О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите
Автор: Майорова Елена Витальевна, Соколовская Светлана Анатольевна, Ширшикова Марина Сергеевна
Журнал: Технико-технологические проблемы сервиса @ttps
Рубрика: Методические основы совершенствования проектирования и производства технических систем
Статья в выпуске: 3 (57), 2021 года.
Бесплатный доступ
В статье рассмотрены вопросы обеспечения безопасности персональных данных российскими компаниями в условиях цифровой экономики. Составлены алгоритмы и разработаны рекомендации применимости общего регламента по защите персональных данных и соблюдения его требований в российской компании.
Цифровая экономика, безопасность обработки персональных данных, персональные данные, информационная безопасность, защита информации
Короткий адрес: https://sciup.org/148323822
IDR: 148323822
Текст научной статьи О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите
В условиях современной цифровой экономики, электронной коммерции, развития массовых информационно-коммуникационных технологий, возросла потребность в защите персональных данных (ПДн). Рост случаев утечки и злоупотреблений информации о пользователе создает угрозу правам и законным интересам человека. Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн) информирует об увеличении количества поступивших обращений и жалоб граждан, касающихся сферы защиты их ПДн [1]. Например, по данным ежегодных аналитических отчетов за 2019 год в государственных и коммерческих компаниях зафиксировано 1748 утечек информации (из них 322 утечки в России). На рисунке 1 представлен график сравнительного анализа утечек по некоторым секторам России и мира [2].
Поэтому, одним из требований компаний в условиях цифровой экономики, является защита информации, в том числе и ПДн. Компания должна обеспечить хранение и обработку ПДн своих сотрудников, клиентов, партнеров, поставщиков и других физических лиц. Любое неправомерное действие в отношении ПДн приводит к ущербу, а порой и к полной остановке деятельности организации.
ПДн является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), с помощью которой прямо или косвенно его можно определить [3].
Примерами такой информации может быть логин и пароль, интернет-ID, IP-адрес, личные данные (например, пол, возраст) и данные, которые сайты собирают для рекламных целей. Следовательно, каждый пользователь нуждается в помощи, понимании, правильном толковании и управлении доступом к своим ПДн.
В связи с этим был разработан европейский общий регламент быстрой обработки и защиты ПДн (General Data Protection Regulation, GDPR) [4; 5]. Действие GDPR экстерриториально, поэтому и накладывается регламент на организации, ведущие внешнеэкономическую деятельность на территории РФ, включая небольшие компании, и ведущие бизнес в интернете. Авторы статьи предлагают использовать следующий алгоритм внедрения GDPR в российские компании, который представлен на рисунке 2 [6].

Рисунок 1 – Сравнительный анализ утечек информации по России и миру


Соблюдение GDPR не требуется □
Рисунок 2 – Алгоритм действия GDPR в российских компаниях
Введение норм регулирования GDPR в российских компаниях, в первую очередь, касается организаций энергетической, финансовой, транспортной и ИТ-сфер, имеющие связи на мировом рынке. Для соблюдения требований GDPR в этих компаниях требуется более детальный алгоритм, который представлен на рисунке 3 [6].
Также следует учесть, что при внедрении GDPR в организации, возникает необходимость придерживаться принципов, которые составляют ядро регламента (рис.4).
Одним из основных документов GDPR является политика конфиденциальности, которая должна быть написана простым языком и представлять собой единый документ, содержащий основные цели обработки ПДн. Следовательно, политика должна содержать подробную информацию о сборе, хранении и использовании данных пользователя. Примерный список вопросов представлен на рисунке 5.


да
Роли
Определяем ли мы цели и средства обработки?
нет
Обрабатываем ли мы от лица контролера?
нет
да
да
Действуем ли мы совместно с кем-либо?
да
нет
Мы контролер
Мы совместный контролер
Законность
Найдите исключение по ст. 9 (2)GDPR
да
Особая категория данных?
Получите согласие / разрешение родителей
да
Обработка основана на согласии ребенка?
Найдите за-
нет
нет
нования по ст. 6GDPR
GDPR не применяется
Мы сторонняя организация
Мы процессор
непосредственное
исполне
ние
Обеспечьтепра-вильность и про-зрачностьобра-ботки
Обеспечьтесо-ответствие
цели
Минимизируйте обработку данных
Сохраните точность данных
Установите уведомление об утечке данных
Гарантии прав
Оценка рисков
Обеспечение ин-
Переносим ли мы
формационной без- данные за пределы
опасности
ЕС?
да
Используйте правильный международный механизм передачи данных
нет
Распределите следующие обязанности и выполняйте их соответственно
Обеспечьте своевременное удаление или анонимность данных
содействие контролеру
Демонстрация исполнения GDPR
Обеспечьте обработку с учетом конфиденциальности

Рисунок 3 – Алгоритм соблюдения требований GDPR
Внедрение GDPR в организацию и Политика конфиденциальности вносят изменения в работу компании. Возникает необходимость реорганизации бизнес-процессов и вносит изменения в штатную структуру компании.
Для определения основных направлений реорганизации компании следует провести экспресс-анализ для соответствия регламенту GDPR в рамках SAM-проекта (software asset management). Такой анализ выполняется специализированными компаниями. Реализация SAM-проекта позволит повысить эффективность работы IT-инфраструктуры; разработать рекомендации по мерам безопасности; составить перечень практических советов по управлению данными [7; 8].
Чтобы организовать работу компании в соответствии с положениями GDPR, по оценке экспертов, необходимо разработать около 40 документов: внутренние документы (большая часть), и для размещения на сайте (незначительная часть). Разработанные документы в дальнейшем используются для доказательства уполномоченным органам по защите персональных данных, что компания ведет свою работу по GDPR. В Политике конфиденциальности необходимо прописать какие из документов являются внутренними, а какие публикуются на сайте. Минимальный пакет необходимых документов представлен на рисунке 6.
Нормы GDPR затрагивают все данные с персонифицированной информацией: сведения об организациях и физических лицах [9; 10]. Включая маркетинговую информацию, при хранении которой большинство организаций относятся менее требовательно, чем к финансовой информации или сведениях медицинского ха-
Законность, справедливость, прозрачность
-
• информация о целях, методах и объёмах обработки персональных данных должна быть понятна и доступна для пользователей
рактера.
-
• какая информация о пользователе должна быть собрана
Ограничение цели
•кто должен собрать, каким образом и на каком основании
-
• сбор персональных данных должен соответствовать целям организации
согласно Политики конфиденциальности
•как данные должны быть использованы в
3 работе
Минимизация данных |
-
• каким третьим лицам должны быть переданы данные о пользователи
• объем собранной информации должен соответствовать целям компании и нп противоречить Политики
конфиденциальности
•как долго данные должны хранять в организации
Конкретность
•как пользователь должен управлять своими данными
-
• данные пользователя должны быть точными и актуальными, по первому требованию пользователя исправлены либо удалены
Ограничение хранения
-
• какие меры наказания должны быть
-
7 применены за нарушение Политики конфедииальности
-
• использованные данные пользователя должны быть удалены сразу же после их использования
Рисунок 5 – Список вопросов, включенных в Политику конфиденциальности
Целостность и конфиденциальность |
-
• данные пользователя должны быть
защищены от несанкционированного доступа, незаконной обработки или повреждения

-
• Уведомления об обработке ПДн (Privacy Notice)
-
• Общие и биметрические данные (Privacy Policy)
Рисунок 4 – Принципы GDPR
Соглашение об обработке данных GDPR (DPA, data processing agreement) должно соответствовать ряду требований: об обеспечении безопасности ПДн, возможности проведения внешнего аудита, предупреждении контролера о смене подрядчиков основного договора и уведомлении о нарушении информационной безопасности (ИБ). Следует отметить, что преимуществом GDPR является отсутствие необходимости отправлять замечания контролера в каждый локальный орган, ответственный за защиту ПДн.
-
• Политика сбора cookie-файлов(Cookie Policy)

• Политика защиты ПДн
-
• Согласие на обработку ПДн
-
• Отказ от ответственности (дисклеймер об обработке cookie)
Рисунок 6 – Минимальный пакет документов обработки ПДн в рамках GDPR
Особенно высокие требования предъявляются к пользовательским соглашениям. Так как у пользователя есть право отозвать свое согласие на обработку ПДн и потребовать удалить его данные. Это право называется Data Erasure.
Правом Data Erasure пользователь может воспользоваться, если:
-
- ПДн уже использованы и не требуется их дальнейшая обработка;
-
- пользователь отозвал согласие на обработку ПДн;
-
- данные собраны с нарушениями прав пользователя.
Компаниям, находящимся за пределами ЕС, рекомендуется иметь представителя для работы с европейскими регуляторами. В соответствии с регламентом GDPR, регуляторы наделяются правом затребовать информацию о том: как, где и с какой целью используются ПДн. Копия затребованной информации в обязательном порядке предоставляется пользователю в электронном формате, что может создавать угрозу как для контролеров, так и пользователей (риск утечки информации).
Основные правила GDPR представлены на рисунке 8.
При составлении пользовательского соглашения компания обязана придерживаться общих правил защиты ПДн.
I • Компании должны испльзовать максимально точные и понятные формулировки, исключая сложных словесные конструкций и юридические термины.

-
• Компании должны предоставлять электронную копию данных
пользователя по его просьбе.
-
• Пользователь имеет право отозвать свое согласие и отказаться от обработки своих данных в любой момент.
•Каковы типы персональных данных, 1 которая собирает компания?
• Компания обязана сообщить об утечки данных своим клиентам и регулирующим органам в течение 72 часов.
•Какова форма сбора данных?
Рисунок 8 – Основные правила GDPR
•Как эти данные использовать?
•Кто имеет доступ к данным?
•Есть ли возможность использования данных для автоматического составления портрета пользователя?
•Каковы критериии, по которым определяются сроки хранения данных?
Рисунок 7 – Вопросы, решаемые GDPR в плане защиты данных
На этапе разработки одним из важнейших пунктов регламента GDPR является обеспечение защиты ПДн [11; 12]. Вопросы, решаемые GDPR в разрезе защиты данных, представлены на рисунке 7.
Выводы
За три года работы российских компаний в рамках требований GDPR были выявлены следующие проблемы:
-
1. Отсутствие четкого понимания, в каких процессах необходимо обеспечить выполнение требований GDPR.
-
2. Необходимость присутствия штатного специалиста по GDPR или наемного внешнего специалиста из компании, представляющей функцию DPO (data protection officer), т.е. лица, ответственного за защиту ПДн. В компаниях самостоятельно, без квалифицированного специалиста, разобраться в тонкостях требований GDPR очень сложно. Если компания, выполняющая функцию DPO, иностранная (как зачастую бывает), то могут возникнуть трудности общения на иностранном языке.
-
3. Возникновение трудностей при размещении ПДн в информационных системах ПДн, расположенных за границей и обрабатывающих ПДн граждан Евросоюза, которые связаны одновременно с необходимостью выполнения
-
4. Отсутствие у многих организаций необходимых шаблонов документов, например DPA.
-
5. Возникновение трудностей с описанием процессов обработки ПДн в организации, затрагивающих требования GDPR.
-
6. Необходимость создания двух комплектов документов, одного по 152-ФЗ (на русском языке), другого по GDPR (на английском языке). Терминология 152-ФЗ и GDPR немного отличается, что приводит к трудностям перевода.
требований как ФЗ-152, так и GDPR, так как подходы по защите ПДн разные.
Трудность заключается в том, что требования GDPR находятся на стыке ИБ и юридического направления, не совсем понятно в каком подразделении должен быть специалист по GDPR. Неоспоримым преимуществом организаций, имеющих в штате специалистов по GDPR и защите ПДн, является:
-
1. Повышение уровня доверия со стороны международных партнеров.
-
2. Появление описания процессов обработки ПДн. В случае отзыва согласия на обработку ПДн становится понятно в каких информационных системах ПДн какие данные конкретного субъекта ПДн обрабатываются.
Исследование, проведенное авторами, позволяет дать следующие рекомендации российским компаниям, применяющим GDPR:
-
1. Брать в штат квалифицированных специалистов по защите ПДн.
-
2. Проходить обучение по GDPR.
-
3. Проводить аудиты специализированных организаций по направлению защиты ПДн. Необходимо грамотно сформулировать требования к аудиту и контролировать процесс его проведения.
Список литературы О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите
- В 2019 году вновь выросло количество поступивших в Роскомнадзор жалоб по тематике защиты персональных данных. URL: https://rkn.gov.ru/news/rsoc/news71528.htm (дата обращения 21.07.2021).
- Утечки данных. Россия. 2019 год. URL: https://www.infowatch.ru/analytics/analitika/utechki-dannykh-rossiya-2019-god (дата обращения 11.08.2021).
- Федеральный закон № 152 «О персональных данных» от 27.07.2006 N 152-ФЗ. URL: http://www.consultant.ru/document/cons_doc_LAW_61 801/ (дата обращения 11.08.2021).
- GDPR - что это. URL: https://aizas.ru/gdpr-chto-eto/ (дата обращения: 15.08.2021).
- Общий регламент защиты персональных данных (GDPR) Европейского союза. URL: https://gdpr-text.com/ (дата обращения: 15.08.2021).
- Воронкевич С. Что такое GDPR и какие требования предъявляет, - рассказываем простыми словами. URL: https ://data-privacy-office.com/what-is-gdpr/?fbclid=IwAR1VNEOtJP9RSssOqy8RpYTYjKUPNfIQ6Ey Yg 1ekkjGisSZEaWRG-KKpMYk (дата обращения: 12.08.2021).
- Семёнова Т.Г. Безопасность персональных данных в контексте европейского регламента GDPR / Семёнова Т.Г., Семёнова С.О. // Информационная безопасность цифрового пространства / под ред. Е.В. Стельмашонок, И.Н. Васильевой. - СПб.: Изд-во СПбГЭУ, 2019. - 155 с.
- GDPR SAM-проект: комплексная оценка на соответствие общему регламенту Евросоюза по защите данных. URL: https://www.infosec.ru/upload/medialibrary/edf/SAM-GDPR-Assessment-Customer-Flyer.pdf (дата обращения: 14.08.2021).
- Красильникова Е.В., Майорова Е.В., Соколовская С.А. Методические аспекты внедрения GDPR в организации / Цифровые технологии и проблемы информационной безопасности : [монография] / [Т.И.Аб-дуллин, И.Г.Гниденко, И.В.Егорова и др.] ; под ред. Е.В. Стельмашонок, И.Н. Васильевой ; М-во науки и высш. образования Рос. Федерации, С.-Петерб. гос. экон. ун-т, Каф. вычисл. систем и программирования Санкт-Петербург : Изд-во СПбГЭУ, 2021, C. 116-125.
- Дурандина А.П., Еникеева Л.А. Организация защиты персональных данных в банковских информационных системах российской федерации // Петербургский экономический журнал: научно-практический рецензируемый журнал. 2018. № 4. С. 102-119.
- Guide to the General Data Protection Regulation (GDPR). URL: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr (дата обращения: 29.08.2021).
- EDPB: Guidelines, Recommendations, Best Practices. [Электронный ресурс]. URL: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en (дата обращения: 29.08.2021).