Привет, Хабр!

Сегодня я хочу поговорить о GDPR – регуляции, которая изменила понимание приватности данных в Европе и за ее пределами. На первый взгляд, GDPR может показаться очередной бюрократической головной болью, но на самом деле это очень большой шаг в сторону уважения и защиты личной информаций.

GDPR выступает не как какой-то набор ограничений, а как стимул для повышения качества работы с данными.

Санкции за несоблюдение GDPR могут быть очень большими, в некоторых случаях доходя до 10 миллионов евро или 2% от общего мирового годового оборота за предыдущий финансовый год, а в других случаях — до 20 миллионов евро или до 4% от общего мирового годового оборота. Размер штрафа оценивается индивидуально и зависит от множества факторов, как серьезность нарушения, степень причиненного ущерба, наличие умысла, и многое другое​​.

В этой статье мы рассмотрим несколько основных принципов GDPR.

Законность, справедливость и прозрачность

Этот принцип требует, чтобы обработка персональных данных осуществлялась законно, справедливо и прозрачно по отношению к субъекту данных. Т.е организации должны иметь законные основания для обработки данных, обеспечивать справедливость в своих действиях и быть открытыми в своих методах обработки данных​​.

Огромное количество услуг сегодня предоставляется онлайн, и многие компании ведут массовую рассылку, при этом среди их клиентов всегда могут оказаться граждане ЕС. Это делает GDPR актуальным для всех, кто работает или может работать с персональными данными граждан ЕС. Важными понятиями в рамках GDPR являются контролер данных, отвечающий за сбор данных, и процессор данных, обрабатывающий данные​​.

Контролер данных - это организация, лицо, агентство или другой субъект, который определяет цели и средства обработки персональных данных. В других словах, контролер данных решает, зачем и как будут обрабатываться личные данные. Контролер несет основную ответственность за соблюдение GDPR, включая обязанность по информированию субъектов данных о том, как их данные будут использоваться, и защиту этих данных от несанкционированного доступа или утечки.

Процессор данных - это организация, лицо, агентство или другой субъект, который обрабатывает персональные данные от имени контролера данных. Процессор не определяет цели обработки данных, а выполняет инструкции контролера. Процессоры могут включать компании, предоставляющие облачные хранилища, IT-услуги, аналитические службы и другие подобные услуги. Они также обязаны защищать данные и следовать принципам безопасности, установленным контролером и требованиям GDPR.

Пример законной обработки данных, представленный в руководстве EDPB, описывает, как банк, планируя предложить услугу для улучшения эффективности обработки заявок на кредиты, должен осознать, что некоторые способы сбора данных напрямую от государственных органов не могут основываться на необходимости для заключения контракта. В этом случае, банк должен полагаться на согласие клиента, предоставляя информацию о процессе обработки данных на платформе подачи заявок таким образом, чтобы клиент мог легко понять, какие процессы обязательны, а какие опциональны. Согласие на сбор данных должно быть оформлено таким образом, чтобы его можно было легко отозвать, и должно обрабатываться электронно в документированной форме​​.

Реализация принципа требует комплексного подхода:

Юридическое обоснование обработки данных: определяется и документируется законное основание для каждого типа обработки данных, которое осуществляется. Это может быть согласие субъекта данных, необходимость выполнения контракта, юридические обязательства, защита жизненно важных интересов, выполнение задач, выполняемых в общественных интересах, или защита законных интересов.

Нужно разработать и обновлять политику конфиденциальности, которая ясно и простым языком информирует субъектов данных о том, какие данные собираются, для каких целей они используются, каковы их права, как можно осуществить эти права и как долго данные будут храниться. Нужно, чтобы политика конфиденциальности была легкодоступной и понятной.

Если обработка основана на согласии, нужно убедиться, что оно получено явно, информированно и документально подтверждено. Согласие должно быть столь же легко отозвать, как и предоставить.

Ограничение целей

Принцип ограничения целей предписывает, что персональные данные должны собираться исключительно для ясно определенных и законных целей и не должны далее обрабатываться способами, несовместимыми с этими целями. Это значит, что организации должны четко определять, для чего они собирают данные, и использовать их строго в рамках этих целей.

Как выглядит реализация этого принципа?

Первый шаг - определение целей сбора данных. Это требует ясности и конкретики: например, сбор электронных адресов для рассылки новостей компании. Очень важно, чтобы эти цели были законными и объяснялись субъектам данных в момент сбора информации.

Следующий шаг - прозрачность. Организации должны информировать субъектов данных о том, как их данные будут использоваться. Т.е должна быть понятная и доступная политика конфиденциальности, которая обеспечивает клиентов всей необходимой информацией: кто собирает данные, для каких целей, как долго они будут храниться и так далее.

Минимизация данных - собирайте только ту информацию, которая действительно необходима для достижения заявленных целей. Например, если вы регистрируете пользователей для доступа к онлайн-курсам, возможно, вам не нужен их домашний адрес или номер телефона?

Консент субъектов данных. В случаях, когда обработка данных необходима для выполнения контракта или законных интересов, согласие может и не требоваться. Однако во многих ситуациях, особенно при обработке чувствительных данных, получение явного согласия становится необходимым. Это согласие должно быть легко отозвано.

Точность

Организаций должны обеспечивать актуальность, корректность и полноту персональных данных, которые они обрабатывают. Это требование касается всего жизненного цикла данных, от их сбора до удаления.

Важность точности данных подчеркивается в статье 5 GDPR, которая требует, чтобы персональные данные были точными и, при необходимости, актуализированы. Несоблюдение этого требования может привести к искажению информации о субъектах данных, что в свою очередь может нанести вред их правам и свободам. Организации обязаны предпринимать все разумные шаги для немедленного исправления или удаления персональных данных, если они не точны относительно целей, для которых они обрабатываются.

Точность данных напрямую связана с их актуальностью. Это значит, что организациям необходимо регулярно пересматривать собранные данные и обновлять их, чтобы они соответствовали действительности. Неправильные данные должны быть исправлены без неоправданной задержки, что также способствует повышению доверия со стороны субъектов данных и общества в целом.

Необходимо вводить все возможные процессы и механизмов, которые обеспечивают надлежащую проверку и коррекцию данных. Это может включать разработку и внедрение внутренних правил по обработке и проверке данных, а также обучение сотрудников, ответственных за обработку данных, методам их актуализации и проверки.

Точность данных – это не только юридическое требование, но и вопрос этики и ответственности перед субъектами данных. Организации, которые прилагают усилия к поддержанию актуальности и точности обрабатываемых данных, демонстрируют свое уважение к правам и свободам физических лиц.

Ограничение хранения

Это требование призвано обеспечить, чтобы данные не сохранялись вечно без конкретной необходимости, и подразумевает внедрение политик по удалению или анонимизации данных, которые больше не нужны для исходных целей их сбора.

Организациям необходимо не только четко определять и документировать сроки хранения для всех категорий собранных данных, но и активно управлять данными в соответствии с этими сроками.

Для применения этого принципа организациям рекомендуется:

  • Вести учет всех наборов данных, чтобы понимать, какие данные у вас есть, зачем они собраны и сколько времени они должны храниться.

  • Разработать и внедрить политику хранения данных, определяющую сроки хранения для различных типов данных в зависимости от их цели и необходимости.

  • Регулярно пересматривать данные и удалять или анонимизировать их, когда срок хранения истекает или данные больше не нужны для первоначально заявленных целей.

  • Информировать субъектов данных о сроках хранения их персональных данных и о том, как эти сроки определяются.

Существуют определенные исключения и обстоятельства, когда данные могут храниться дольше, чем это было первоначально предполагалось, например, если они необходимы для соблюдения законодательных требований, защиты прав субъектов данных или по другим законным причинам.

Ответственность

Организации не только обязаны соблюдать нормы защиты данных, но и должны иметь возможность демонстрировать соответствие этим нормам на практике через реализацию и поддержание соответствующих процедур и политик.

Необходимо:

  • Назначение обязанностей по защите данных среди команды: определение ролей и ответственности среди сотрудников по вопросам защиты данных.

  • Ведение детальной документации: организации должны вести учет о том, какие данные собираются, как они используются, где хранятся и кто за них отвечает.

  • Проведение обучения сотрудников и реализация технических и организационных мер безопасности: организации должны обучать свой персонал принципам защиты данных и реализовывать соответствующие меры безопасности для защиты данных от несанкционированного доступа и других угроз.

  • Заключение договоров об обработке данных с третьими сторонами: подписание договоров с партнерами и поставщиками услуг, которые обрабатывают данные от имени организации, для обеспечения их соответствия GDPR.

  • Назначение DPO: не каждая организация обязана назначать DPO, но это может быть выгодно для обеспечения соответствия GDPR и служить связующим звеном с регулирующими органами.

Ну и самое очевидное - целостность и конфиденциальность

И вытекающие из всех принципо выше.

Организациям необходимо:

  • Проводить регулярные оценки и аудиты безопасности для обеспечения актуальности и эффективности принимаемых мер.

  • Иметь четкие процедуры реагирования на инциденты, связанные с безопасностью данных, включая обязанность по информированию регуляторных органов и затронутых лиц о нарушениях безопасности данных без неоправданных задержек.

  • Обеспечить, чтобы все сотрудники, обрабатывающие личные данные, были должным образом проинформированы о политиках безопасности и прошли соответствующее обучение.

Необходимо использовать шифрование, 2ФА и другие мтодов для защиты данных. Организационные меры включают в себя политики конфиденциальности, процедуры контроля доступа и регулярное обучение сотрудников.

Для минимизации рисков необходимо:

  • Применять принцип наименьших привилегий, ограничивая доступ к данным только тем сотрудникам, которым он действительно необходим для выполнения их обязанностей.

  • Использовать методы псевдонимизации и анонимизации данных, когда это возможно, для минимизации воздействия потенциальных утечек.

Пример/антипример

Принцип GDPR

Антипример

Хороший пример

Законность, справедливость и прозрачность

Компания собирает данные пользователей без их согласия, используя обман или вводя их в заблуждение относительно целей обработки.

Компания ясно информирует пользователей о сборе данных, целях обработки и получает их явное согласие.

Ограничение целей

Данные, собранные для маркетинговых исследований, впоследствии используются для персонализации рекламы без дополнительного согласия.

Данные используются строго в рамках целей, для которых они были собраны, и при изменении целей компания получает новое согласие.

Точность

Компания не обновляет устаревшие или неточные данные, что приводит к некорректной обработке.

Компания регулярно проверяет и обновляет данные, исправляя неточности, как только они становятся известны.

Ограничение хранения

Данные хранятся вечно, без установления конкретных сроков хранения или удаления.

Устанавливаются и соблюдаются четкие сроки хранения данных. По истечении этих сроков данные удаляются или анонимизируются.

Ответственность

Компания не документирует процессы обработки данных и не может доказать свое соответствие GDPR при запросе.

Компания ведет подробную документацию своих процессов обработки данных и готова демонстрировать соответствие GDPR по запросу регулятора.

Целостность и конфиденциальность

Отсутствие или недостаточные меры безопасности, приводящие к утечке данных.

Применение современных методов защиты данных, включая шифрование и регулярное тестирование систем безопасности.


Что вы думаете о GDPR? Какие за и против?

Статья подготовлена в преддверии старта курса Data Warehouse Analyst. Узнать подробнее о курсе и зарегистрироваться на бесплатный вебинар можно по ссылке.