02 августа 2018

Как проверить, распространяется ли на ваш бизнес действие европейской директиве о защите персональных данных (GDPR) и как быть с данными, чтобы не попасть под санкции.

Перед европейским регламентом о защите персональных данных (General Data Protection Relations), которая вступила в действие 25 мая 2018 года, не устоят даже сильные мира сего. На днях огромный штраф за обращение с персональными данными получил заокеанский Facebook. Известны случаи огромных штрафов с собственных европейских бизнесов, в частности, максимум получил сервис Ticketmaster.

Украинского бизнеса регламент в определенных случаях тоже касается. В каких и каким образом, что нужно сделать, чтобы не заработать штраф и обсуждалось на конференции «GDPR в Украине».

НВ приводит ключевые пункты из выступлений докладчиков.

Когда GDPR может применяться к украинским компаниям

Как объясняет Юлия Нечепуренко, ведущий специалист Nota Group, под действие регламента попадают все, кто имеет компанию или представительство в Евросоюзе. Если таковых нет, то все равно под действие регламента подпадают бизнесы, которые используют персональные данные граждан ЕС, если обработка данных связана с предложением товаров и услуг или мониторингом их поведения.

По словам Дарины Сидоренко, координатора группы IT и кибербезопасности Sayenko, самая большая потенциальная проблема для украинского бизнеса в случае нарушения GDPR – это репутационные риски. После этого строить партнерские отношения в Европе будет сложнее. Также есть риски криминальной и административной ответственности.

Что такое персональные данные

Согласно директиве, персональные данные – это любая информация, которая позволяет идентифицировать физическое лицо. Субъект данных в данном случае – это идентифицированное или пригодное к идентификации физическое лицо. В частности, люди, граждане Евросоюза.

У данных есть контролер и оператор, первый – дает инструкции по работе с ними (сбор, применение, обработка), второй – обрабатывает. Оператор не имеет права обрабатывать данные без инструкции контролера. Если такового нет, считается, что он сам для себя контролер.

Как можно работать с персональными данными

Контролер должен запрашивать у субъекта разрешение на обработку данных, при этом – четко обозначать цель, для которой он это делает. Если данные были собраны для одной цели, но обрабатываются для других – это нарушает регламент. Исключение составляет аффилирование или обработка для статистики.

В отношении данных действует несколько принципов.

Минимизация. Могут собираться минимальные данные, соответствующие цели сбора. Например, если авиакомпания продает билеты, она может обрабатывать паспортные данные, электронный адрес. Но данные о политических взглядах пассажира ей точно не нужны, поэтому она не может их собирать и обрабатывать.

Точность. Данные должны быть точными, полными и актуальными.

Ограничение на хранение. Данные хранятся в течение определенного срока, адекватного цели хранения. Как только цель достигнута или потеряла актуальность, их нужно удалить.

Целостность и конфиденциальность. Контролер обязан принять все меры для обеспечения безопасности данных.

Подотчетность. Контролеры должны руководствоваться принципами GDPR и должны быть готовы доказать, что соответствуют им. 

Законная обработка данных

Субъект данных должен дать согласие на обработку для конкретных целей. Запрос к нему должен быть изложен простым и понятным языком, согласие дано без принуждения, четко и понятно. Само согласие должно храниться вместе с данными, чтобы в случае чего у компании была возможность доказать, что субъект дал согласие на обработку. 

Из этого требования есть несколько исключений. Во-первых, если обработка необходима для выполнения контракта, в котором субъект является одной из сторон. Например, если речь идет о покупке в интернет-магазине, это могут быть электронный адрес, адрес доставки, данные банковской карты – то есть то, что необходимо для предоставления услуги. Получение таких данных не требует получения согласия субъекта, так как он сторона договора.

Во-вторых, когда обработка необходима для соблюдения юридических обязательств контролера. Это может быть обработка данных новых сотрудников, так как в данном случае речь идет о трудовых отношениях.

Кроме того, для защиты жизненных интересов субъекта или другого лица, для исполнения задач государственного органа (например, если гражданин пришел на голосование) и в случае преобладающего законного интереса контролера или третьих лиц.

Но Нечепуренко поясняет, что GDPR не прописывает, что именно означает этот пункт. В преамбуле написано, что субъект может ожидать, что обработка данных на основании законного интереса может случиться, однако для этого между субъектом и контролером уже должны быть отношения. Например, субъект может ожидать сообщения о распродаже, хотя он как такового разрешения не давал. Но ссылаться на этот пункт стоит только тогда, когда контролер может доказать его.

Права субъекта данных

Доступ к данным о себе. Как правило, на подобные запросы нужно отвечать в течение 30 дней. Но если субъекты данных злоупотребляют своим правом и когда слишком много запросов, контролер имеет право или отказать, или установить плату.

Право на забвение. Контролер обязан применить внутренние политики, предусматривающие действие в таких ситуациях.

Получение отчетов. Субъект данных имеет право требовать отчеты о том, что его данные были удалены или изменены, если это не влечет слишком больших усилий или если это не является невозможным.

Портативность данных. Субъекты данных имеют право получить у контролера собственные данные в машиносчитываемом формате и передать их другому контролеру (не скрывая этого от первого контролера). Такую возможность нужно предусмотреть.

Право на возражение. Субъекты могут возражать против обработки их данных. Контролер должен иметь механизмы остановки сбора данных в таком случае.

Право на жалобы, представительство и компенсацию. Субъекты имеют право подать жалобу, при этом могут представлять сами себя или обратиться в организацию, которая имеет в своих уставных документах эту функцию – защищать права субъектов данных.

Право на исправление ошибок.

Право не быть субъектом данных, которые обрабатываются в результате автоматических способов сбора. Вкусы, местонахождение, передвижение и т.д. (Facebook, привет!)

Как внедрить стандарты GDPR

Как объясняет Елена Колченогова, глава Комитета по защите данных Ассоциации Digital Ukraine, регламент подразумевает два вида мер для защиты персональных данных: организационные и технические.

Технические требуют privacy by default и privacy by design. Privacy by default – это конфиденциальность по умолчанию. То есть если компании нужно собирать какую-то информацию о субъекте, это можно делать в минимальных необходимых количествах.

Privacy by design – конфиденциальность, которая уже заложена в программное обеспечение.  

Организационных мер значительно больше. Например, говорится, что записи обработки данных должны включать всю информацию о субъекте, контролере и операторе, а также о самих данных, если данные передаются в третьи страны – эта информация также должна отображаться в записях. Исключение делается для предприятий, где работает менее 250 человек, но не делается, если обработка данных может привести к риску для субъекта данных.

Также GDPR рекомендует назначить специалиста, владеющего знаниями о защите персональных данных, который сможет применить GDPR на предприятии – data protection officer. Он нужен, если в компании масштабно происходит обработка данных, если речь идет о государственных или особо чувствительных данных (здравоохранение, биометрия и т.д.).

В задачи такого специалиста входит обучение, консультирование (для оценки рисков, например) и контроль. Именно это лицо отвечает за работу с данными перед контролирующими органами и субъектами, хотя в случае нарушений штрафуют не его. Это может быть один человек на несколько организаций, необязательно в штате.

Также GDPR рекомендует прописывать политики конфиденциальности, проводить оценку риска используемых данных, если в компании имеет место систематическая масштабная оценка персональных данных, основанная на автоматизированной системе. Например, транспортная организация устанавливает видеонаблюдение или если больница обрабатывает данные пациентов, в том числе иностранцев.

Если контролер или оператор находится за пределами ЕС, обработка связана с поставками товаров или услуг, или нужен постоянный мониторинг поведения субъектов данных, компании необходимо назначить представителя в ЕС. И это лицо может быть привлечено к судебным разбирательствам, связанным с обработкой персональных данных.

Так ли страшен штраф, как его малюют

Как рассказывает Сидоренко, под санкции попадают даже те компании, у которых произошла утечка данных, например, вследствие кибератаки, так как подразумевается, что они не приняли достаточные меры для их защиты. Санкции должны показать людям, что персональные данные – это важно.

В каждой стране ЕС уже есть органы, которые отвечают за защиту персональных данных. И в некоторых государствах уже были громкие кейсы со штрафами. По словам Сидоренко, наиболее активно ищут нарушителей Франция, Германия и Великобритания, а Балканские страны, по ее инсайдерской информации, пока относительно лояльны и дают своим компаниям время на адаптацию.

Первое, что учитывается в наказании – это природа нарушения, насколько масштабным оно было, какую информацию задело и сколько человек, было ли это целенаправленно или вследствие того, что компания что-то не сделала для защиты.

Максимальный штраф – 20 млн евро или 4% годового оборота – налагается, только если компания нарушила несколько принципов, все это будет компилироваться и объединяться в одну сумму штрафа.

Эксперт полагает, что после внедрения GDPR о кибератаках на персональные данные будут говорить чаще и приводит несколько примеров.

Компания Ticketmaster, которая продает билеты, получила максимальный штраф. Она была взломана 25 июня, а предупредила людей 27-го. Это уже первая и важная характеристика для такого наказания. Вторая – их система ранее была подвержена аудиту, и компания-аудитор предупредила о потенциальной точке взлома.

У компании Timeshop, которая анализирует пользовательские данные из соцсетей, тоже максимальный штраф. 4 июля на нее была совершена кибератака и были украдены данные 20 млн человек. IT-специалисты смогли остановить утечку, но она все равно была огромной. У Timeshop не было двойной авторизации для аутентификации в облаке, а это одно из требований GDPR.

Защита от утечек персональных данных

Как говорит Владимир Кург, R&D-директор компании «ИТ-Интегратор», в информационных системах большинства компаний работают системы защиты информации, которые можно должным образом настроить, чтобы выполнить требования GDPR. Контролер должен видеть, что происходит в системе, где обрабатываются данные, как они «ходят» и на каком этапе находятся. 

Персональные данные могут находиться в трех состояниях: в покое, в состоянии использования и передачи. Первыми пользуются в первую очередь администраторы, а находятся они обычно в архивах или резервных копиях. Данные в состоянии использования читают, дополняют и используют. На этом этапе у данных могут появляться новые пользователи.

Данные в движении – это данные в момент, когда они передаются по локальным или глобальным сетям.

В одном из пунктов статьи 83 говорится, что серьезность потери данных пропорциональна числу затрагиваемых пользователей. С точки зрения масштаба утечки самый большой риск, по словам Курга, – резервные копии. И именно на них большинство не обращает внимание. Хотя хищение и утечка резервных копий – это утечка всех данных компании.

Минимизировать угрозу для этих данных помогает лицензия на шифрование резервных копий, борьба с «правами бога» администраторов (разделение тех, кто делает резервные копии, и хранителей ключей) и банальная изоляция рабочих мест администраторов, а также блокировка портов для съемных носителей. Так как резервные копии объемные, их утечку можно отследить.

Если речь идет о данных в обработке, то как правило, у сотрудников или клиентов компании нет необходимости работать со всеми массивами записей. В данном случае фактор риска – это люди, которые могут инициировать масштабную утечку. Прежде всего администраторы и аналитики, которым для построения каких-то маркетинговых отчетов требуется извлечь очень большой массив пользовательских данных.

Минимизировать угрозу позволяют такие классы приложений, как Database Firewall или Web Application Firewalls, а также блокировка прямых интерфейсов баз данных при помощи маскировки. Средства маскировки есть у большинства промышленных баз данных.

Для защиты данных и в покое, и в обработке используется псевдоанонимизация, которую не стоит путать с анонимизацией. Анонимизированные данные, согласно директиве, защите не нуждаются. Они могут оставаться в системах, например, для анализа big data.

Основное отличие псевдоанонимизированных данных от анонимизированных – это то, что их невозможно идентифицировать по каким-то критериям из внешнего мира.

Кург приводит в пример кейс медицинской системы, в которой хранятся данные пациентов в открытом виде и которым нужна защита. Защитить их можно разными способами.

Первый – пользователю открываются данные, которые нужны только для его работы. Например, регистратура видит только имя и номер телефона пациента, которому нужно напомнить о визите, а также время приема и специалиста. Это добавляет защищенности данным, но если произойдет утечка базы, то маски не помогут.

Псевдоанонимизация – это замена ID физлица и его имени генерируемым кодом, к которому привязываются данные. Часть набора данных, которые однозначно идентифицируют пользователя – номер паспорта, кредитной карты, номер телефона – могут еще и шифроваться.

Для данных в движении угрозы невелики, так как в каждый момент времени передается небольшой объем, однако это не отменяет угроз в принципе.

Во-первых, в локальной сети это может быть инсайдерский перехват, такие случаи уже были. Администраторы должны шифровать трафик и блокировать съемные носители, потому что многие приложения, в том числе рабочие места систем, создают копии локальных данных. И эти копии можно скинуть на внешний носитель. Также есть системы контроля трафика в сети, которые позволяют отслеживать сеансы пользователей. То есть шифрование предотвращает утечку данных, мониторинг показывает ее и позволяет блокировать.

Во-вторых, фишинг. Классика фишинга – рассылка с имитацией фирменного стиля сайта со ссылкой на копию, где невнимательный пользователь оставляет свои данные. Защита от фишинга лежит прежде всего в юридической плоскости. Но также стоит покупать правильные сертификаты безопасности для сайтов и не экономить на этом моменте. Например, есть более дорогие сертификаты, удостоверяющие организацию.

https://nv.ua/techno/it-industry/ne-proneslo-kak-gdpr-kasaetsja-ukrainsk...