г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Как обеспечить безопасность данных с помощью DPA?

Как владелец бизнеса, вы несете ответственность за выбор партнера, который получает доступ к персональным данным компании. Представьте, что вы нанимаете компанию для создания CRM-системы для E-commerce. Разработка такого решения предполагает, что IT-специалисты получат доступ к персональным данным клиентов. И вы, и IT-компания, должны гарантировать их безопасность. Это правило прописано в GDPR, где указано, что обе стороны несут ответственность за обработку.

 

Чтобы обеспечить защищенность данных, аутсорсинговой IT-компании нужно провести внутренний аудит и обеспечить высокий уровень кибербезопасности. У них должна быть четко определенная политика конфиденциальности внутри компании. И, наконец, они должны быть готовы подписать DPA (Data protection agreement). В статье разберемся зачем бизнесу DPA и как составить соглашение.

Но перед этим, несколько уточнений. В статье вы увидите 3 термина: контроллер, процессор (оператор) и субпроцессор. Первый собирает данные непосредственно от клиентов (субъектов данных) и передает второму для выполнения определенных задач. В примере, который описан выше, заказчик CRM-системы будет контроллером, IT-компания процессором, а IT-специалисты субпроцессорами.
И еще один пример. New York Times (NYT) использует Google BigQuery для сбора и анализа данных о том, какие статьи читают пользователи, как долго они остаются на сайте и как часто используют приложение. NYT в такой ситуации контроллер, а Google BigQuery процессор.

DPA (Data Protection Agreement) - это договор об обработке данных

Что такое Data protection agreement?

DPA — это соглашение об обработке данных. Договор помогает компаниям убедиться, что все действия по обработке данных соответствуют политике GDPR. Подписывая документ, обе стороны защищают данные проекта, получают стратегию предотвращения и устранения утечки данных. 

 

Кому нужно подписывать DPA?

Существует 3 сценария работы с внешними подрядчиками.

  1. Обработка персональных данных не происходит. Например, IT-компания проводит  UX/UI-исследование и разрабатывает прототип приложения для банка. Такой исполнитель не получает доступа к персональным данным клиентов банка, а значит DPA не нужен.
  2. Процессор обрабатывает данные, но доступ к ним ограничен. У команды IT-компании есть доступ к базам данных в нечитаемом зашифрованном виде, поэтому и в этом случае нет необходимости подписывать DPA.
  3. Поставщик обрабатывает данные от имени контроллера. Например, украинская аутсорсинговая IT-компания  получает заказ от клиента из ЕС на разработку приложения для управления данными медицинского учреждения. Очевидно, что им нужен доступ к личной информации пациентов. В этом случае обязательно подписывать DPA. Кроме этого, до старта работ по проекту, компании нужно адаптировать внутренние процессы под требования соглашения и пройти GDPR Compliance.
Для украинских IT-компаний DPA играет решающее значение при заключении контрактов с заказчиками из ЕС. Все потому, что передача данных выходит за пределы ЕС, и заказчик должен убедиться, что исполнитель соответствует GDPR и может гарантировать достаточный уровень защиты данных. В таком случае DPA становится для заказчика гарантией и доказательством. 

 

Что написать в DPA?

В разделе 3 статьи 28 GDPR закреплен перечень положений, которые обязательно должны быть в DPA. Ниже расскажем детали на примере соглашения между заказчиком (контроллером) и IT-компанией (процессором).

 

  • Обработка по письменным инструкциям контроллера

Процессор может обрабатывать персональные данные только в соответствии с документированными инструкциями контроллера. 

В апреле 2022 года CHIL наложил 1,500,000 EUR штрафа на DEDALUS BIOLOGY. Компания разработала IT-решения для управления лабораториями. 3000 частных и 30 государственных лабораторий купили лицензии на программное обеспечение. В 2021 году произошла утечка личных данных 491 840 пациентов, которые продавались в даркнете. Во время проверки CHIL установили, что DEDALUS BIOLOGY извлекла больший объем информации, чем требуется, и обработала данные в нарушение инструкций. 

Такие ситуации приводят к миллионным штрафам. Поэтому GDPR документы должны включать детальное описание объема обработки и мер безопасности.

 

  • Все, кто имеет доступ к данных, несут ответственность за нарушение инструкций

Процессор предоставляет доступ к персональным данным, только тому персоналу, который взял на себя обязательство соблюдать конфиденциальность. Кроме этого, команду нужно регулярно обучать и заключать с каждым из них DPA. 

 

  • Привлечение субпроцессора после согласования с контроллером

Разрешение на привлечение новых сотрудников или подрядчиков должно быть письменным. В DPA важно прописать условия привлечения субпроцессоров. IT-компания может передать на субподряд обработку персональных данных при условии, что:

  1. привлекает субпроцессоров от своего имени по письменному договору, но информирует заказчика про дополнения и замены в команде;
  2. несет ответственность за нарушения субпроцессоров;
  3. оценивает методы обеспечения безопасности и конфиденциальности субпроцессора до старта работы, чтобы установить, что он способен обеспечить высокий уровень защиты персональных данных, который требуется DPA;
  4. публикует список команды на дату вступления в силу DPA или предоставляет информацию по запросу.

 

Заказчик может возражать против изменений в составе команды и в течении определенного срока сообщить об этом. Но в DPA должен быть пункт про форс-мажорную замену. IT-компания может заменить субпроцессора без предварительного уведомления, если нужно действовать незамедлительно. Например, разработчик увольняется.

Привлечение к работе подрядчиков без разрешения контроллера может закончиться штрафом. Так в мае 2022 году Wens Experience SRL заплатила 1500 EUR за то, что привлекла сотрудника к обработке данных без письменного разрешения, а значит нарушила требования статьи 28 GDPR.

 

  • Выполнение мер безопасности по статье 32 GDPR

Вот перечень мер безопасности: анонимизация и шифрование; обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки; своевременное восстановление доступа к данным и тестирование эффективности мер. Перед началом работ по проекту, IT-компания должна реализовать такие меры. 

В кейсе DEDALUS BIOLOGY  компания заплатила штраф 1,500,000 EUR еще и потому, что нарушила статью 32 GDPR. CHIL обнаружили, что у компании нет специальной процедуры переноса данных, отсутствует шифрование и автоматическое удаление данных после переноса, а также аутентификация для доступа к общедоступной зоне FTP-сервера и другие нарушения. 

 

  • Содействие контроллеру

Например, процессор будет сотрудничать с контроллером при рассмотрении запросов от субъектов данных или регулирующих органов.

 

  • Удаление данных

Клиент может поручить экспортировать, извлечь или удалить персональные данные, оставшиеся на серверах.

 

  • Предоставление информации для демонстрации соблюдения обязательств

Клиент или его аудитор может проверять среду и методы обеспечения безопасности. В DPA советуем детализировать алгоритм и сроки аудита. Например, контроллер уведомляет об аудите по электронной почте за 60 дней. Периодичность проверок не может превышать более 1 раза в год. Время аудита ограничивается тремя рабочими днями. Стороны могут договориться, что проверка проводится в режиме онлайн. И не забудьте определить, кто несет расходы по аудиту.

 

А теперь разберем структуру документа подробнее.

IT-юристы Stalirov&Co разрабатывают DPA в формате основного соглашения и приложений к нему, которые определяют предмет, типы и цель обработки персональных данных, категории субъектов данных, технические и организационные меры. О каждом из разделов расскажем подробнее.

 

Предмет и категории персональных данных

Если IT-компания разрабатывает ПО для онлайн-банкинга, то субъектами данных будут клиенты банка. Тогда разработчики получают доступ к таким типам данных: имя, номера телефонов, адрес электронной почты, часовой пояс, адресные данные, доступ к системе/данные об использовании/авторизации, данные контракта, финансовые и банковские реквизиты, номер кредитной карты.

Для каждого кейса перечень будет отличаться.

 

Цели обработки

Список целей может быть таким:

  • использование персональных данных для настройки, эксплуатации, мониторинга и обеспечения функциональности программного продукта;
  • общение с субъектами данных;
  • хранение персональных данных в дата-центрах;
  • обновление программного продукта;
  • резервное копирование персональных данных;
  • компьютерная обработка персональных данных, включая передачу, поиск и доступ;
  • доступ к сети для передачи данных.

 

Технические и организационные меры

В DPA для аутсорсинговой IT-компании IT-юристы Stalirov&Co прописали такой перечень мер.

  • Контроль физического доступа — это предотвращение доступа посторонних в помещения, где расположены системы обработки данных. Например, здания и офисы защищены с помощью системы доступа по смарт-картам. Крайние точки входа в здание должны быть оборудованы сертифицированной системой ключей. Отдельные территории защищаются с помощью специальных профилей доступа, видеонаблюдения, систем охранной сигнализации и биометрических систем контроля доступа. Оборудование физической безопасности (датчики движения, камеры) регулярно проходит техническое обслуживание. Гости и посетители зданий должны зарегистрироваться на стойке регистрации.
  • Система контроля и управления доступом. При предоставлении доступа к конфиденциальным системам, используется несколько уровней авторизации. Весь персонал получает доступ к системам с уникальным идентификатором. Когда сотрудник уходит из компании, его права доступа аннулируются. Все пароли должны соответствовать определенным минимальным требованиям и храниться в зашифрованном виде. Обмен паролями запрещен, а система требует их регулярной смены. Сеть компании защищена от сети общего пользования брандмауэрами. Компания использует актуальное антивирусное ПО в точках доступа к сети, а также на всех файловых серверах и рабочих станциях. Удаленный доступ к корпоративной сети и критической инфраструктуре защищен строгой аутентификацией.
  • Контроль доступа к данным. IT-специалисты получают доступ только к тем данным, к которым имеют право. При этом данные не могут быть прочитаны, скопированы, изменены или удалены без разрешения. Команда имеет доступ к информации, которая необходима для выполнения тасков. IT-компания использует концепции авторизации, которые документируют процессы предоставления и назначенные роли для каждой учетной записи. Установка неодобренного ПО запрещена.
  • Контроль передачи данных. Движение данных по внутренним сетям и между IT-компанией и заказчиком должно быть защищено.
  • Контроль ввода данных — это возможность ретроспективно проверить и установить, были ли данные введены, изменены или удалены из систем обработки и кем.
  • Контроль доступности. Персональные данные будут защищены от случайного уничтожения или потери. Для реализации цели компания использует регулярные процессы резервного копирования и источники бесперебойного питания (ИБП, аккумуляторы, генераторы). Аварийные процессы и системы регулярно тестируются.
  • Контроль целостности данных. Компания внедряет многоуровневую стратегию защиты от модификаций. Использует брандмауэры, антивирусное программное обеспечение и проводит внешнее и внутреннее тестирование на проникновение.
Компаниям, которые проводят регулярный и систематический мониторинг персональных данных, нужен Data protection officer. Именно он поможет внедрить необходимые организационные и технические меры безопасности.

 

Standard Contractual Clauses 

SCC нужно подписывать, если данные выводятся за пределы Европейской экономической зоны, в страны, где нет достаточного уровня безопасности. 

Писать SCC самостоятельно не нужно. Просто подпишите уже разработанный Европейской комиссией стандартизированный документ. Этого требует статья 46 GDPR. Но не все выполняют это правило. 

Французская строительная компания Futura International в 2019 году получила штраф в 500 000 EUR. Компания передавала данные в Кот-д'Ивуар, Марокко, Тунис через программное обеспечение Profibus. Между Futura Internationale и подрядчиком был договор, но он не включал все необходимые условия о трансграничной передаче данных. Все потому, что Futura International решили разработать свои документы,а не воспользовались SCC.

 

Кто заплатит штраф за нарушение GDPR: контроллер или процессор?

Компаниям важно помнить, что передавая обработку данных подрядчикам, они считаются контролерами и несут ответственность не только за собственное соответствие требованиям GDPR, но и за соблюдение правил процессорами. 

Переложить ответственность на процессора не получится. Хотя многие компании пытались. Например, в 2020 году British Airways и Marriott утверждали, что в утечке данных виноваты не они, а сторонние поставщики услуг. Но аргумент не приняли во внимание, и каждой компании пришлось заплатить штрафы больше 20 млн EUR. 

С другой стороны, процессор несет ответственность, если не выполняет требования регламента, или выходит за рамки инструкций от контроллера. Такое правило прописано в статье 82 GDPR. Так компания DEDALUS BIOLOGY была процессором, но заплатила 1,500,000 EUR штрафа за извлечение большего объема информации, чем требовалось по инструкции. 

 

И контроллер, и процессор, могут обезопасить себя от несправедливых штрафов, если DPA между ними будет детально описывать объекты и цели обработки, организационные и технические меры безопасности. 

 

Меню статьи

Ответы на часто задаваемые вопросы

  • Какие требования к международной передаче данных нужно описать в Data protection agreement?

    В DPA должно быть положения про основание для международной передачи данных, например, согласие субъекта данных, использование стандартных договорных условий (SCC) или обязательных корпоративных правил (BCR). Если используете SCC, то эти договорные условия должны быть приложением к DPA. Обратите внимание, что SCC могут обновляться, поэтому в соглашениях должна использоваться последняя версия. Кроме этого, важно провести оценку воздействия (DPIA) для снижения рисков, связанных с международной передачей данных.

Публикации в СМИ со схожей тематикой

31.08.2023
Почему прежде чем паблишить игру важно провести GDPR аудит?
IT-юристы рассказали как составить Политику конфиденциальности, чтобы избежать штрафов
Перейти к источнику
04.04.2023
Когда IT-компании нужен GDPR аудит?
IT-юристы объяснили в чем заключается GDPR аудит, когда он нужен и как провести GDPR анализ
Перейти к источнику
23.02.2023
Аудит GDPR для веб-сервисов: опыт GDPR адвоката
GDPR адвоката рассказал о пунктах, которые должны быть в Политике конфиденциальности веб-сервисов
Перейти к источнику
24.12.2021
Когда действует GDPR в Украине?
Действие правил регламента по защите персональных данных распространяется на украинские компании в 3-х случаях. О них рассказываем в статье.
Перейти к источнику

Последние статьи

Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
18.09.23
Что такое КИК, какую отчетность нужно подавать и какие налоги платить - рассказываем в статье
Читать статью

Кейсы по теме статьи

Все кейсы
Для полноценной работы веб-сайта и улучшения предоставления услуг мы используем анонимные данные, предоставленные файлами Cookies!
ОК
Перезвоните мне IT-юрист свяжется с вами
для обсуждения деталей
Запрос на расчет услуги IT-юрист свяжется с вами
для обсуждения деталей
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK