О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите

В условиях современной цифровой экономики, электронной коммерции, развития массовых информационно-коммуникационных технологий, возросла потребность в защите персональных данных (ПДн). Рост случаев утечки и злоупотреблений информации о пользователе создает угрозу правам и законным интересам человека. Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн) информирует об увеличении количества поступивших обращений и жалоб граждан, касающихся сферы защиты их ПДн [1]. Например, по данным ежегодных аналитических отчетов за 2019 год в государственных и коммерческих компаниях зафиксировано 1748 утечек информации (из них 322 утечки в России). На рисунке 1 представлен график сравнительного анализа утечек по некоторым секторам России и мира [2].

Поэтому, одним из требований компаний в условиях цифровой экономики, является защита информации, в том числе и ПДн. Компания должна обеспечить хранение и обработку ПДн своих сотрудников, клиентов, партнеров, поставщиков и других физических лиц. Любое неправомерное действие в отношении ПДн приводит к ущербу, а порой и к полной остановке деятельности организации.

ПДн является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), с помощью которой прямо или косвенно его можно определить [3].

Примерами такой информации может быть логин и пароль, интернет-ID, IP-адрес, личные данные (например, пол, возраст) и данные, которые сайты собирают для рекламных целей. Следовательно, каждый пользователь нуждается в помощи, понимании, правильном толковании и управлении доступом к своим ПДн.

В связи с этим был разработан европейский общий регламент быстрой обработки и защиты ПДн (General Data Protection Regulation, GDPR) [4; 5]. Действие GDPR экстерриториально, поэтому и накладывается регламент на организации, ведущие внешнеэкономическую деятельность на территории РФ, включая небольшие компании, и ведущие бизнес в интернете. Авторы статьи предлагают использовать следующий алгоритм внедрения GDPR в российские компании, который представлен на рисунке 2 [6].

Рисунок 1 – Сравнительный анализ утечек информации по России и миру

Соблюдение GDPR не требуется □

Рисунок 2 – Алгоритм действия GDPR в российских компаниях

Введение норм регулирования GDPR в российских компаниях, в первую очередь, касается организаций энергетической, финансовой, транспортной и ИТ-сфер, имеющие связи на мировом рынке. Для соблюдения требований GDPR в этих компаниях требуется более детальный алгоритм, который представлен на рисунке 3 [6].

Также следует учесть, что при внедрении GDPR в организации, возникает необходимость придерживаться принципов, которые составляют ядро регламента (рис.4).

Одним из основных документов GDPR является политика конфиденциальности, которая должна быть написана простым языком и представлять собой единый документ, содержащий основные цели обработки ПДн. Следовательно, политика должна содержать подробную информацию о сборе, хранении и использовании данных пользователя. Примерный список вопросов представлен на рисунке 5.

да

Роли

Определяем ли мы цели и средства обработки?

нет

Обрабатываем ли мы от лица контролера?

нет

да

да

Действуем ли мы совместно с кем-либо?

да

нет

Мы контролер

Мы совместный контролер

Законность

Найдите исключение по ст. 9 (2)GDPR

да

Особая категория данных?

Получите согласие / разрешение родителей

да

Обработка основана на согласии ребенка?

Найдите за-

нет

нет

нования по ст. 6GDPR

GDPR не применяется

Мы сторонняя организация

Мы процессор

непосредственное

исполне

ние

Обеспечьтепра-вильность и про-зрачностьобра-ботки

Обеспечьтесо-ответствие

цели

Минимизируйте обработку данных

Сохраните точность данных

Установите уведомление об утечке данных

Гарантии прав

Оценка рисков

Обеспечение ин-

Переносим ли мы

формационной без- данные за пределы

опасности

ЕС?

да

Используйте правильный международный механизм передачи данных

нет

Распределите следующие обязанности и выполняйте их соответственно

Обеспечьте своевременное удаление или анонимность данных

содействие контролеру

Демонстрация исполнения GDPR

Обеспечьте обработку с учетом конфиденциальности

Рисунок 3 – Алгоритм соблюдения требований GDPR

Внедрение GDPR в организацию и Политика конфиденциальности вносят изменения в работу компании. Возникает необходимость реорганизации бизнес-процессов и вносит изменения в штатную структуру компании.

Для определения основных направлений реорганизации компании следует провести экспресс-анализ для соответствия регламенту GDPR в рамках SAM-проекта (software asset management). Такой анализ выполняется специализированными компаниями. Реализация SAM-проекта позволит повысить эффективность работы IT-инфраструктуры; разработать рекомендации по мерам безопасности; составить перечень практических советов по управлению данными [7; 8].

Чтобы организовать работу компании в соответствии с положениями GDPR, по оценке экспертов, необходимо разработать около 40 документов: внутренние документы (большая часть), и для размещения на сайте (незначительная часть). Разработанные документы в дальнейшем используются для доказательства уполномоченным органам по защите персональных данных, что компания ведет свою работу по GDPR. В Политике конфиденциальности необходимо прописать какие из документов являются внутренними, а какие публикуются на сайте. Минимальный пакет необходимых документов представлен на рисунке 6.

Нормы GDPR затрагивают все данные с персонифицированной информацией: сведения об организациях и физических лицах [9; 10]. Включая маркетинговую информацию, при хранении которой большинство организаций относятся менее требовательно, чем к финансовой информации или сведениях медицинского ха-

Законность, справедливость, прозрачность

• •    информация о целях, методах и объёмах обработки персональных данных должна быть понятна и доступна для пользователей

рактера.

• •    какая информация о пользователе должна быть собрана

  Ограничение цели

•кто должен собрать, каким образом и на каком основании

• •    сбор персональных данных должен соответствовать    целям    организации

согласно Политики конфиденциальности

•как данные должны быть использованы в

3 работе

Минимизация данных

• •    каким третьим лицам должны быть переданы данные о пользователи

  • объем собранной информации должен соответствовать целям компании и нп противоречить                 Политики

  конфиденциальности

  
  
  
  

  •как долго данные должны хранять в организации

  
  

  Конкретность

  
  

  •как пользователь должен управлять своими данными

  
  

• •    данные пользователя должны быть точными и актуальными, по первому требованию пользователя исправлены либо удалены

  Ограничение хранения

• • какие меры наказания должны быть

• ⁷ применены за нарушение Политики конфедииальности

• •    использованные данные пользователя должны быть удалены сразу же после их использования

Рисунок 5 – Список вопросов, включенных в Политику конфиденциальности

Целостность и конфиденциальность

• •    данные   пользователя   должны   быть

защищены от несанкционированного доступа, незаконной   обработки или повреждения

• •    Уведомления об обработке ПДн (Privacy Notice)

• •    Общие и биметрические данные (Privacy Policy)

Рисунок 4 – Принципы GDPR

Соглашение об обработке данных GDPR (DPA, data processing agreement) должно соответствовать ряду требований: об обеспечении безопасности ПДн, возможности проведения внешнего аудита, предупреждении контролера о смене подрядчиков основного договора и уведомлении о нарушении информационной безопасности (ИБ). Следует отметить, что преимуществом GDPR является отсутствие необходимости отправлять замечания контролера в каждый локальный орган, ответственный за защиту ПДн.

• •    Политика сбора cookie-файлов(Cookie Policy)

• Политика защиты ПДн

• •    Согласие на обработку ПДн

• •    Отказ от ответственности (дисклеймер об обработке cookie)

Рисунок 6 – Минимальный пакет документов обработки ПДн в рамках GDPR

Особенно высокие требования предъявляются к пользовательским соглашениям. Так как у пользователя есть право отозвать свое согласие на обработку ПДн и потребовать удалить его данные. Это право называется Data Erasure.

Правом Data Erasure пользователь может воспользоваться, если:

• -    ПДн уже использованы и не требуется их дальнейшая обработка;

• -    пользователь отозвал согласие на обработку ПДн;

• -    данные собраны с нарушениями прав пользователя.

Компаниям, находящимся за пределами ЕС, рекомендуется иметь представителя для работы с европейскими регуляторами. В соответствии с регламентом GDPR, регуляторы наделяются правом затребовать информацию о том: как, где и с какой целью используются ПДн. Копия затребованной информации в обязательном порядке предоставляется пользователю в электронном формате, что может создавать угрозу как для контролеров, так и пользователей (риск утечки информации).

Основные правила GDPR представлены на рисунке 8.

При составлении пользовательского соглашения компания обязана придерживаться общих правил защиты ПДн.

I • Компании должны испльзовать максимально точные и понятные формулировки, исключая сложных словесные     конструкций     и юридические термины.

• •    Компании должны предоставлять электронную    копию    данных

пользователя по его просьбе.

• •    Пользователь имеет право отозвать свое согласие и отказаться от обработки своих данных в любой момент.

•Каковы типы персональных данных, 1 которая собирает компания?

• Компания обязана сообщить об утечки данных своим клиентам и регулирующим органам в течение 72 часов.

•Какова форма сбора данных?

Рисунок 8 – Основные правила GDPR

•Как эти данные использовать?

•Кто имеет доступ к данным?

•Есть ли возможность использования данных для автоматического составления портрета пользователя?

•Каковы критериии, по которым определяются сроки хранения данных?

Рисунок 7 – Вопросы, решаемые GDPR в плане защиты данных

На этапе разработки одним из важнейших пунктов регламента GDPR является обеспечение защиты ПДн [11; 12]. Вопросы, решаемые GDPR в разрезе защиты данных, представлены на рисунке 7.

Выводы

За три года работы российских компаний в рамках требований GDPR были выявлены следующие проблемы:

• 1.    Отсутствие четкого понимания, в каких процессах необходимо обеспечить выполнение требований GDPR.

• 2.    Необходимость присутствия штатного специалиста по GDPR или наемного внешнего специалиста из компании, представляющей функцию DPO (data protection officer), т.е. лица, ответственного за защиту ПДн. В компаниях самостоятельно, без квалифицированного специалиста, разобраться в тонкостях требований GDPR очень сложно. Если компания, выполняющая функцию DPO, иностранная (как зачастую бывает), то могут возникнуть трудности общения на иностранном языке.

• 3.    Возникновение трудностей при размещении ПДн в информационных системах ПДн, расположенных за границей и обрабатывающих ПДн граждан Евросоюза, которые связаны одновременно с необходимостью выполнения

• 4.    Отсутствие у многих организаций необходимых шаблонов документов, например DPA.

• 5.    Возникновение трудностей с описанием процессов обработки ПДн в организации, затрагивающих требования GDPR.

• 6.    Необходимость создания двух комплектов документов, одного по 152-ФЗ (на русском языке), другого по GDPR (на английском языке). Терминология 152-ФЗ и GDPR немного отличается, что приводит к трудностям перевода.

требований как ФЗ-152, так и GDPR, так как подходы по защите ПДн разные.

Трудность заключается в том, что требования GDPR находятся на стыке ИБ и юридического направления, не совсем понятно в каком подразделении должен быть специалист по GDPR. Неоспоримым преимуществом организаций, имеющих в штате специалистов по GDPR и защите ПДн, является:

• 1.    Повышение уровня доверия со стороны международных партнеров.

• 2.    Появление описания процессов обработки ПДн. В случае отзыва согласия на обработку ПДн становится понятно в каких информационных системах ПДн какие данные конкретного субъекта ПДн обрабатываются.

Исследование, проведенное авторами, позволяет дать следующие рекомендации российским компаниям, применяющим GDPR:

• 1.    Брать в штат квалифицированных специалистов по защите ПДн.

• 2.    Проходить обучение по GDPR.

• 3.    Проводить аудиты специализированных организаций по направлению защиты ПДн. Необходимо грамотно сформулировать требования к аудиту и контролировать процесс его проведения.