Сегодня поговорим о “великом и ужасном” GDPR (General Data Protection Regulation) или Общем регламенте по защите персональных данных. Не смотря на то, что закон был принят еще в мае 2018 года, многие компании до сих пор не выполняют всех его требований.
Мы встретились с нашим DPO (Data Protection Officer), чтобы он простым языком рассказал что такое GDPR, а также что и как должны выполнить компании во избежании крупных штрафов.
В статье присутствуют сноски, цитирующие основные определения закона.
— Что такое GDPR?
— GDPR — это международный закон ¹, распространяющийся на весь мир, хоть и был принят в ЕС. Это закон обеспечивающий защиту прав пользователей в интернете, регулирующий, в частности, передачу, обработку, хранение персональных данных каждого человека, который находится на территории ЕС, либо является гражданином ЕС.
¹ “This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not”.
— Даже если он пользуется услугами/сайтами компаний не входящих в состав ЕС?
— Да, международный статус позволяет распространять действие закона не только на территории ЕС. Если кто-то использует ресурсы доступные ему с территории ЕС или является гражданином ЕС, но находится на территории других государств он все равно попадает под действие этого закона.
— С чем было связано его принятие ?
— Принятию GDPR предшествовало много случаев злоупотребления данными, в том числе личными. Маркетологи стали “терроризировать” людей исследованиями различного рода. Стали изучать поведение и привычки человека и использовать эти знания, таким образом, делая его более беззащитным. Когда человек совершал какие-то действия на сайте, рекомендательные системы, например, провоцировали его на определенное поведение.
Facebook, в какой-то момент и вовсе стал легально продавать данные пользователей для исследований. Плюс ко всему, под защиту попали все биометрические данные, и это очень важно т.к. в ЕС введены электронные паспорта.
— Что делать компаниям из стран не входящих в ЕС для того, чтобы соответствовать требованиям этого закона?
— Необходимо соблюдать правила, которые определяет этот закон. В первую очередь, нужно уведомить пользователей о сборе информации. Это первое, с чем сталкивается посетитель ресурса. Компания должна абсолютно четко и доступно (в том числе и через дизайнерские решения) донести до пользователя чего от него хотят, какие его данные собирают, и зачем им это нужно. Если, к примеру, собираются параметры веса, то необходимо указать для чего они будут использоваться (если их реальная цель предложить препарат для похудения, так и должно быть написано).
— Данные необходимо хранить в обезличенном виде?
— Закон обязывает обезличивать данные и хранить их в разных местах. Но дело в том, что здесь две главные роли — процессор ² и контроллер ³.
Контроллер — тот, кто собирает и использует эти данные, его обязывают хранить их обезличенно и в разных местах, чтобы например злоумышленники, получив доступ к какой-то базе данных не имели возможности сопоставить эти данные с реальным человеком. Например ваши данные ФИО, адрес, номер банковской карты, рост, вес, семейное положение и т.д. Каждый пункт должен храниться в разных базах данных. В одной имя, во второй семейное положение, в третьей адрес и т.д.
Но у каждой компании есть алгоритмы которые позволяют связывать это все и использовать в своих целях. Таким образом, обеспечение хранения данных — это одно. А вот процессинг ⁴ это уже совсем другое. Там должны быть протоколы доступа к данным. Если их нет, в случае утечки это будет выяснено комиссией, и если у вас не было протоколов, комиссия решит, что храните вы хорошо, а обрабатываете не очень, и примут меры.
² “‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller”;
³ “‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law”;
⁴ “‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction”.
— Как организуется процесс перевода уже действующего сайта/бизнеса к соответствию требованиям данного закона?
— В первую очередь нужно проанализировать в каком состоянии находится сбор и обработка данных в текущий момент. Соответственно, если на текущий момент используется только один сервер, нужно разделить на несколько, чтобы невозможно было взломать все базы данных из одного источника. Защита должна стоять на входе информации, а сервер постоянно мониторится антивирусом. Желательно обеспечить вторым каналом интернет, чтобы в случае утечки по какому-либо из каналов отключить его, и произвести работы по устранению всех неполадок по другому каналу. Доступ должен осуществляться только через защищенное VPN соединение. Сейчас все основные браузеры пишут предупреждения при попытке захода на страницы без https.
Если используется https, все хорошо. К слову, Google, который длительное время игнорировал некоторые требования данного закона, учитывает наличие ssl сертификата как один из факторов ранжирования в поиске.
— Чем грозит несоблюдение требований данного закона?
— Если мы говорим о резиденте ЕС, то конечно это будут штрафные санкции, предписания, которые будут выдавать контролирующие органы после проведенного анализа и расследования. В принципе, на макроуровне это все регулируется высоким штрафом в размере 20 млн. евро, либо 4% от годового оборота. Европейский суд, который будет рассматривать дело, скорее предпочтет 4% от оборота, а не 20 млн. евро.
Но это максимум. Прошел год с момента вступления закона в силу, и уже были практические кейсы. В случаях когда утечка была минимальной и никто не пострадал, злоумышленников поймали и компании было просто вынесено предупреждение. Если же по халатности что-то не было сделано, давали штраф, от пары до сотен тысяч евро. На сегодняшний день, самый крупный штраф был выписан Google в размере 50 млн евро за продолжительное игнорирование некоторых требований закона. Особенно жестоко наказывают за потерю биометрических данных, например медицинские учреждения, об этом предупреждали сразу.
— Кто обязан соблюдать данный закон, а на кого действие не распространяется?
— Тот кто не хранит персональные данные ⁵ — те данные которые позволяют идентифицировать человека, либо определить его местоположение, например ip сюда тоже входит, но в данный момент комиссия не рассматривает ip как персональные данные. Имя и номер телефона являются персональными данными, если собираются с намерением не только связаться с человеком, но и использовать их как-то иначе. Если только для связи — данные не имеют силы и ограничений по срокам хранения т.к. эти цели не предполагают продажу товаров или прогнозирование поведения пользователя.
Еще стоит помнить, что почта, логин или пароль, в отдельности, не являются личными данными. Только конкретно те параметры, которые позволяют персонализировать человека или определить где он, например ip + mac адреса.
В постсоветском пространстве мы привыкли к тому, что “если не разрешено — значит запрещено”, в либеральных странах наоборот “что не запрещено — разрешено”. Это две совершенно разные парадигмы, и отношения к закону. И, соответственно, здесь действует презумпция невиновности — пока не доказали, ты не виновен.
⁵ “ ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”;
— Сейчас на рассмотрение комиссии вынесен еще один закон о защите персональных данных, закон о cookies, расскажи поподробнее об этом.
— Это как раз к вопросу об ip адресах. Через ip можно определить где человек, всю конфигурацию оборудования. Но при этом надо как-то соблюдать данный закон. Сейчас ip вынесли за рамки этого закона. Но не оставляют, вопрос остается открытым, поскольку это все же требует регулирования. Уже было две его редакции, скоро будет третья. Их использование здорово подрежут. Великобритания уже начала движение в этом направлении.
Если закон примут в текущей версии, Google и ей подобные компании просто не смогут работать в ЕС. Сейчас все лоббируют смягчение этого закона. Но стоит отдать должное ЕС, они относятся с большим вниманием к людям, своим гражданам и резидентам, и они продвигают этот закон в пользу людей. Пока закон не принят, и даже не находится в последней фазе чтения. Но руководствуясь практикой, если даже его примут в 2019 году, 1-2 года обычно дается на приведение всех дел в порядок.
Сейчас весь вопрос состоит только в том, насколько глубоко компаниям позволят проникать в личную жизнь людей.
— Какой состав команды требуется для внедрения мер по соответствию сайта требованиям данного закона?
— Обычно это подразумевает частичную занятость, в редких случаях необходимо привлекать всю команду на полную ставку. Аналитик будет проводить аудит текущего положения дел в компании, а также генерировать спецификации для исполнения. Системный администратор или DevOps который будут отвечать за железо, каналы связи и другое, а программист, займется доработкой сайта.
— Что станет результатом работы команды и компании клиента?
— В первую очередь, будет изменена работа с персональными данными (процессинг): сбор, обработка, хранение будут приведены в соответствие с законом. С большой долей вероятности, в компании клиента появится новая должность — Data Protection Officer (DPO). Будет произведена работа над сайтом компании и документацией доступной пользователям (Положение о безопасности, Политика конфиденциальности, Политика обработки Cookie и т.д.). Появятся внутренние протоколы доступа и обработки персональных данных пользователей.
Узнать больше о GDPR можно перейдя по ссылке: https://www.gdpreu.org/ (ресурс доступен только на английском языке).
