Что такое GDPR простыми словами?

Основное определение гласит: "Общий регламент по защите данных (General Data Protection Regulation, GDPR) — это документ, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных физических лиц в Европейском союзе." (с)

Если проще - это правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных. Их основная цель -  защитить личные данные,  согласно правам человека.

Для начала определим, какие конкретно данные являются персональными и защищаются этим Регламентом. Все данные, по которым лицо можно сразу идентифицировать, считаются персональными.

К примеру, корпоративная почта, содержащая имя и фамилию, будет  относиться к персональным данным, а с любым другим содержанием (info@company) - нет; имя и номер телефона - персональные данные,  телефон/адрес сам по себе - просто данные. Если из данных становится что-то известно о человеке (его место работы, контакты и прочее), то они относятся к персональным.

Согласно GDPR обязательные к выполнению требования:

  • собирать персональные данные только по согласию субъекта;
  • использовать и обрабатывать их только согласно поставленным целям;
  • по достижению этих целей —  уничтожить данные;
  • изымать и уничтожать данные по требованию их владельца;
  • обеспечить безопасность хранения данных;
  • не распространять данные без согласия субъекта. 

Что такое GDRP, общий регламент по защите данных, описание GDRP 8

Для того, чтоб компания соответствовала GDPR в своей деятельности, ей нужно придерживаться следующих правил:

1 - Получать согласие субъекта персональных данных на их обработку

Обрабатывать персональные данные можно только с согласия субъектов этих данных. Обработка данных включает в себя: сбор, хранение, изменение, использование, распространение, обезличивание и уничтожение. GDPR допускает подтверждение согласия с помощью любого индикатора, дающего полную информацию субъекту “на что он соглашается”. Если говорить проще, достаточно просто формы согласия на обработку данных “term of  use”. При этом согласие должно быть дано четким утвердительным действием, означающим свободно предоставленное, конкретное, информированное и однозначное согласие субъекта персональных данных на их обработку.

К форме такого согласия на обработку персональных данных есть ряд установленных требований:

  • максимально полное описание того, на что человек дает согласие, и как в дальнейшем будут использованы его данные;

  • большая часть формы и текста должны быть видимыми;

  • форму нельзя пропустить и перейти дальше, не дав согласие;

  • в базе данных нужно хранить информацию о каждом согласии, с текстом и датой каждого согласия;

  • после подтверждения в форме нужно уведомить субъекта о том, как он в будущем сможет отозвать свое согласие;

Придерживаться этого правила значит не только получить согласие, но и не нарушать его условий. Использовать персональные данные только в рамках, описанных в форме согласия, и незамедлительно удалить персональные данные после отмены согласия на их обработку.

2 – Анонимизировать данные с целью их защиты от распространения

Согласно GDPR, нет конкретных требований по степени, порядку и способу защиты данных – каждый вправе выбирать сам. Самые популярные способы анонимизировать их – шифрование или псевдонимизация, но разработчики могут самостоятельно выбрать необходимый набор мер по защите персональных данных. Главное, планируемый уровень защиты должен соответствовать уровню технических возможностей компаний (state-of-the art).  

Псевдонимизация – один из технических и организационных инструментов по обеспечению уровня безопасности, соответствующего риску. Она предполагает изменение информации таким образом, чтоб персональные данные не могли быть отнесены к конкретному субъекту.

На практике достаточно базу с персональными данными пропустить через простое шифрование, а ключи к дешифрации хранить отдельно. Тогда в случае утечки данных без ключа данные нельзя будет идентифицировать. А в случае утечки самого ключа его можно просто изменить.

Или разделить базу и хранить ее в разных местах. Так, в одной базе будет один параметр, в другой – второй и так далее, и всем присвоен персональный номер. Таким образом каждая база не будет содержать персональные данные, и только для определенных действий система будет соединять эти данные между собой. Отделение имени от остальных данных и замена его другим идентификатором также будет псевдонимизацией.

3 – Документировать и хранить перечень всех действий по выполнению GDPR

Документировать перечень всех мер по защите персональных данных можно в виде описания, чек-листа, бортового журнала и т.д. Это нужно, чтоб обезопасить себя или своих клиентов на случай утечки информации. Лучший способ доказать выполнение регламента – иметь документальное подтверждение всех проведенных мер. Тогда в случае утечки информации компания может быть освобождена от административных штрафов за нарушение Регламента, так как сделала все от нее зависящее.

4 – Назначить ответственного за защиту данных сотрудника

Это скорее не правило, а рекомендация, выполнение которой обязательно не для всех. Государственные и некоторые виды частных организаций должны назначить сотрудника. ответственного за защиту персональных данных – Data protection officers (DPO, или просто офицер по защите данных). Офицер должен контролировать соблюдение мер безопасности, выступать консультантом по оценке воздействия на данные – Data Protection Impact Assessments (DPIA) - и быть контактным лицом для субъектов данных и надзорного органа.

Офицером может быть назначен существующий сотрудник или привлеченный извне - главное, чтобы он был независимым экспертом в области защиты персональных данных.

Назначение офицера обязательно для:

  • всех государственных органов;

  • компаний, чьи виды деятельности требуют масштабного, регулярного и систематического мониторинга отдельных лиц;

  • компаний, чьи виды деятельности состоят из крупномасштабной обработки специальных категорий данных или данных, относящихся к уголовным обвинительным приговорам и правонарушениям.

И желательно для всех остальных, с целью дополнительного организационного инструмента по защите данных.

Действия при нарушении сохранности данных

Согласно GDPR, в сфере защиты персональных данных есть субъект персональных данных, контроллер, оператор, и действия при нарушении сохранности данных у них будут разными. Субъект –  это физическое лицо, персональные данные которого обрабатываются; контроллер – собственник базы, который определяет цель и средства получения персональной информации, а оператор – тот, кто работает с этой базой.  

При утечке информации необходимо принять такие меры:

  • оператор обязан уведомить контроллера о нарушении без промедления;

  • контроллер обязан уведомить надзорный орган о нарушении без промедления, в течении 72х часов, если это возможно;

  • контроллер обязан уведомить о нарушении субъектов персональных данных, если нарушение может создать существенный риск для их прав и законных интересов (за исключением случаев, когда контроллер принял меры защиты, делающие данные непонятными для лица, получившего их – сменил ключ шифрования и прочее).

Итого, соблюдающая установленные GDPR правила компания:

Собирает персональные данные с согласия физического лица, под четкие цели, с понятным описанием “что она с ними будет делать”, при этом дает субъекту понятный механизм, как отозвать согласие на обработку персональных данных, защищает от несанкционированного распространения эти данные, и удаляет их по достижению целей использования. Для защиты данных использует любой инструмент анонимизации, и документирует все меры по выполнению GDPR, чтобы защитить себя от возможных разбирательств в будущем. В случае нарушения сохранности данных - принимает меры по ликвидации утечки, если это возможно, и сообщает контролеру/надзорному органу/субъектам персональных данных. А для того, чтобы ничего не упустить, можно свериться с этим компактным руководством, и подтвердить свое соответствие стандарту ISO/IEC 29134:2017, пройдя оценку DPIA (Data Protection Impact Assessments).

Как оказалось, нашумевший Регламент не несет в себе ничего сверхсложного, и придерживаться его рекомендаций не составит труда. А громадные штрафы не грозят тем, кто добросовестно будет следовать Регламенту, и иметь этому документальное подтверждение.

Мы в Evergreen придерживаемся уровня безопасности, регламентируемого GDPR, и знаем, что нужно делать, чтобы обеспечить этот уровень для своих клиентов.

25.04.2018
Используемые в статье картинки взяты из открытых источников и используются как иллюстрации.