gddpr

GDPR: как бизнесу защищать персональные данные

С апреля 2018 г. в обиходе украинской бизнес-среды все чаще стала звучать странная аббревиатура GDPR. При этом произносится она почти что шепотом, ведь вызывает страх у многих бизнесменов, как правило, в связи с непониманием, что это за зверь, и слухами о том, что за несоблюдение сулят огромные штрафы. На этой волне стали активно собираться круглые столы, конференции, дискуссии. 

Что такое GDPR и зачем ввели

Стартовал процесс 27 апреля 2016 г. с принятия Европейским парламентом General Data Protection Regulation. Статус документа в виде регламента предполагает его обязывающий характер по защите персональных данных для всех стран, на которые распространяется сфера его действия.

До принятия регламента по данному вопросу в странах ЕС действовала директива, которая имела больше рекомендательный характер по применению методов защиты персональных данных.

Данный Регламент вступил в силу 25 мая 2018 г. Он имеет экстерриториальное действие, в том числе распространяется на компании,  зарегистрированные за пределами стран Евросоюза.

В чем же суть документа и зачем его принимали? Главная цель – защитить персональные данные и сделать обработку такой информации законной и правомерной. Ведь количество скандалов, связанных с утечкой персональных данных людей, растет с каждым годом. Многие помнят нашумевшую историю с Uber. В конце 2016 г. компания узнала,

что двум хакерам удалось получить имена, адреса электронной почты и номера телефонов 57 млн пользователей приложения. Также в их руках оказались номера водительских прав 600 тыс. водителей.

В 2017 г.  тоже произошла крупная утечка данных. Equifax, одно из крупнейших кредитных бюро в США, заявило, что уязвимость приложения на одном из их сайтов привела к потере информации около 147,9 млн клиентов. Были украдены номера социального страхования, даты рождений, адреса, номера водительских удостоверений, данные кредитных карт.

Кого касается

В контексте GDPR «персональные данные» означают любую информацию, идентифицирующую физическое лицо из стран ЕС. Такими идентификаторами могут быть: имя, идентификационный номер, данные о месторасположении, электронный адрес, номер телефона и проч.

Таким образом, согласно GDPR, если вы получаете доступ к таким данным, то на вас распространяются в нем установленные правила. Соответственно, в Украине новые правила касаются компаний, которые работают с информацией о гражданах ЕС, например, продают там товары, предлагают услуги и проч.

Регламент вводит такие понятия, как «контролер» и «процессор».

Если компания определяет самостоятельно цель и способ обработки данных, то в этом случае она является контролером. Компания же, имеющая доступ к таким данным, предположим, оказывающая услуги хранения, аренды серверов, является процессором. И на одних и на других распространяются свои правила и обязательства по обеспечению максимально высокого уровня защиты информации с использованием технических и организационных мер безопасности.

Как внедрить

Первое, с чего компании необходимо начать, если она понимает, что на нее распространяются новые правила ,– IT-аудит.

Данный процесс предполагает установление ответов на вопросы:

  • Cобираете ли вы информацию о своих клиентах?
  • Зашифрованы ли эти данные?
  • Осуществляете ли вы профилирование (profiling), и если да, как хранится такая информация?
  • Вы собираете только те данные клиента, которые вам необходимы? (принцип минимизации данных согласно GDPR)
  • Собирая данные своего клиента, просите ли вы их разрешение (согласие) и указываете ли, как  будете их использовать?
  • Предусмотрен ли у вас механизм предоставления копии персональных данных клиента по его запросу?
  • Если один из ваших клиентов изменит свое мнение и больше не захочет, чтобы вы хранили его данные, легко ли ему отказаться от этого, и предусмотрен ли вами такой механизм?
  • Существует ли механизм для того, чтобы ваши клиенты могли передать свои данные другому провайдеру? (принцип переносимости данных согласно GDPR)
  • Нужен ли вашей компании Data Protection Officer?
  • Разработали ли вы план уведомления об утечке данных?
  • С каким количеством сторонних провайдеров вы работаете (услуги хостинга, решения для электронной почты, система CRM и т. д.)?
  • Вы проверяли, соответствуют ли ваши сторонние провайдеры требованиям GDPR?
  • Разработана  и внедрена ли политика конфиденциальности (или другой онлайн-документ, доступный общественности) ?

На политике конфиденциальности остановимся более подробно. Она должна четко указывать на перечень данных, которые собираются, цель их обработки, права клиентов относительно своих данных, порядок реагирования на жалобы клиентов. Также к политике устанавливается требование по простоте и доступности изложения, чтобы клиент, предоставляя право на доступ к своим персональным данным, мог легко ознакомиться со своими правами.

Но это еще не все, контролеру необходимо соблюсти принцип защиты данных по умолчанию (data protection by designand by default). Речь идет о применении к ним технических средств, таких как шифрование данных.

Также многие озадачены вопросом, что же такое Data Protection Officer (DPO), упоминающийся в Регламенте, какой квалификации и с какими компетенциями должен быть такой специалист, наличие у него соответствующих дипломов, сертификатов, его условия работы.

В случае если контролером является орган государственной власти, лицо, совершающее регулярный мониторинг физических лиц, используя значительные массивы персональных данных, лицо, которое совершает обработку данных о состоянии здоровья, расовой принадлежности, судимости, то такие компании должны иметь лицо, ответственное за защиту персональных данных. Им может быть как штатный, так и привлеченный на аутсорсинге по гражданско-правовому договору сотрудник. При этом никаких специфических требований по сертификации и образованию не требуется.

Согласно регламенту этот человек должен обладать знаниями и опытом в области национальных и европейских законов и практике защиты данных, а также иметь глубокое понимание GDPR. На сегодня уже организовано немало обучающих программ по подготовке как платных, так и бесплатных  специалистов. К таким  программам присоединилась  и наша команда.

Но не DPO единым… Контролер или процессор должен назначить представителя в ЕС, к которому должны обращаться органы по вопросам защиты персональных данных. При этом назначение не требуется, если:

  • обработка данных является случайной, не включает в большом масштабе обработку специальных категорий данных или персональных данных, касающихся уголовных приговоров и преступлений, и вряд ли приведет к риску нарушения прав и свобод физических лиц с учетом характера, контекста, сферы применения и целей обработки;
  • назначающее лицо является государственным органом.

Статья 42 GDPR предусматривает добровольную сертификацию юридических лиц на предмет того, что они отвечают требованиям Регламента. Это отличный механизм для компаний доказать свою благонадежность, чтобы работать с иностранными партнерами. Однако на данный момент еще ни один орган в Евросоюзе не аккредитован на проведение проверки и выдачу таких сертификатов. При этом если ранее уже была проведена сертификация EN-ISO/IEC 17065/2012, то дело останется буквально за малым.

Ответственность

Где есть правила – там есть и ответственность. За несоблюдение правил Регламента предусмотрен штраф в размере до €20 млн,  или до 4% от общего годового оборота за предыдущий финансовый год, в зависимости от того, что больше. При этом штраф может быть наложен как на владельца, так и на распорядителя персональных данных.

Рекомендую всем привлечь специалиста и получить официальное заключение о необходимости применения к своей компании действия GDPR. И даже если вас это не касается, приберечь заключение на случай запросов официальных органов.

Татьяна Андрианова, генеральный директор Nota Group