Университет Мэриленда подсчитал, что каждые 39 секунд происходят хакерские атаки на компьютеры с доступом в Интернет. Чтобы сделать движение данных безопасным, более 120 стран приняли международные законы об их защите. Один из таких законов – GDPR. Что это, кому придется внедрить, и в чем суть GDPR – рассказываем в статье.
Что такое GDPR?
GDPR — это общий регламент о защите персональных данных граждан Европейского союза (ЕС). Закон объясняет что такое персональные данные и устанавливает правила их обработки. Внедрить GDPR придется бизнесу, который для оказания услуг собирает, обрабатывает и хранит данные жителей следующих стран:
Территориально ваша компания может находиться в Украине или США, но продавать товары, предоставлять услуги, или нанимать на работу граждан ЕС, а значит на вас распространяется действие европейского регламента. Чтобы разобраться, нужно ли вам внедрять GDPR, ответьте на вопросы ниже.
Что значит GDPR для украинских компаний?
Если украинский бизнес продает товары и предоставляет услуги гражданам ЕС то процесс работы с персональными данными клиентов регулируется GDPR. Кроме прямого взаимодействия с гражданами ЕС, украинские компании получают непрямой доступ к их личной информации. Например, IT-компания из Украины разрабатывает программный продукт для немецкого банка. Для реализации задач, команда разработчиков получает доступ к данным клиентов банка и должна выполнять требования GDPR. Европейские заказчики не подпишут контракт с IT-компанией, если она не создала безопасную среду обработки персональных данных. Если в таких условиях произойдет нарушение правил обработки, то и заказчик получит штраф на сотни тысяч евро. Нанимая компанию для разработки программного продукта, заказчик пришлет GDPR-опросник, чтобы проверить насколько реализованы меры безопасности в IT-компании.
Таким образом, компаниям из Украины нужно разобраться с тем, как выполнить условия общего регламента о защите персональных данных. Поэтому IT-юристы Stalirov&Co подготовили обзор основных принципов GDPR.
Принципы обработки персональных данных
Обработка персональных данных должна выполняться в соответствии с 7 принципами, которые закреплены в 5 статье регламента.
Законность, справедливость и прозрачность
Это означает, что компания получает данные на законных основаниях; выполняет взятые на себя обязательства по хранению и передаче данных; предоставляет исчерпывающую информацию про сбор, обработку и хранение.
Одно из законных оснований для обработки — согласие клиента. Каждое действие с персональными данными должно быть согласовано.
Информация о том, как компания обрабатывает данные должна быть полной.
Требование о полноте включает запрет скрытой и невидимой обработки.
Кроме полноты, нужно выполнить условие доступности.
Компаниям, которые публикуют политики конфиденциальности на сайтах и в приложениях, важно описывать процессы сбора и обработки четко, кратко и простым языком, чтобы облегчить пользователю понимание того, как обрабатываются его данные. Собственник IT-продукта должен выделять самые важные моменты в документе и предоставлять информацию с помощью разных каналов взаимодействия. Например, использовать видеоконтент, информационные фрагменты или всплывающие окна. Кроме этого, политику конфиденциально необходимо разместить в доступном месте. Пользовательские привычки демонстрируют, что футер сайта или раскрывающееся меню приложения идеальные места для ссылки на политику. Таким образом пользователь всегда находится в одном или двух кликах от доступа к документу.
Ограничение цели
Компания сообщает клиентам цели сбора данных. Они должны быть конкретными, отчетливыми и законными. Данные могут собираться и использоваться только для целей, которые необходимы для предоставления услуг.
IT-юристы Stalirov&Co разрабатывали политику конфиденциальности SmartWatch – мобильного приложения для синхронизации часов с Android-устройством. В документе юристы описали конкретные и законные цели сбора персональных данных: SmartWatch собирает персональные данные для улучшения сервиса, общения с посетителями, онлайн-продаж, предоставления услуг, связанных со специализацией приложения и других безопасных действий. SmartWatch использует личные данные, чтобы приложение работало быстро и эффективно. Основная цель обработки данных — убедиться, что использование приложения будет удобным и понятным. Кроме того, приложение использует данные по другим причинам, таким как безопасность, поддержка клиентов, маркетинг, соблюдение юридических обязательств, требований бухгалтерского учета и разработка программного обеспечения.
Чем детальнее список целей, тем меньше вероятность получить штраф за нарушение принципов GDPR.
Минимизация
Собирайте минимум необходимых и обязательных данных.
Приведем пример. Интернет-магазин электронных книг разместил на сайте форму, которую пользователь должен заполнить, чтобы оформить заказ. Собственник интернет-магазина использовал стандартную контактную форму, где запрашивал имя и фамилию, дату рождения, номер телефона, электронную почту и домашний адрес. Но не все поля в форме строго необходимы. Для оформления заказа на электронную книгу нужны только имя, фамилия и электронная почта, на которую будет отправлен текст книги. Сбор остальных персональных данных - это нарушение принципа минимизации.
Точность
Храните только актуальные данные и обновляйте их при необходимости. Убедиться в точности данных можно с помощью запроса на обновление. Например, инвестиционная компания Freedom Finance ежегодно просит собственников брокерских счетов подавать поручение на изменение сведений и прилагать актуальные документы в десктопной и мобильной версиях приложения Tradernet. Если клиент этого не делает, доступ к счету блокируется до обновления данных.
Чтобы выполнить требование точности, медицинские учреждения внедряют метод хэширования. Существует риск ошибки, когда два человека одновременно получают одинаковое лечение, а имя — это единственным параметр, который их разделяет. Поэтому, нужен уникальный идентификатор для каждого человека, а значит больше информации, чем имя пациента. Для этого учреждения создают неизменяемые хэш-подписи для записей журнала лечения и связанного с пациентом сотрудника. Благодаря этому любые изменения персональных данных можно распознать, сопоставить и отследить.
Нарушение принципа точности приводит к штрафам.
Ограничение хранения
Вам нужно установить срок хранения персональных данных и обосновать, что этот период необходим для конкретных целей.
Целостность и конфиденциальность
Вы должны внедрять технические решения для защиты данных от несанкционированной или незаконной обработки, случайной потери, уничтожения или повреждения.
Приведем пример. Компания хочет перенести личные сведения клиентов из базы данных на сервер. Риск состоит в том, что доступ к серверу есть у всех сотрудников, но обрабатывать данные нужно только одному отделу. Чтобы регулировать доступ и уменьшить вероятный ущерб от вредоносных программ, компания может разделить сеть и установить контроль доступа к серверу. Кроме этого, можно внедрить мониторинг безопасности и установить систему обнаружения и предотвращения вторжений. Благодаря автоматизированной системе аудита, нарушение правил обработки может быть быстро и легко распознано.
Подотчетность
Каждый шаг работы с персональными данными должен детально описываться в официальных документах: политиках конфиденциальности, соглашениях о защите данных, инструкциях о защите данных для сотрудниках и процедурах про реагированию и уведомлению об утечке. Все эти документы компания должна демонстрировать надзорным органам для подтверждения соответствия GDPR. В противном случае можно получить большие штрафы.
Какие технические и организационные меры безопасности должна внедрить компания, чтобы соответствовать GDPR?
Компания обязана реализовать такие технические и организационные меры для обеспечения высокого уровня безопасности:
- псевдонимизация и шифрование;
- обеспечение конфиденциальности и целостности, доступности и устойчивости систем и сервисов обработки;
- способность оперативно восстановить доступность данных;
- регулярное тестирование мер безопасности.
Ошибки системы безопасности могут приводить как к минимальным, так и к миллионным штрафам.
Чтобы обеспечить соответствие GDPR и повысить безопасность данных, рассмотрите возможность внедрения таких решений кибербезопасности:
Как пройти GDPR Compliance?
IT-юристы Stalirov&Co составили список действий по выполнению требований регламента.
- Проведите GDPR-аудит, чтобы определить какие персональные данные собирает компания, на каких основаниях и с какой целью. Это поможет реализовать принцип законности.
- Разработайте GDPR-документацию как этого требует принцип подотчетности. Интернет-магазинам, маркетплейсам, мобильным приложениям, Gamedev продуктам и другим программным решениям, которые собирают персональные данные пользователей в Интернете понадобится Политика конфиденциальности. Компаниям из сфер финансов, медицины, страхования, туризма, промышленности и других отраслей нужно внедрять внутренние соглашения, политики и инструкции. Например, Data protection agreement c подрядчиками и сотрудниками.
- Регулярно вносите изменения в GDPR-документацию, чтобы клиенты получали актуальную информацию про обработку и хранение их данных. Оперативно обновляйте сведения по запросу субъектов данных. Это позволит реализовать принцип прозрачности и точности.
- Разработайте график хранения данных, чтобы не нарушать сроки хранения и выполнить требование об удалении.
- Наймите в команду Data protection officer, который/ая поможет внедрить технические и организационные меры безопасности, контролировать соответствие обработки регламенту GDPR , для реализации принципа целостности и конфиденциальности.