Что такое GDPR простыми словами?

Основное определение гласит: Общий регламент по защите данных (General Data Protection Regulation, GDPR) — это документ, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных физических лиц в Европейском союзе.(с)

Если проще - это правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных. Их основная цель -  защитить личные данные,  согласно правам человека.

Для начала, определим какие конкретно данные являются персональными, и защищаются этим Регламентом. Все данные, по которым лицо можно сразу идентифицировать - считаются персональными.

К примеру, корпоративная почта содержащая имя и фамилию - будет  относиться к персональным данным, а с любым другим содержанием (info@company) - нет; имя и номер телефона - персональные данные,  телефон/адрес сам по себе - просто данные. Если из данных становится что-то известно о человеке (его место работы, контакты и прочее), то они относятся к персональным.

Согласно GDPR обязательные к выполнению требования:

  • собирать персональные данные только по согласию субъекта;
  • использовать и обрабатывать их только согласно поставленным целям;
  • по достижению этих целей —  уничтожить данные;
  • изымать и уничтожать данные по требованию их владельца;
  • обеспечить безопасность хранения данных;
  • не распространять данные без согласия субъекта. 

Для того, чтоб компания соответствовала GDPR в своей деятельности, ей нужно придерживаться следующих правил:

1 - Получать согласие субъекта персональных данных на их обработку

Обрабатывать персональные данные можно только с согласия субъектов этих данных. Обработка данных включает в себя: сбор, хранение, изменение, использование, распространение, обезличивание и уничтожение. GDPR допускает подтверждение согласия с помощью любого индикатора, дающего полную информацию субъекту “на что он соглашается”. Если говорить проще: достаточно просто формы согласия на обработку данных “term of  use”. При этом, согласие должно быть дано четким утвердительным действием, означающим свободно предоставленное, конкретное, информированное и однозначное согласие субъекта персональных данных на их обработку.

К форме такого согласия на обработку персональных данных есть ряд установленных требований:

  • максимально полное описание того, на что человек дает согласие, и как в дальнейшем будут использованы его данные;

  • большая часть формы и текста должны быть видимыми;

  • форму нельзя пропустить, и перейти дальше, не дав согласие;

  • в базе данных нужно хранить информацию о каждом согласии, с текстом и датой каждого согласия;

  • после подтверждения в форме, нужно уведомить субъекта о том, как он в будущем сможет отозвать свое согласие;

Придерживаться этого правила – значит не только получить согласие, но и не нарушать его условий. Использовать персональные данные только в рамках,  описанных в форме согласия, и незамедлительно удалить персональные данные после отмены согласия на их обработку.

2 – Анонимизировать данные, с целью их защиты от распространения

Согласно GDPR, нет конкретных требований по степени, порядку и способу защиты данных – каждый вправе выбирать сам. Самые популярные способы анонимизировать их – шифрование или псевдонимизация, но разработчики могут самостоятельно выбрать необходимый набор мер по защите персональных данных. Главное, планируемый уровень защиты должен соответствовать уровню технических возможностей компаний (state-of-the art).  

Псевдонимизация – один из технических и организационных инструментов по обеспечению уровня безопасности, соответствующего риску. Она предполагает изменение информации таким образом, чтоб персональные данные не могли быть отнесены к конкретному субъекту.

На практике достаточно базу с персональными данными пропустить через простое шифрование, а ключи к дешифрации хранить отдельно. Тогда, в случае утечки данных, без ключа данные нельзя будет идентифицировать. А в случае утечки самого ключа – его можно просто изменить.

Или разделить базу и хранить ее в разных местах. Так в одной базе будет один параметр, в другой – второй, и так далее, и всем присвоен персональный номер. Таким образом, каждая база не будет содержать персональные данные, и только для определенных действий система будет соединять эти данные между собой. Отделение имени от остальных данных и замена его другим идентификатором также будет псевдонимизацией.

3 – Документировать и хранить перечень всех действий по выполнению GDPR

Документировать перечень всех мер по защите персональных данных можно в виде описания, чек листа, бортового журнала и т.д. Это нужно чтоб обезопасить себя или своих клиентов на случай утечки информации. Лучший способ доказать выполнение регламента – иметь документальное подтверждение всех проведенных мер. Тогда, в случае утечки информации, компания может быть освобождена от административных штрафов за нарушение Регламента, так как сделала все от нее зависящее.

4 – Назначить ответственного за защиту данных сотрудника

Это скорее не правило, а рекомендация, выполнение которой обязательно не для всех. Государственные и некоторые виды частных организаций должны назначить сотрудника ответственного за защиту персональных данных – Data protection officers (DPO, или просто офицер по защите данных). Офицер должен контролировать соблюдение мер безопасности, выступать консультантом по оценке воздействия на данные – Data Protection Impact Assessments (DPIA), и быть контактным лицом для субъектов данных и надзорного органа.

Офицером может быть назначен существующий сотрудник, или привлеченный извне, главное, чтобы он был независимым экспертом в области защиты персональных данных.

Назначение офицера обязательно для:

  • всех государственных органов;

  • компаний, чьи виды деятельности требуют масштабного, регулярного и систематического мониторинга отдельных лиц;

  • компаний, чьи виды деятельности состоят из крупномасштабной обработки специальных категорий данных или данных, относящихся к уголовным обвинительным приговорам и правонарушениям.

И желательно для всех остальных, с целью дополнительного организационного инструмента по защите данных.

Действия при нарушении сохранности данных

Согласно GDPR в сфере защиты персональных данных есть субъект персональных данных, контроллер, оператор, и действия при нарушении сохранности данных у них будут разными. Субъект –  это физическое лицо персональные данные которого обрабатываются, контроллер – собственник базы, который определяет цель и средства получения персональной информации, а оператор – тот, кто работает с этой базой.  

При утечке информации необходимо принять такие меры:

  • Оператор обязан уведомить контроллера о нарушении без промедления;

  • Контроллер обязан уведомить надзорный орган о нарушении без промедления, в течении  72х часов, если это возможно;

  • Контроллер обязан уведомить о нарушении субъектов персональных данных, если нарушение может создать существенный риск для их прав и законных интересов (за исключением случаев, когда контролер принял меры защиты, делающие данные непонятными для лица, получившего их – сменил ключ шифрования и прочее).

Итого, соблюдающая установленные GDPR правила компания:

Собирает персональные данные с согласия физического лица, под четкие цели, с понятным описанием “что она с ними будет делать”, при этом дает субъекту понятный механизм как отозвать согласие на обработку персональных данных, защищает от несанкционированного распространения эти данные, и удаляет их по достижению целей использования. Для защиты данных использует любой инструмент анонимизации, и документирует все меры по выполнению GDPR, чтобы защитить себя от возможных разбирательств в будущем. В случае нарушения сохранности данных принимает меры по ликвидации утечки, если это возможно, и сообщает контролеру/надзорному органу/субъектам персональных данных. А для того, чтобы ничего не упустить, можно свериться с этим компактным руководством, и подтвердить свое соответствие стандарту ISO/IEC 29134:2017, пройдя оценку DPIA (Data Protection Impact Assessments).

Как оказалось, нашумевший Регламент не несет в себе ничего сверхсложного, и придерживаться его рекомендаций не составит труда. А громадные штрафы не грозят тем, кто добросовестно будет следовать Регламенту, и иметь этому документальное подтверждение.

Мы в Evergreen придерживаемся уровня безопасности, регламентируемого GDPR, и знаем, что нужно делать, чтобы обеспечить этот уровень для своих клиентов.

25.04.2018
Рейтинг: 5 / 5 (5)