.png)
Основное определение гласит: "Общий регламент по защите данных (General Data Protection Regulation, GDPR) — это документ, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных физических лиц в Европейском союзе." (с)
Если проще - это правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных. Их основная цель - защитить личные данные, согласно правам человека.
Для начала определим, какие конкретно данные являются персональными и защищаются этим Регламентом. Все данные, по которым лицо можно сразу идентифицировать, считаются персональными.
К примеру, корпоративная почта, содержащая имя и фамилию, будет относиться к персональным данным, а с любым другим содержанием (info@company) - нет; имя и номер телефона - персональные данные, телефон/адрес сам по себе - просто данные. Если из данных становится что-то известно о человеке (его место работы, контакты и прочее), то они относятся к персональным.
Обрабатывать персональные данные можно только с согласия субъектов этих данных. Обработка данных включает в себя: сбор, хранение, изменение, использование, распространение, обезличивание и уничтожение. GDPR допускает подтверждение согласия с помощью любого индикатора, дающего полную информацию субъекту “на что он соглашается”. Если говорить проще, достаточно просто формы согласия на обработку данных “term of use”. При этом согласие должно быть дано четким утвердительным действием, означающим свободно предоставленное, конкретное, информированное и однозначное согласие субъекта персональных данных на их обработку.
К форме такого согласия на обработку персональных данных есть ряд установленных требований:
максимально полное описание того, на что человек дает согласие, и как в дальнейшем будут использованы его данные;
большая часть формы и текста должны быть видимыми;
форму нельзя пропустить и перейти дальше, не дав согласие;
в базе данных нужно хранить информацию о каждом согласии, с текстом и датой каждого согласия;
после подтверждения в форме нужно уведомить субъекта о том, как он в будущем сможет отозвать свое согласие;
Придерживаться этого правила значит не только получить согласие, но и не нарушать его условий. Использовать персональные данные только в рамках, описанных в форме согласия, и незамедлительно удалить персональные данные после отмены согласия на их обработку.
Согласно GDPR, нет конкретных требований по степени, порядку и способу защиты данных – каждый вправе выбирать сам. Самые популярные способы анонимизировать их – шифрование или псевдонимизация, но разработчики могут самостоятельно выбрать необходимый набор мер по защите персональных данных. Главное, планируемый уровень защиты должен соответствовать уровню технических возможностей компаний (state-of-the art).
Псевдонимизация – один из технических и организационных инструментов по обеспечению уровня безопасности, соответствующего риску. Она предполагает изменение информации таким образом, чтоб персональные данные не могли быть отнесены к конкретному субъекту.
На практике достаточно базу с персональными данными пропустить через простое шифрование, а ключи к дешифрации хранить отдельно. Тогда в случае утечки данных без ключа данные нельзя будет идентифицировать. А в случае утечки самого ключа его можно просто изменить.
Или разделить базу и хранить ее в разных местах. Так, в одной базе будет один параметр, в другой – второй и так далее, и всем присвоен персональный номер. Таким образом каждая база не будет содержать персональные данные, и только для определенных действий система будет соединять эти данные между собой. Отделение имени от остальных данных и замена его другим идентификатором также будет псевдонимизацией.
Документировать перечень всех мер по защите персональных данных можно в виде описания, чек-листа, бортового журнала и т.д. Это нужно, чтоб обезопасить себя или своих клиентов на случай утечки информации. Лучший способ доказать выполнение регламента – иметь документальное подтверждение всех проведенных мер. Тогда в случае утечки информации компания может быть освобождена от административных штрафов за нарушение Регламента, так как сделала все от нее зависящее.
Это скорее не правило, а рекомендация, выполнение которой обязательно не для всех. Государственные и некоторые виды частных организаций должны назначить сотрудника. ответственного за защиту персональных данных – Data protection officers (DPO, или просто офицер по защите данных). Офицер должен контролировать соблюдение мер безопасности, выступать консультантом по оценке воздействия на данные – Data Protection Impact Assessments (DPIA) - и быть контактным лицом для субъектов данных и надзорного органа.
Офицером может быть назначен существующий сотрудник или привлеченный извне - главное, чтобы он был независимым экспертом в области защиты персональных данных.
Назначение офицера обязательно для:
всех государственных органов;
компаний, чьи виды деятельности требуют масштабного, регулярного и систематического мониторинга отдельных лиц;
компаний, чьи виды деятельности состоят из крупномасштабной обработки специальных категорий данных или данных, относящихся к уголовным обвинительным приговорам и правонарушениям.
И желательно для всех остальных, с целью дополнительного организационного инструмента по защите данных.
Согласно GDPR, в сфере защиты персональных данных есть субъект персональных данных, контроллер, оператор, и действия при нарушении сохранности данных у них будут разными. Субъект – это физическое лицо, персональные данные которого обрабатываются; контроллер – собственник базы, который определяет цель и средства получения персональной информации, а оператор – тот, кто работает с этой базой.
При утечке информации необходимо принять такие меры:
оператор обязан уведомить контроллера о нарушении без промедления;
контроллер обязан уведомить надзорный орган о нарушении без промедления, в течении 72х часов, если это возможно;
контроллер обязан уведомить о нарушении субъектов персональных данных, если нарушение может создать существенный риск для их прав и законных интересов (за исключением случаев, когда контроллер принял меры защиты, делающие данные непонятными для лица, получившего их – сменил ключ шифрования и прочее).
Собирает персональные данные с согласия физического лица, под четкие цели, с понятным описанием “что она с ними будет делать”, при этом дает субъекту понятный механизм, как отозвать согласие на обработку персональных данных, защищает от несанкционированного распространения эти данные, и удаляет их по достижению целей использования. Для защиты данных использует любой инструмент анонимизации, и документирует все меры по выполнению GDPR, чтобы защитить себя от возможных разбирательств в будущем. В случае нарушения сохранности данных - принимает меры по ликвидации утечки, если это возможно, и сообщает контролеру/надзорному органу/субъектам персональных данных. А для того, чтобы ничего не упустить, можно свериться с этим компактным руководством, и подтвердить свое соответствие стандарту ISO/IEC 29134:2017, пройдя оценку DPIA (Data Protection Impact Assessments).
Как оказалось, нашумевший Регламент не несет в себе ничего сверхсложного, и придерживаться его рекомендаций не составит труда. А громадные штрафы не грозят тем, кто добросовестно будет следовать Регламенту, и иметь этому документальное подтверждение.
Мы в Evergreen придерживаемся уровня безопасности, регламентируемого GDPR, и знаем, что нужно делать, чтобы обеспечить этот уровень для своих клиентов.
