О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите

Автор: Майорова Елена Витальевна, Соколовская Светлана Анатольевна, Ширшикова Марина Сергеевна

Журнал: Технико-технологические проблемы сервиса @ttps

Рубрика: Методические основы совершенствования проектирования и производства технических систем

Статья в выпуске: 3 (57), 2021 года.

Бесплатный доступ

В статье рассмотрены вопросы обеспечения безопасности персональных данных российскими компаниями в условиях цифровой экономики. Составлены алгоритмы и разработаны рекомендации применимости общего регламента по защите персональных данных и соблюдения его требований в российской компании.

Цифровая экономика, безопасность обработки персональных данных, персональные данные, информационная безопасность, защита информации

Короткий адрес: https://sciup.org/148323822

IDR: 148323822

Текст научной статьи О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите

В условиях современной цифровой экономики, электронной коммерции, развития массовых информационно-коммуникационных технологий, возросла потребность в защите персональных данных (ПДн). Рост случаев утечки и злоупотреблений информации о пользователе создает угрозу правам и законным интересам человека. Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн) информирует об увеличении количества поступивших обращений и жалоб граждан, касающихся сферы защиты их ПДн [1]. Например, по данным ежегодных аналитических отчетов за 2019 год в государственных и коммерческих компаниях зафиксировано 1748 утечек информации (из них 322 утечки в России). На рисунке 1 представлен график сравнительного анализа утечек по некоторым секторам России и мира [2].

Поэтому, одним из требований компаний в условиях цифровой экономики, является защита информации, в том числе и ПДн. Компания должна обеспечить хранение и обработку ПДн своих сотрудников, клиентов, партнеров, поставщиков и других физических лиц. Любое неправомерное действие в отношении ПДн приводит к ущербу, а порой и к полной остановке деятельности организации.

ПДн является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), с помощью которой прямо или косвенно его можно определить [3].

Примерами такой информации может быть логин и пароль, интернет-ID, IP-адрес, личные данные (например, пол, возраст) и данные, которые сайты собирают для рекламных целей. Следовательно, каждый пользователь нуждается в помощи, понимании, правильном толковании и управлении доступом к своим ПДн.

В связи с этим был разработан европейский общий регламент быстрой обработки и защиты ПДн (General Data Protection Regulation, GDPR) [4; 5]. Действие GDPR экстерриториально, поэтому и накладывается регламент на организации, ведущие внешнеэкономическую деятельность на территории РФ, включая небольшие компании, и ведущие бизнес в интернете. Авторы статьи предлагают использовать следующий алгоритм внедрения GDPR в российские компании, который представлен на рисунке 2 [6].

Рисунок 1 – Сравнительный анализ утечек информации по России и миру

Соблюдение GDPR не требуется

Рисунок 2 – Алгоритм действия GDPR в российских компаниях

Введение норм регулирования GDPR в российских компаниях, в первую очередь, касается организаций энергетической, финансовой, транспортной и ИТ-сфер, имеющие связи на мировом рынке. Для соблюдения требований GDPR в этих компаниях требуется более детальный алгоритм, который представлен на рисунке 3 [6].

Также следует учесть, что при внедрении GDPR в организации, возникает необходимость придерживаться принципов, которые составляют ядро регламента (рис.4).

Одним из основных документов GDPR является политика конфиденциальности, которая должна быть написана простым языком и представлять собой единый документ, содержащий основные цели обработки ПДн. Следовательно, политика должна содержать подробную информацию о сборе, хранении и использовании данных пользователя. Примерный список вопросов представлен на рисунке 5.

да

Роли

Определяем ли мы цели и средства обработки?

нет

Обрабатываем ли мы от лица контролера?

нет

да

да

Действуем ли мы совместно с кем-либо?

да

нет

Мы контролер

Мы совместный контролер

Законность

Найдите исключение по ст. 9 (2)GDPR

да

Особая категория данных?

Получите согласие / разрешение родителей

да

Обработка основана на согласии ребенка?

Найдите за-

нет

нет

нования по ст. 6GDPR

GDPR не применяется

Мы сторонняя организация

Мы процессор

непосредственное

исполне

ние

Обеспечьтепра-вильность и про-зрачностьобра-ботки

Обеспечьтесо-ответствие

цели

Минимизируйте обработку данных

Сохраните точность данных

Установите уведомление об утечке данных

Гарантии прав

Оценка рисков

Обеспечение ин-

Переносим ли мы

формационной без- данные за пределы

опасности

ЕС?

да

Используйте правильный международный механизм передачи данных

нет

Распределите следующие обязанности и выполняйте их соответственно

Обеспечьте своевременное удаление или анонимность данных

содействие контролеру

Демонстрация исполнения GDPR

Обеспечьте обработку с учетом конфиденциальности

Рисунок 3 – Алгоритм соблюдения требований GDPR

Внедрение GDPR в организацию и Политика конфиденциальности вносят изменения в работу компании. Возникает необходимость реорганизации бизнес-процессов и вносит изменения в штатную структуру компании.

Для определения основных направлений реорганизации компании следует провести экспресс-анализ для соответствия регламенту GDPR в рамках SAM-проекта (software asset management). Такой анализ выполняется специализированными компаниями. Реализация SAM-проекта позволит повысить эффективность работы IT-инфраструктуры; разработать рекомендации по мерам безопасности; составить перечень практических советов по управлению данными [7; 8].

Чтобы организовать работу компании в соответствии с положениями GDPR, по оценке экспертов, необходимо разработать около 40 документов: внутренние документы (большая часть), и для размещения на сайте (незначительная часть). Разработанные документы в дальнейшем используются для доказательства уполномоченным органам по защите персональных данных, что компания ведет свою работу по GDPR. В Политике конфиденциальности необходимо прописать какие из документов являются внутренними, а какие публикуются на сайте. Минимальный пакет необходимых документов представлен на рисунке 6.

Нормы GDPR затрагивают все данные с персонифицированной информацией: сведения об организациях и физических лицах [9; 10]. Включая маркетинговую информацию, при хранении которой большинство организаций относятся менее требовательно, чем к финансовой информации или сведениях медицинского ха-

Законность, справедливость, прозрачность

  • •    информация о целях, методах и объёмах обработки персональных данных должна быть понятна и доступна для пользователей

рактера.

  • •    какая информация о пользователе должна быть собрана

    Ограничение цели

•кто должен собрать, каким образом и на каком основании

  • •    сбор персональных данных должен соответствовать    целям    организации

согласно Политики конфиденциальности

•как данные должны быть использованы в

3 работе

Минимизация данных

  • •    каким третьим лицам должны быть переданы данные о пользователи

    • объем собранной информации должен соответствовать целям компании и нп противоречить                 Политики

    конфиденциальности



    •как долго данные должны хранять в организации


    Конкретность


    •как пользователь должен управлять своими данными


  • •    данные пользователя должны быть точными и актуальными, по первому требованию пользователя исправлены либо удалены

    Ограничение хранения

  • • какие меры наказания должны быть

  • 7 применены за нарушение Политики конфедииальности

  • •    использованные данные пользователя должны быть удалены сразу же после их использования

Рисунок 5 – Список вопросов, включенных в Политику конфиденциальности

Целостность и конфиденциальность

  • •    данные   пользователя   должны   быть

защищены от несанкционированного доступа, незаконной   обработки или повреждения

  • •    Уведомления об обработке ПДн (Privacy Notice)

  • •    Общие и биметрические данные (Privacy Policy)

Рисунок 4 – Принципы GDPR

Соглашение об обработке данных GDPR (DPA, data processing agreement) должно соответствовать ряду требований: об обеспечении безопасности ПДн, возможности проведения внешнего аудита, предупреждении контролера о смене подрядчиков основного договора и уведомлении о нарушении информационной безопасности (ИБ). Следует отметить, что преимуществом GDPR является отсутствие необходимости отправлять замечания контролера в каждый локальный орган, ответственный за защиту ПДн.

  • •    Политика сбора cookie-файлов(Cookie Policy)

• Политика защиты ПДн

  • •    Согласие на обработку ПДн

  • •    Отказ от ответственности (дисклеймер об обработке cookie)

Рисунок 6 – Минимальный пакет документов обработки ПДн в рамках GDPR

Особенно высокие требования предъявляются к пользовательским соглашениям. Так как у пользователя есть право отозвать свое согласие на обработку ПДн и потребовать удалить его данные. Это право называется Data Erasure.

Правом Data Erasure пользователь может воспользоваться, если:

  • -    ПДн уже использованы и не требуется их дальнейшая обработка;

  • -    пользователь отозвал согласие на обработку ПДн;

  • -    данные собраны с нарушениями прав пользователя.

Компаниям, находящимся за пределами ЕС, рекомендуется иметь представителя для работы с европейскими регуляторами. В соответствии с регламентом GDPR, регуляторы наделяются правом затребовать информацию о том: как, где и с какой целью используются ПДн. Копия затребованной информации в обязательном порядке предоставляется пользователю в электронном формате, что может создавать угрозу как для контролеров, так и пользователей (риск утечки информации).

Основные правила GDPR представлены на рисунке 8.

При составлении пользовательского соглашения компания обязана придерживаться общих правил защиты ПДн.

I • Компании должны испльзовать максимально точные и понятные формулировки, исключая сложных словесные     конструкций     и юридические термины.

  • •    Компании должны предоставлять электронную    копию    данных

пользователя по его просьбе.

  • •    Пользователь имеет право отозвать свое согласие и отказаться от обработки своих данных в любой момент.

•Каковы типы персональных данных, 1 которая собирает компания?

• Компания обязана сообщить об утечки данных своим клиентам и регулирующим органам в течение 72 часов.

•Какова форма сбора данных?

Рисунок 8 – Основные правила GDPR

•Как эти данные использовать?

•Кто имеет доступ к данным?

•Есть ли возможность использования данных для автоматического составления портрета пользователя?

•Каковы критериии, по которым определяются сроки хранения данных?

Рисунок 7 – Вопросы, решаемые GDPR в плане защиты данных

На этапе разработки одним из важнейших пунктов регламента GDPR является обеспечение защиты ПДн [11; 12]. Вопросы, решаемые GDPR в разрезе защиты данных, представлены на рисунке 7.

Выводы

За три года работы российских компаний в рамках требований GDPR были выявлены следующие проблемы:

  • 1.    Отсутствие четкого понимания, в каких процессах необходимо обеспечить выполнение требований GDPR.

  • 2.    Необходимость присутствия штатного специалиста по GDPR или наемного внешнего специалиста из компании, представляющей функцию DPO (data protection officer), т.е. лица, ответственного за защиту ПДн. В компаниях самостоятельно, без квалифицированного специалиста, разобраться в тонкостях требований GDPR очень сложно. Если компания, выполняющая функцию DPO, иностранная (как зачастую бывает), то могут возникнуть трудности общения на иностранном языке.

  • 3.    Возникновение трудностей при размещении ПДн в информационных системах ПДн, расположенных за границей и обрабатывающих ПДн граждан Евросоюза, которые связаны одновременно с необходимостью выполнения

  • 4.    Отсутствие у многих организаций необходимых шаблонов документов, например DPA.

  • 5.    Возникновение трудностей с описанием процессов обработки ПДн в организации, затрагивающих требования GDPR.

  • 6.    Необходимость создания двух комплектов документов, одного по 152-ФЗ (на русском языке), другого по GDPR (на английском языке). Терминология 152-ФЗ и GDPR немного отличается, что приводит к трудностям перевода.

требований как ФЗ-152, так и GDPR, так как подходы по защите ПДн разные.

Трудность заключается в том, что требования GDPR находятся на стыке ИБ и юридического направления, не совсем понятно в каком подразделении должен быть специалист по GDPR. Неоспоримым преимуществом организаций, имеющих в штате специалистов по GDPR и защите ПДн, является:

  • 1.    Повышение уровня доверия со стороны международных партнеров.

  • 2.    Появление описания процессов обработки ПДн. В случае отзыва согласия на обработку ПДн становится понятно в каких информационных системах ПДн какие данные конкретного субъекта ПДн обрабатываются.

Исследование, проведенное авторами, позволяет дать следующие рекомендации российским компаниям, применяющим GDPR:

  • 1.    Брать в штат квалифицированных специалистов по защите ПДн.

  • 2.    Проходить обучение по GDPR.

  • 3.    Проводить аудиты специализированных организаций по направлению защиты ПДн. Необходимо грамотно сформулировать требования к аудиту и контролировать процесс его проведения.

Список литературы О безопасности обработки персональных данных в российских организациях средствами Европейского общего регламента по защите

  • В 2019 году вновь выросло количество поступивших в Роскомнадзор жалоб по тематике защиты персональных данных. URL: https://rkn.gov.ru/news/rsoc/news71528.htm (дата обращения 21.07.2021).
  • Утечки данных. Россия. 2019 год. URL: https://www.infowatch.ru/analytics/analitika/utechki-dannykh-rossiya-2019-god (дата обращения 11.08.2021).
  • Федеральный закон № 152 «О персональных данных» от 27.07.2006 N 152-ФЗ. URL: http://www.consultant.ru/document/cons_doc_LAW_61 801/ (дата обращения 11.08.2021).
  • GDPR - что это. URL: https://aizas.ru/gdpr-chto-eto/ (дата обращения: 15.08.2021).
  • Общий регламент защиты персональных данных (GDPR) Европейского союза. URL: https://gdpr-text.com/ (дата обращения: 15.08.2021).
  • Воронкевич С. Что такое GDPR и какие требования предъявляет, - рассказываем простыми словами. URL: https ://data-privacy-office.com/what-is-gdpr/?fbclid=IwAR1VNEOtJP9RSssOqy8RpYTYjKUPNfIQ6Ey Yg 1ekkjGisSZEaWRG-KKpMYk (дата обращения: 12.08.2021).
  • Семёнова Т.Г. Безопасность персональных данных в контексте европейского регламента GDPR / Семёнова Т.Г., Семёнова С.О. // Информационная безопасность цифрового пространства / под ред. Е.В. Стельмашонок, И.Н. Васильевой. - СПб.: Изд-во СПбГЭУ, 2019. - 155 с.
  • GDPR SAM-проект: комплексная оценка на соответствие общему регламенту Евросоюза по защите данных. URL: https://www.infosec.ru/upload/medialibrary/edf/SAM-GDPR-Assessment-Customer-Flyer.pdf (дата обращения: 14.08.2021).
  • Красильникова Е.В., Майорова Е.В., Соколовская С.А. Методические аспекты внедрения GDPR в организации / Цифровые технологии и проблемы информационной безопасности : [монография] / [Т.И.Аб-дуллин, И.Г.Гниденко, И.В.Егорова и др.] ; под ред. Е.В. Стельмашонок, И.Н. Васильевой ; М-во науки и высш. образования Рос. Федерации, С.-Петерб. гос. экон. ун-т, Каф. вычисл. систем и программирования Санкт-Петербург : Изд-во СПбГЭУ, 2021, C. 116-125.
  • Дурандина А.П., Еникеева Л.А. Организация защиты персональных данных в банковских информационных системах российской федерации // Петербургский экономический журнал: научно-практический рецензируемый журнал. 2018. № 4. С. 102-119.
  • Guide to the General Data Protection Regulation (GDPR). URL: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr (дата обращения: 29.08.2021).
  • EDPB: Guidelines, Recommendations, Best Practices. [Электронный ресурс]. URL: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en (дата обращения: 29.08.2021).
Еще
Статья научная