Не пронесло. Що загрожує українському бізнесу через європейський закон про персональні дані

19 липня 2018, 20:02
Вы также можете прочесть этот материал на русском языке

Як перевірити, чи поширюється на ваш бізнес дія Директиві ЄС про захист персональних даних (GDPR) і як бути з даними, щоб не потрапити під санкції.

Перед європейським регламентом про захист персональних даних (General Data Protection Relations), який набув чинності 25 травня 2018 року, не встоять навіть сильні світу цього. Днями величезний штраф за поводження з персональними даними отримав заокеанський Facebook. Відомі випадки величезних штрафів з власних європейських бізнесів, зокрема, максимум отримав сервіс Ticketmaster.

Відео дня

Українського бізнесу регламент в певних випадках теж стосується. У яких і яким чином, що потрібно зробити, щоб не заробити штраф і обговорювалося на конференції «GDPR в Україні».

НВ наводить ключові пункти з виступів доповідачів.

Коли GDPR може застосовуватися до українських компаній

Найбільша потенційна проблема для українського бізнесу в разі порушення GDPR – це репутаційні ризики. Також є ризики кримінальної та адміністративної відповідальності

Як пояснює Юлія Нечепуренко, провідний фахівець Nota Group, під дію регламенту потрапляють всі, хто має компанію або представництво в Євросоюзі. Якщо таких немає, то все одно під дію регламенту підпадають бізнеси, які використовують персональні дані громадян ЄС, якщо обробка даних пов'язана з пропозицією товарів і послуг або моніторингом їх поведінки.

За словами Дарини Сидоренко, координатора групи IT та кібербезпеки Sayenko, найбільша потенційна проблема для українського бізнесу в разі порушення GDPR – це репутаційні ризики. Після цього будувати партнерські відносини в Європі буде складніше. Також є ризики кримінальної та адміністративної відповідальності.

Що таке персональні дані

Згідно з директивою, персональні дані – це будь-яка інформація, яка дозволяє ідентифікувати фізичну особу. Суб'єкт даних в цьому випадку – це ідентифікована або придатна до ідентифікації фізична особа. Зокрема, люди, громадяни Євросоюзу.

У даних є контролер і оператор, перший – дає інструкції щодо роботи з ними (збирання, використання, обробка), другий – обробляє. Оператор не має права обробляти дані без інструкції контролера. Якщо такого немає, вважається, що він сам для себе контролер.

Як можна працювати з персональними даними

Контролер повинен запитувати у суб'єкта дозвіл на обробку даних, при цьому – чітко позначати мету, для якої він це робить. Якщо дані були зібрані для однієї мети, але обробляються для інших – це порушує регламент. Виняток становить афілювання або обробка для статистики.

Відносно даних діє кілька принципів.

Мінімізація. Можуть збиратися мінімальні дані, що відповідають цілі збирання. Наприклад, якщо авіакомпанія продає квитки, вона може обробляти паспортні дані, електронну адресу. Але дані про політичні погляди пасажира їй точно не потрібні, тому вона не може їх збирати і обробляти.

Персональні дані – це будь-яка інформація, яка дозволяє ідентифікувати фізичну особу. Фото: pixabay.com

Точність. Дані повинні бути точними, повними і актуальними.

Обмеження на зберігання. Дані зберігаються протягом певного терміну, адекватного меті зберігання. Як тільки мета досягнута або втратила актуальність, їх потрібно видалити.

Цілісність і конфіденційність. Контролер зобов'язаний вжити всіх заходів для забезпечення безпеки даних.

Підзвітність. Контролери повинні керуватися принципами GDPR і повинні бути готові довести, що відповідають їм.

Законна обробка даних

Суб'єкт даних повинен дати згоду на обробку для конкретних цілей. Запит до нього повинен бути викладений простою і зрозумілою мовою, згода дана без примусу, чітко і зрозуміло. Сама згода має зберігатися разом з даними, щоб в разі чого у компанії була можливість довести, що суб'єкт дав згоду на обробку.

З цієї вимоги є кілька винятків. По-перше, якщо обробка необхідна для виконання контракту, в якому суб'єкт є однією зі сторін. Наприклад, якщо мова йде про покупку в інтернет-магазині, це можуть бути електронна адреса, адреса доставки, дані банківської картки – тобто те, що необхідно для надання послуги. Отримання таких даних не вимагає отримання згоди суб'єкта, оскільки він сторона договору.

По-друге, коли обробка необхідна для дотримання юридичних зобов'язань контролера. Це може бути обробка даних нових співробітників, оскільки в цьому випадку мова йде про трудові відносини.

Крім того, для захисту життєвих інтересів суб'єкта або іншої особи, для виконання завдань державного органу (наприклад, якщо громадянин прийшов на голосування) і в разі переважання законного інтересу контролера або третіх осіб.

Але Нечепуренко пояснює, що GDPR не описує, що саме означає цей пункт. У преамбулі написано, що суб'єкт може очікувати, що обробка даних на підставі законного інтересу може трапитися, однак для цього між суб'єктом і контролером вже повинні бути відносини. Наприклад, суб'єкт може очікувати повідомлення про розпродаж, хоча він як такого дозволу не давав. Але посилатися на цей пункт варто тільки тоді, коли контролер може довести його.

Права суб'єкта даних

Доступ до даних про себе. Як правило, на подібні запити потрібно відповідати протягом 30 днів. Але якщо суб'єкти даних зловживають своїм правом і коли занадто багато запитів, контролер має право або відмовити, або встановити плату.

Право на забуття. Контролер зобов'язаний застосувати внутрішні політики, що передбачають дію в таких ситуаціях.

Отримання звітів. Суб'єкт даних має право вимагати звіти про те, що його дані були видалені або змінені, якщо це не тягне занадто великих зусиль або якщо це не є неможливим.

Найбільш активно шукають порушників Франція, Німеччина і Велика Британія. Зображення: pixabay.com

Портативність даних. Суб'єкти даних мають право отримати у контролера власні дані в машинозчитуваному форматі і передати їх іншому контролеру (не приховуючи цього від першого контролера). Таку можливість слід передбачити.

Право на заперечення. Суб'єкти можуть заперечувати проти обробки їх даних. Контролер повинен мати механізми зупинки збору даних в такому випадку.

Право на скарги, представництво і компенсацію. Суб'єкти мають право подати скаргу, при цьому можуть представляти самі себе або звернутися в організацію, яка має в своїх статутних документах цю функцію – захищати права суб'єктів даних.

Право на виправлення помилок.

Право не бути суб'єктом даних, які обробляються в результаті автоматичних способів збору. Смаки, місцезнаходження, пересування тощо (Facebook, привіт!)

Як впровадити стандарти GDPR

Як пояснює Олена Колченогова, голова Комітету із захисту даних Асоціації Digital Ukraine, регламент передбачає два види заходів для захисту персональних даних: організаційні та технічні.

Технічні вимагають privacy by default і privacy by design. Privacy by default – це конфіденційність за замовчуванням. Тобто якщо компанії потрібно збирати якусь інформацію про суб'єкта, це можна робити в мінімальних необхідних кількостях.

Під санкції потрапляють навіть ті компанії, у яких стався витік даних, наприклад, внаслідок кібератаки

Privacy by design – конфіденційність, яка вже закладена в програмне забезпечення.

Організаційних заходів значно більше. Наприклад, йдеться про те, що записи обробки даних повинні включати всю інформацію про суб'єкта, контролера і оператора, а також про самі дані, якщо дані передаються в треті країни – ця інформація також повинна відображатися в записах. Виняток робиться для підприємств, де працює менше 250 осіб, але не робиться, якщо обробка даних може призвести до ризику для суб'єкта даних.

Також GDPR рекомендує призначити фахівця, що володіє знаннями про захист персональних даних, який зможе застосувати GDPR на підприємстві – data protection officer. Він потрібен, якщо в компанії масштабно відбувається обробка даних, якщо мова йде про державні або особливо чутливі дані (охорона здоров'я, біометрія тощо).

До завдань такого фахівця входить навчання, консультування (для оцінки ризиків, наприклад) і контроль. Саме ця особа відповідає за роботу з даними перед органами контролю та суб'єктами, хоча в разі порушень штрафують не його. Це може бути одна людина на кілька організацій, необов'язково в штаті.

Також GDPR рекомендує прописувати політики конфіденційності, проводити оцінку ризику використовуваних даних, якщо в компанії має місце систематична масштабна оцінка персональних даних, заснована на автоматизованій системі. Наприклад, транспортна організація встановлює відеоспостереження або якщо лікарня обробляє дані пацієнтів, зокрема іноземців.

Якщо контролер або оператор перебуває за межами ЄС, обробка пов'язана з поставками товарів або послуг, або потрібен постійний моніторинг поведінки суб'єктів даних, компанії необхідно призначити представника в ЄС. І ця особа може бути притягнута до судових розглядів, пов'язаних з обробкою персональних даних.

Чи такий страшний штраф, як його малюють

Як розповідає Сидоренко, під санкції потрапляють навіть ті компанії, у яких стався витік даних, наприклад, внаслідок кібератаки, адже мається на увазі, що вони не ужили достатніх заходів для їх захисту. Санкції повинні показати людям, що персональні дані – це важливо.

У кожній країні ЄС вже є органи, які відповідають за захист персональних даних. І в деяких державах вже були гучні кейси зі штрафами. За словами Сидоренко, найбільш активно шукають порушників Франція, Німеччина і Велика Британія, а Балканські країни, за її інсайдерською інформацією, поки відносно лояльні і дають своїм компаніям час на адаптацію.

Перше, що враховується в покаранні – це природа порушення, наскільки масштабним воно було, яку інформацію зачепило і скількох людей, чи було це цілеспрямовано або внаслідок того, що компанія щось не зробила для захисту

Перше, що враховується в покаранні – це природа порушення, наскільки масштабним воно було, яку інформацію зачепило і скількох людей, чи було це цілеспрямовано або внаслідок того, що компанія щось не зробила для захисту.

Максимальний штраф – 20 млн євро або 4% річного обороту – накладається, тільки якщо компанія порушила кілька принципів, все це компілюватиметься і об'єднуватиметься в одну суму штрафу.

Експерт вважає, що після впровадження GDPR про кібератаки на персональні дані будуть говорити частіше і наводить кілька прикладів.

Компанія Ticketmaster, яка продає квитки, отримала максимальний штраф. Вона була зламана 25 червня, а попередила людей 27-го. Це вже перша і найважливіша характеристика для такого покарання. Друга – їх система раніше пройшла аудит, і компанія-аудитор попередила про потенційну точку злому.

У компанії Timeshop, яка аналізує призначені для користувача дані з соцмереж, теж максимальний штраф. 4 липня на неї була здійснена кібератака і були вкрадені дані 20 млн осіб. IT-фахівці змогли зупинити витік, але він все одно був величезним. У Timeshop не було подвійної авторизації для аутентифікації в хмарі, а це одна з вимог GDPR.

Захист від витоків персональних даних

Як каже Володимир Кург, R&D-директор компанії «ІТ-Інтегратор», в інформаційних системах більшості компаній працюють системи захисту інформації, які можна належним чином налаштувати, щоб виконати вимоги GDPR. Контролер повинен бачити, що відбувається в системі, де обробляються дані, як вони «ходять» і на якому етапі знаходяться.

Персональні дані можуть знаходитися в трьох станах: у спокої, в стані використання і передачі. Першими користуються в першу чергу адміністратори, а знаходяться вони зазвичай в архівах або резервних копіях. Дані в стані використання читають, доповнюють і використовують. На цьому етапі у даних можуть з'являтися нові користувачі.

Серйозність втрати даних пропорційна числу користувачів, яких це стосується. З точки зору масштабу витоку найбільший ризик - резервні копії

Дані в стані передачі - це дані в момент, коли вони передаються по локальним або глобальним мережам.

В одному з пунктів статті 83 говориться, що серйозність втрати даних пропорційна числу користувачів, яких це стосується. З точки зору масштабу витоку найбільший ризик, за словами Курга, - резервні копії. І саме на них більшість не звертає увагу. Хоча викрадання і витік резервних копій - це витік всіх даних компанії.

Мінімізувати загрозу для цих даних допомагає ліцензія на шифрування резервних копій, боротьба з «правами бога» адміністраторів (поділ на тих, хто робить резервні копії і хто зберігає ключі) і банальна ізоляція робочих місць адміністраторів, а також блокування портів для знімних носіїв. Так як резервні копії об'ємні, їх витік можна відстежити.

Якщо мова йде про дані в обробці, то, як правило, у співробітників або клієнтів компанії немає необхідності працювати з усіма масивами записів. У даному випадку фактор ризику - це люди, які можуть ініціювати масштабний витік. Перш за все адміністратори і аналітики, яким для побудови якихось маркетингових звітів потрібно витягти дуже великий масив персональних даних.

Мінімізувати загрозу дозволяють такі класи додатків, як Database Firewall або Web Application Firewalls, а також блокування прямих інтерфейсів баз даних за допомогою маскування. Засоби маскування є у більшості промислових баз даних.

Для захисту даних і в спокої, і в обробці використовується псевдоанонімізація, яку не варто плутати з анонімізацією. Анонімізовані дані, згідно з директивою, захисту не потребують. Вони можуть залишатися в системах, наприклад, для аналізу big data.

Основна відмінність псевдоанонімізірованних даних від анонімізуваних - це те, що їх неможливо ідентифікувати за якимось критеріями із зовнішнього світу.

Кург наводить як приклад кейс медичної системи, в якій зберігаються дані пацієнтів у відкритому вигляді і яким потрібен захист. Захистити їх можна різними способами.

Перший - користувачеві відкриваються дані, які потрібні тільки для його роботи. Наприклад, реєстратура бачить тільки ім'я і номер телефону пацієнта, якому потрібно нагадати про візит, а також час прийому і фахівця. Це додає захищеності даними, але якщо відбудеться витік бази, то маски не допоможуть.

Псевдоанонімізація - це заміна ID фізособи і її імені генерованим кодом, до якого прив'язуються дані. Частина набору даних, які однозначно ідентифікують користувача - номер паспорта, кредитної картки, номер телефону - можуть додатково шифруватися.

Для даних у стані передачі загрози невеликі, адже в кожен момент часу передається невеликий обсяг, проте це не відміняє загроз в принципі.

По-перше, в локальній мережі це може бути інсайдерське перехоплення, такі випадки вже були. Адміністратори повинні шифрувати трафік і блокувати знімні носії, адже багато програм, в тому числі робочі місця систем, створюють копії локальних даних. І ці копії можна скинути на зовнішній носій. Також є системи контролю трафіку в мережі, які дозволяють відстежувати сеанси користувачів. Тобто шифрування запобігає витоку даних, моніторинг показує його і дозволяє блокувати.

По-друге, фішинг. Класика фішингу - розсилка з імітацією фірмового стилю сайту з посиланням на копію, де неуважний користувач залишає свої дані. Захист від фішингу лежить перш за все в юридичній площині. Але також варто купувати правильні сертифікати безпеки для сайтів і не економити на цьому моменті. Наприклад, є більш дорогі сертифікати, що засвідчують організацію.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X