Об этом эксперт в области информационной безопасности и безопасности бизнеса, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников рассказал на минувшей неделе на онлайн-форуме «You Trust IT. Путь к безопасности бизнеса».
Новые правила защиты информации (The General Data Protection Regulation, GDPR), обсуждение которых длилось четыре года, вступят в ЕС в силу в мае 2018 года. GDPR заменит устаревшие общеевропейские законы о приватности (принятые в 1995 году) и национальные регуляторные нормы, и станет обязательным для всех стран Евросоюза.
Среди основных пунктов реформы:
- упрощение доступа с к собственным ПД: физические лица получат больше информации о том, как обрабатываются их данные; эта информация будет легко доступна;
- право на перенос данных: упрощается перенос ПД между сервис-провайдерами;
- уточнённое «право на забвение»: когда вы более не желаете, чтобы ваши данные обрабатывались, и законных оснований для отказа в этом нет, ПД должны быть удалены;
- право знать о взломе ваших данных: компании и организации обязаны немедленно уведомлять соответствующие официальные органы о серьезных утечках данных, чтобы пользователи могли предпринять необходимые для своей защиты меры.
Значимые изменения в GDPR включают более серьёзные штрафные санкции для компаний-нарушителей законодательства ЕС о приватности – до 4% от общей, т.е. полученной не только в странах ЕС выручки (или до 20 миллионов евро, если 4% меньше этой суммы) – и требуют раскрытия информации об утечках персональных данных в течение 72 часов после их обнаружения.
При этом GDPR устанавливает несколько уровней необходимой защиты информации для крупных международных компаний и предприятий малого и среднего бизнеса.
Принятый регламент ЕС 2016/679 Европарламента и Совета от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и свободном перемещении таких данных аннулирует директиву 95/46/ЕС («Генеральный регламент о защите данных»). Это наднациональный закон, который может быть частично уточнён национальными законодательствами стран-членов ЕС. Так или иначе, но он должен применяться всеми госорганами и компаниями, работающими на территории Евросоюза.
Кому из российских компаний следует знать о GDPR:
- дочерним и зависимым обществам российских компаний, работающим в ЕС (представители банков, компаний топливно-энергетического сектора);
- компаниям, которым контролёры (операторы) ЕС передали ПД для обработки (хостинг, биллинг, резервное копирование, статистическая обработка);
- компаниям, предлагающим гражданам ЕС товары и услуги (формулировка несколько размыта, учитывая распространение интернет-магазинов, предлагающих услуги по всему миру, дополнительные признаки – сайт на языке страны ЕС (включая английский), расчёт в валюте ЕС, прямое упоминание граждан ЕС);
- компаниям, осуществляющим мониторинг действий граждан ЕС на территории ЕС (пример – мониторинг поведения клиентов российских банков-граждан ЕС при их нахождении в ЕС в целях фрод-мониторинга, использование систем ДБО и «Клиент-банк» и пр. Возможно, сюда следует отнести даже мониторинг посещений российских сайтов гражданами ЕС – таргетирование рекламы, составление профилей пользователей и т.п.
При том 27 статья GDPR жёстко требует от всех контролёров и обработчиков ПД, находящихся за пределами ЕС, заключения в письменной форме договора о представительстве их в ЕС с тем, чтобы надзорный орган (Еврокомиссия, национальные надзорные органы) могли в случае претензий граждан ЕС связаться с представителем этой зарубежной компании на территории ЕС. Это не касается обработки ПД госорганами. Это важный момент, поскольку весь GDPR основан на риск-ориентированном подходе, и каждый оператор должен своевременно и заблаговременно оценивать риски, принимая решение о начале обработки их ПД.
По словам Емельянникова, концептуальные основы изменений следующие: согласие с политикой конфиденциальности как свободный выбор, не обусловленный отказом пользоваться услугой; чёткое понимание того, на что дается согласие; обеспечение пользователей удобными инструментами для контроля за своими ПД; «право на забвение»; оповещение в случае угрозы личным данным (как госоргана, так и субъекта ПД); возможность переноса личных данных от одного поставщика к другому (данные должны храниться в машиночитаемом виде); запрет на «общее» согласие на обработку.
Особое внимание GDPR уделяет персональным данным детей, которые могут быть переданы гражданами третьим лицам без понимания последствий — граждане должны иметь возможность запретить их использование.
Инструменты защиты ПД должны быть встроены в продукты и сервисы (IT-системы, сайты, приложения) с самого начала их разработки: псевдоанонимизация ПД, шифрование, протоколы для защиты личной переписки (при передаче данных между субъектом и контролером (оператором ПД)).
После появления нового регламента встал вопрос: а кто же будет выполнять его требования в компаниях.
По исследованию компании Veritas, 32% опрошенных компаний считают, что этим должен заниматься IT-директор (CIO), 21% ответили, что специалисты по информационной безопасности, 14% считают, что это обязанность лично руководителя компании (CEO), 10% придерживаются мнения, что нужно создать отдельную должность офицера по ПД, 23% опрошенных вообще затруднились ответить на этот вопрос.
Согласно GDPR, если компания обрабатывает большой объём данных, и эти данные являются чувствительными, необходимо ввести специальную должность ответственного за организацию работы с ПД.
Последствия введения GDPR для российских компаний таковы:
- необходимо выполнять все требования GDPR в случаях, подпадающих под регламент (см. выше);
- следует иметь в виду возможность привлечения к ответственности по европейским правилам в случае невыполнения требований GDPR;
- необходимо оценивать риски, связанные с GDPR, для каждой российской компании, работающей с данными граждан ЕС.
GDPR, в отличие от роcсийского 152-ФЗ «О персональных данных», гораздо более детализирован, в нём приведено большое количество примеров и подробных разборов ситуаций, приватность гражданина в нём ставится выше общих проблем безопасности. При этом документы имеют и много общего – широкая трактовка понятия ПД, экстерриториальность (накладывает ограничения на действия иностранных операторов и контролёров), широкие права субъектов ПД и серьёзные обязанности операторов ПД.
Как на деле будет применяться GDPR, покажет только практика.
