25 мая вступает в силу европейский регламент по защите персональных данных GDPR (General Data Protection Regulation) — законодательный акт, который повлияет на все компании, так или иначе работающие с Европой. Обрабатывать персональные данные теперь можно будет только с явного согласия пользователей, цели обработки — сообщать по запросу, процесс — протоколировать, и горе тому, кто попытается скрыть утечку. Основатель и технический директор DeviceLock DLP Ашот Оганесян разбирается в тонкостях нового регламента.
Как затронет
GDPR требует от компаний упорядочить работу с персональными данными, создать механизмы их защиты при обработке и, что важнее всего, организовать взаимодействие с самими субъектами этих данных (пользователями) и европейскими регулирующими органами. За нарушение требований регламента предусмотрены штрафы до 20 млн евро или 4% от общемировой выручки для глобальных компаний.
Чего коснется
В отличие от российского 152-ФЗ («О персональных данных»), GDPR рассматривает в качестве персональных любые данные, прямо или косвенно позволяющие установить личность. То есть не только имя, фамилию, телефонный номер или e-mail, но и cookie-файлы и данные систем интернет-статистики или рекламы. При этом GDPR является экстерриториальной нормой и распространяется на любую компанию, предлагающую находящимся на территории ЕС пользователям товары или услуги (причем не обязательно платные) или ведущую мониторинг их действий (п. 2 ст. 3). Под последнее условие подпадают любые компании, имеющие сайт, посещаемый пользователями с территории ЕС.
Кому стоит волноваться
Европейская правоприменительная практика предполагает концентрацию на крупнейших участниках рынка: если компания небольшая, клиентов из ЕС мало или нет совсем, а их персональные данные обрабатываются в минимальном объеме (сам по себе регулятор интересуется компаниями, обрабатывающими миллионы записей; при меньшем количестве все зависит от вероятности жалобы от пользователя), волноваться особенно не о чем. Но если вы интернет-магазин, оператор связи или используете собственную систему веб-аналитики, вам стоит либо закрыть доступ для пользователей из европейских сетей, либо привести процесс работы с персональными данными в соответствие с новой нормой. Тяжелее всех придется интернет-магазинам (они работают с большим объемом таких данных, и для них наиболее вероятна возможность жалоб), а также сайтам знакомств (информация об этнической группе и сексуальной ориентации относится, с точки зрения GDPR, к особо охраняемой категории).
Камень согласия
GDPR требует, чтобы персональные данные обрабатывались на законных основаниях (п. 1-а ст. 5), — таким основанием может быть либо заключенный контракт, либо согласие субъекта на их обработку (п. 1 ст. 6). Это согласие должно быть дано явным образом, написано простым, понятным (скорее всего, английским) языком, а также содержать четкое и подробное описание того, какие именно данные, с какой целью, каким образом и в течение какого времени собираются и обрабатываются (ст. 13). Распространенные сегодня микро-заявления типа «Этот сайт, в принципе, использует cookie для предоставления онлайн-услуг, рекламных систем и еще чего-то» с 25 мая будут вне закона.
Точка контакта
Одно из действительно новых требований — создание в каждой компании точки коммуникации (contact point) с субъектом персональных данных, который, в соответствии с главой 3 документа, должен иметь право:
отозвать данное ранее согласие на их обработку;
запросить и получить свои данные, имеющиеся у конкретной организации, собирающей данные в своих интересах;
получить информацию о целях и результатах их обработки;
удалить эти данные или внести в них изменения при обнаружении неточностей.
В случае, если обрабатываются так называемые «анонимизированные» данные, которые не позволяют напрямую идентифицировать человека при повторном обращении (например интернет-статистика), без этого можно обойтись. Но если обработка включает регистрацию пользователя, наличие такой точки коммуникации становится строго обязательным.
Ответственный, офис или представитель
Каждая компания, собирающая или обрабатывающая персональные данные, должна назначить ответственного за работу с ними (DPO — data protection officer). Компания также должна иметь офис или письменно назначенного представителя на территории ЕС, реквизиты которого указываются в согласии на обработку данных. Именно на адрес этого представителя будут направляться документы как от субъектов данных (например письменный отзыв согласия), так и от регулятора — скажем, извещение о поступивших жалобах или грядущих проверках. Поступать с этим так, как в нашей стране принято с юридическим адресом, не стоит.
Международным компаниям имеет смысл выделить подразделение, занимающееся обработкой персональных данных, в отдельную компанию-контрактор, чтобы затруднить применение штрафных санкций ко всему мировому обороту (они это, полагаю, и так знают).
Конечно же, отчетность
Процесс обработки персональных данных должен фиксироваться (ст. 30). Пока только в компаниях размером более 250 человек, и речь идет только об описании каждой группы используемых данных, целей их обработки и факта передачи третьим лицам. Однако общее направление развития требований уже понятно: недалек тот день, когда потребуется и хранение данных об обработке каждой записи — лучше начинать готовиться к этому уже сейчас.
Защита данных
GDPR вводит минимально обязательный перечень средств обеспечения безопасности персональных данных (п. 1 ст. 32), среди которых (сюрприз!) — обязательная криптографическая защита, а также средства обеспечения постоянной конфиденциальности и целостности данных. Использование информационных систем, не отвечающих этим требованиям, — например хранящих персональные данные в открытом виде, — становится незаконным даже в случае отсутствия утечек. То есть хранить в plain text пароли после 25 мая еще можно, а вот имя и фамилию пользователя — уже нет.
72 часа для уведомления об утечках
В случае обнаружения утечки персональных данных необходимо через тот самый офис или представителя в ЕС сообщить регулятору о том, по какой причине, какие данные и в каком объеме утеряны и какие меры принимаются по смягчению возможных неблагоприятных последствий утечки. На практике это означает, что любая компания, работающая в рамках GDPR, должна уже через неделю иметь компетенции по обнаружению утечек данных или контракт со специалистами в области информационной безопасности, которые смогут расследовать инцидент.
Война с роботами
По-настоящему «взрывная» новация GDPR — человеколюбивое право на возражение против результатов автоматической обработки данных, создания профилей и принятия на их основании решений (ст. 22). То есть, потенциальный заемщик, предоставивший персональные данные, может требовать отменить решение скоринговой системы банка, отказавшей ему в кредите, если оно было вынесено полностью без участия человека. Но этот пример — скорее случайная коллизия, а не специально заложенная норма, и эта возможность, вероятнее всего, будет максимально ограничена по итогам первых лет применения регламента.
Что со всем этим делать
Полное соответствие GDPR потребует перестройки не только процессов, но и IT-систем компании — внедрения систем защиты, контроля и протоколирования обработки персональных данных, что займет немало времени и потребует значительных инвестиций. Начать можно с трех ключевых вещей:
1
Подготовьте регламент обработки данных, а на его основе — согласие на английском языке.
2
Выберите офис или представителя и назначьте DPO.
3
Разверните хоть какую-то систему защиты данных от утечек. На ее роль, например, подойдут существующие DLP-решения. DLP (Data Loss Prevention) — технология контроля хранения и предотвращения утечек конфиденциальной информации. Она позволяет назначить данные критически важными и впоследствии блокировать их копирование и пересылку с помощью любых сервисов и устройств. При этом процесс обработки данных останется обычным для компании и не потребует изменения в процессах.
На первое время это решит проблему, тем более, красной нитью через GDPR проходит мысль: компания должна прилагать не более чем разумные усилия к его соблюдению. Однако раз уж заявлено, что «данные — новая нефть», пора прекращать «курить рядом» и начинать приводить процессы работы с персональными данными в соответствие с законодательством, которое в дальнейшем будет только ужесточаться.