепятственно реализовать свои права на исправление, ограничение обработки ПДн, забвение и т.д. Организация, получающая соответствующий запрос от субъекта, должна ответить на него в течение одного месяца (либо двух месяцев, в зависимости от сложности и количества запросов). В GDPR не предусмотрены какие-либо конкретные средства, с помощью которых необходимо обрабатывать запросы, но указывается, что организации должны предоставлять средства для электронных запросов, в частности, когда данные обрабатываются с помощью электронных средств. Для российских компаний, как и для европейских, это означает, что организация сама решает, в каком виде субъектам ПДн будет предоставлена возможность запрашивать свои персональные данные (например, через специальную форму на сайте или путем отправки запроса на отдельный адрес электронной почты). Важно, чтобы это был рабочий инструмент, и чтобы компании могли быстро обрабатывать эти запросы. Кроме того, российские компании должны предоставить субъектам возможность выбора языка запроса.
Стоит отметить, что организация может запросить плату за необоснованные или чрезмерные запросы либо вовсе отказать в их реализации. Если организация отказывает в удовлетворении запроса, то отказ необходимо письменно обосновать, указав его причину.
Шаг 8. Внедрить необходимые меры по защите персональных данных
Организации, попадающие под действие GDPR, должны принять соответствующие меры для защиты персональных данных, которые они обрабатывают, в частности:
- принять меры по псевдонимации и шифрованию персональных данных;
- обеспечить конфиденциальность, целостность, доступность и устойчивость систем обработки данных;
- своевременно восстанавливать доступ как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента, это может быть как технический инцидент (например, хакерская атака), так и инцидент иного характера (например, затопление серверов);
- регулярно тестировать и оценивать эффективность технических и организационных мер для обеспечения безопасности обработки ПДн.
Шаг 9. Реализовать безопасную трансграничную передачу персональных данных
GDPR проводит четкое различие между странами, которые обеспечивают адекватный уровень защиты персональных данных, и остальными. К странам, обеспечивающим адекватный уровень защиты, признанным европейской комиссией, относятся Андорра, Аргентина, Канада, Фарерские острова, остров Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США. Передача персональных данных в эти страны разрешена и законна в соответствии с GDPR и не требует предварительного одобрения со стороны надзорного органа ЕС. Во все остальные страны передача данных может осуществляться только в том случае, если организации, получающие эти данные, обеспечивают надлежащие гарантии защиты персональных данных.
Шаг 10. Разработать и внедрить процесс реагирования на инциденты
Необходимо выстроить и ввести в действие процедуры по реагированию и расследованию инцидентов, связанных с персональными данными. Нарушение требования по уведомлению об инциденте в течение 72 часов обернется для компании серьезным наказанием.
«Технические меры по защите персональных данных включают в себя множество технологий, такие как предотвращение утечки данных (DLP), сетевая безопасность, шифрование, реагирование на инциденты (SIEM), защита периметра организации, псевдонимизацию, защита конечных пользователей, управление мобильными устройствами (MDM), антивирусные средства и управление доступом (IDM), — отметила Мария Воронова, руководитель отдела консалтинга InfoWatch. — Исследования Osterman Research, Inc. показали, что именно на DLP-системах организации будут акцентировать свое основное внимание при выборе необходимых технических средств защиты для установления соответствия GDPR. DLP-системы обеспечивают конфиденциальность персональных данных, именно поэтому внедрение такой системы является необходимым для выполнения целого ряда требований, предъявляемых регламентом».
Источник: Пресс-служба компании InfoWatch