Університет Меріленда підрахував, що кожні 39 секунд відбуваються атаки хакерів на комп'ютери з доступом в Інтернет. Щоб зробити рух даних безпечним, понад 120 країн ухвалили міжнародні закони про їхній захист. Один із таких законів – GDPR. Що це, кому доведеться впровадити, і в чому суть GDPR – розповідаємо у статті.
Що таке GDPR?
GDPR – це загальний регламент про захист персональних даних громадян Європейського союзу (ЄС). Закон пояснює що таке персональні дані та встановлює правила їхньої обробки. Впровадити GDPR доведеться бізнесу, який для надання послуг збирає, обробляє і зберігає дані мешканців наступних країн:
Територіально ваша компанія може перебувати в Україні чи США, але продавати товари, надавати послуги, або наймати на роботу громадян ЄС, а отже, на вас поширюється дія європейського регламенту. Щоб розібратися, чи потрібно вам впроваджувати GDPR, дайте відповідь на запитання нижче.
Що означає GDPR для українських компаній?
Якщо український бізнес продає товари та надає послуги громадянам ЄС, то процес роботи з персональними даними клієнтів регулюється GDPR. Окрім прямої взаємодії з громадянами ЄС, українські компанії отримують непрямий доступ до їхньої особистої інформації. Наприклад, ІТ-компанія з України розробляє програмний продукт для німецького банку. Для реалізації завдань команда розробників отримує доступ до даних клієнтів банку і повинна виконувати вимоги GDPR. Європейські замовники не підпишуть контракт з IT-компанією, якщо вона не створила безпечне середовище обробки персональних даних. Якщо в таких умовах відбудеться порушення правил обробки, то замовник отримає штраф на сотні тисяч євро. Наймаючи компанію для розробки програмного продукту, замовник надішле GDPR-опитувальник, щоб перевірити наскільки реалізовані заходи безпеки в IT-компанії.
Таким чином, компаніям з України слід розібратися з тим, як виконати умови регламенту із захисту персональних даних. Тому IT-юристи Stalirov&Co підготували огляд основних принципів GDPR.
Принципи обробки персональних даних
Обробка персональних даних повинна виконуватись відповідно до 7 принципів, які закріплені у статті 5 регламенту.
Законність, справедливість та прозорість
Це означає, що компанія отримує дані на законних підставах; виконує взяті на себе зобов'язання зі зберігання і передачі даних; надає вичерпну інформацію про збирання, обробку та зберігання.
Інформація про те, як компанія обробляє дані має бути повною.
Вимога про повноту включає заборону прихованої та невидимої обробки.
Крім повноти, необхідно виконати умову доступності.
Компаніям, які публікують політики конфіденційності на сайтах та в додатках, важливо описувати процеси збору та обробки чітко, коротко та простою мовою, щоб полегшити користувачеві розуміння того, як обробляються його дані. Власник IT-продукту має виділяти найважливіші моменти у документі та надавати інформацію за допомогою різних каналів взаємодії. Наприклад, використовувати відеоконтент, інформаційні фрагменти або спливаючі вікна. Окрім цього, політику конфіденційності необхідно розмістити у доступному місці. Звички користувача демонструють, що футер сайту або меню мобільного додатку ідеальні місця для посилання на політику. Таким чином, користувач завжди знаходиться в одному або двох кліках від доступу до документа.
Обмеження мети
Компанія повідомляє клієнтам цілі збору даних. Вони мають бути конкретними, чіткими та законними. Дані можуть збиратися та використовуватися лише для цілей, які необхідні для надання послуг.
IT-юристи Stalirov&Co розробили політику конфіденційності для SmartWatch – мобільного додатка для синхронізації годинника з Android-пристроєм. У документі юристи описали конкретні та законні цілі збору персональних даних: SmartWatch збирає персональні дані для покращення сервісу, спілкування з користувачами, онлайн-продажів, надання послуг, пов'язаних із спеціалізацією програми та інших безпечних дій. SmartWatch використовує особисті дані, щоб програма працювала швидко та ефективно. Основна мета обробки даних – переконатися, що використання програми буде зручним та зрозумілим. Крім того, програма використовує дані з інших причин, таких як безпека, підтримка клієнтів, маркетинг, дотримання юридичних зобов'язань, вимог бухгалтерського обліку та розробка програмного забезпечення.
Чим детальніший список цілей, тим менша ймовірність отримати штраф за порушення принципів GDPR.
Мінімізація
Збирайте мінімум необхідних та обов'язкових даних.
Наведемо приклад. Інтернет-магазин електронних книг розмістив на сайті форму, яку користувач має заповнити, щоб оформити замовлення. Власник інтернет-магазину використовував стандартну контактну форму, де запитував ім'я та прізвище, дату народження, номер телефону, електронну пошту та домашню адресу. Але не всі поля у формі необхідні. Для оформлення замовлення на електронну книгу потрібні лише ім'я, прізвище та електронна пошта, на яку буде надіслано текст книги. Збір інших персональних даних – порушення принципу мінімізації.
Доступ до даних повинні отримувати лише ті працівники, яким це потрібно для виконання робочих завдань.
Точність
Зберігайте лише актуальні дані та оновлюйте їх за потреби. Переконатись у точності даних можна за допомогою запиту на оновлення. Наприклад, інвестиційна компанія Freedom Finance щорічно просить власників брокерських рахунків подавати доручення на зміну відомостей та додати актуальні документи у десктопній та мобільній версіях програми Tradernet. Якщо клієнт цього не робить, доступ до рахунку блокується до оновлення даних.
Щоб виконати вимогу точності, медичні установи впроваджують метод хешування. Існує ризик помилки, коли дві людини одночасно отримують однакове лікування, а ім'я – це єдиний параметр, який їх ідентифікує. Тому потрібен унікальний ідентифікатор для кожної людини, а значить більше інформації, ніж ім'я пацієнта. Для цього установи створюють незмінні хеш-підписи для записів журналу лікування та пов'язаного з пацієнтом співробітника. Завдяки цьому будь-які зміни персональних даних можна розпізнати, зіставити та відстежити.
Обмеження зберігання
Вам потрібно встановити термін зберігання персональних даних та обґрунтувати, що цей період необхідний для конкретних цілей.
Цілісність та конфіденційність
Ви повинні впроваджувати технічні рішення для захисту даних від несанкціонованого або незаконного оброблення, випадкової втрати, знищення або пошкодження.
Наведемо приклад. Компанія хоче перенести особисті відомості клієнтів з бази даних на сервер. Ризик полягає в тому, що доступ до сервера є у всіх співробітників, але обробляти дані потрібно лише одному відділу. Щоб регулювати доступ та зменшити ймовірні збитки від шкідливих програм, компанія може розділити мережу та встановити контроль доступу до сервера. Крім цього, можна впровадити моніторинг безпеки та встановити систему виявлення та запобігання вторгненням. Завдяки автоматизованій системі аудиту порушення правил обробки можна буде швидко і легко розпізнати.
Підзвітність
Кожен крок роботи з персональними даними повинен детально описуватися в офіційних документах: політиках конфіденційності, угодах про захист даних, інструкціях про захист даних для співробітників та процедурах реагування та повідомлення про витік. Всі ці документи компанія повинна демонструвати органам нагляду для підтвердження відповідності GDPR. В іншому випадку можна отримати великі штрафи.
Які технічні та організаційні заходи безпеки має впровадити компанія, щоб відповідати GDPR?
Компанія зобов'язана реалізувати такі технічні та організаційні заходи для забезпечення високого рівня безпеки:
- псевдонімізація та шифрування;
- забезпечення конфіденційності та цілісності, доступності та стійкості систем та сервісів обробки;
- здатність оперативно відновити доступність даних;
- регулярне тестування заходів безпеки.
Помилки безпеки можуть призводити як до мінімальних, так і до мільйонних штрафів.
Щоб забезпечити відповідність GDPR та підвищити безпеку даних, розгляньте можливість впровадження таких рішень кібербезпеки:
Як пройти GDPR Compliance?
IT-юристи Stalirov&Co склали список дій щодо виконання вимог регламенту.
- Проведіть GDPR-аудит, щоб визначити, які персональні дані збирає компанія, на яких підставах і з якою метою. Це допоможе реалізувати принцип законності.
- Розробіть GDPR-документацію, як цього вимагає принцип підзвітності. Інтернет-магазинам, маркетплейсам, мобільним додаткам, Gamedev продуктам та іншим програмним рішенням, які збирають персональні дані користувачів в Інтернеті, знадобиться Політика конфіденційності. Компаніям із сфер фінансів, медицини, страхування, туризму, промисловості та інших галузей потрібно впроваджувати внутрішні угоди, політики та інструкції. Наприклад, Data protection agreement з підрядниками та співробітниками.
- Регулярно вносьте зміни до GDPR-документації, щоб клієнти отримували актуальну інформацію щодо обробки та зберігання їх даних. Оперативно оновлюйте відомості на запит суб'єктів даних. Це дозволить реалізувати принцип прозорості та точності.
- Розробіть графік зберігання даних, щоб не порушувати термін зберігання та виконати вимогу про видалення.
- Найміть у команду Data protection officer, який/а допоможе впровадити технічні та організаційні заходи безпеки, контролювати відповідність обробки регламенту GDPR для реалізації принципу цілісності та конфіденційності.