GDPR: как внедрить новые стандарты в свой бизнес
Много шума в украинских бизнес-кругах наделал новый регламент о защите персональных данных General Data Protection Regulation, который вступил в силу в конце мая в Евросоюзе. Теперь под многомилионные штрафы за несоблюдение регламента подпадают и компании-нерезиденты ЕС, которые обрабатывают данные европейских граждан. Потому у наших компаний возникло много вопросов и домыслов на этот счет.
Разобраться в вопросе и развеять все мифы помогла масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов», которая состоялась в самом центре столицы в минувший вторник, 10 июля. Организовала мероприятие ассоциация Digital Ukraine, которая пригласила расставить «все точки над и» ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты, сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе. «Сегодня мы действительно понимаем: хотим работать с внешним миром — нужно жить по тем правилам, которые там установлены. Не хотим – можем жить у себя. В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», — сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков.
Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект — гражданин ЕС, контролер — организация, которая определяет способ и цели обработки, оператор — обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. «В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС. Здесь есть важный момент – связана ли обработка этих персональных данных с предложением товара или услуг. Например, сайт должен иметь версию на одном из языков стран ЕС или на нем должна быть возможность рассчитаться в евро. Также под регламент подпадают те, кто обрабатывает данные в связи с мониторингом поведения европейцев. Это может быть, например, анализ соцсетей», — пояснила Нечепуренко. По ее словам, в соответствии с регламентом, например, до обработки данных контролер должен запрашивать согласие субъектов на такую обработку, четко обозначать цель обработки простым и понятным языком.
Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией.
Что касается физических лиц, которые также могут быть контролерами данных, то в случае незначительного нарушения вместо штрафа к ним может быть применен выговор. Например, если Вы – ФОП и продаете через интернет сайт в Европе сувениры ручной работы, вам не угрожают штрафы в больших размерах».
Максимальная сумма, на которую могут оштрафовать контроллеров и операторов, составляет до 20 миллионов евро или 4 % годового оборота компании. «Сумма штрафа зависит от того, скольких людей затронула утечка данных, какой вред нанесла, продолжительности нарушения, это намеренная внешняя атака или она произошла из-за того, что компания не внедрила в свою систему безопасности необходимые технические решения для сохранности данных своих клиентов. Критериев много, но максимальный штраф будет наложен, если нарушение компании включает сразу несколько критериев Регламента, – говорит Сидоренко. – Примером возможного применения максимального штрафа может быть случай компании по продаже билетов Ticketmaster, которая 23 июня 2018 признала, что у нее произошел взлом в системе безопасности, который затронул более 40 тысяч британских клиентов. Клиентам о взломе сообщили 27 июня 2018, что является нарушением норм Регламента, поскольку Ticketmaster должна была оповестить клиентов в течение 72 часов с момента взлома. Более того, fintech фирма Monzo обнаружила мошенническую активность по картам клиентов Ticketmaster еще в апреле и предупредила компанию о потенциальной атаке 12 апреля 2018. Исходя из этих критериев, компании грозит наложение максимального штрафа, поскольку она знала об угрозе, но не предприняла необходимых шагов по предотвращению взлома, а просто проигнорировала предупреждение».
Что делать предприятию, чтобы избежать негативных последствий и сохранить репутацию, объяснила глава Комитета по защите данных Ассоциации Digital Ukraine и ведущий юрист Nota Group Елена Колченогова, которая является сертифицированным офицером по защите данных (DPO). Организационных мер регламент предлагает много: вести записи обработки данных, назначить офицера по защите данных (DPO) и представителя в ЕС, провести оценку воздействия операций обработки на защиту данных (DPIA), пройти сертификацию, внедрить кодекс поведения на предприятии, принять политики конфиденциальности и прочие. «Во-первых, каждый контроллер должен вести запись обработки данных в письменной и электронной форме. Должна фиксироваться информация о том, кто и какие данные, у кого собирает и куда передает. Этого могут не делать только фирмы, где работает менее 250 сотрудников, хотя и здесь могут быть исключения — говорит Колченогова. – Во-вторых, рекомендовано, а в определенных случаях обязательно, назначить DPO, который может быть штатным сотрудником или привлеченным по аутсорсингу, что более предпочтительно, поскольку такой специалист должен быть независим в принятие решений. DPO — это специалист по защите данных, который владеет экспертными знаниями в области права и практике защиты персональных данных и который следит за соблюдением положений и принципов GDPR на предприятии. Также он должен обучать персонал соблюдению регламента и быть контактным лицом с органами надзора и субъектами данных. В-третьих, чтобы соответствовать GDPR, компания может пройти добровольную сертификацию на три года у аккредитованных в ЕС юрлиц. Но эта система пока в стадии разработки»
При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании».
Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители — блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить. Также есть риск утечки данных через администраторов и аналитиков. Потому нужно вместе с внешним файрволом установить такой же и для внутренней сети. Он выявит несанкционированное получение большого массива данных», – говорит Кург. Еще одно средство маскировки информации – «маскировка» избыточных для конкретной рабочей роли полей базы данных. Если пользователю не нужно видеть для работы, например, номер банковской карты, для него он будет скрыт.
Ирина Артишук, руководитель группы по работе с партнерами компании «АВТОР», считает: «GDPR не предусматривает каких-то конкретных технических средств для защиты персональных данных. При этом согласно требований GDPR необходимо обеспечить целостность и конфиденциальность персональных данных, а также и контроль доступа к ним. В связи с этим наша компания рекомендует использовать двухфакторную аутентификацию для решения задач защиты персональных данных согласно GDPR. Суть ее заключается в том, что для успешной аутентификации нужны как минимум два фактора: «чем-то владеть» – наличие физического носителя (смартфон, аппаратный токен, OTP-токен, смарт-карта), «что-то знать» — логин и пароль или пин-код доступа к аппаратному устройству. В информационных системах это является важным элементом защиты персональных данных и распределения доступа к информации. По статистике, более 80% компьютерных взломов проходят из-за ненадежных паролей. Потому компаниям, которые все еще пользуются этим методом, советую пересмотреть подход».