GDPR - новый регламент защиты персональных данных в ЕС. Как избежать многомиллионных штрафов?
В Европейском союзе со следующего года будет действовать новый регламент защиты персональных данных (GDPR): требования к обеспечению безопасности конфиденциальных данных существенно ужесточатся. У компаний, в том числе российских, работающих с европейскими партнерами, осталось немного времени, чтобы приспособиться к новым условиям ведения бизнеса.
Проблему конфиденциальности данных признали крайне важной
Новые нормы General Data Privacy Regulations (GDPR) вступят в силу 25 мая 2018 г. и будут применяться ко всем игрокам европейского рынка, включая иностранные компании. Новый регламент будет действовать и на территории Великобритании до окончательного выхода страны из ЕС.
Проще говоря, не важно, где находится ваша компания, но если вы обрабатываете и храните данные, относящиеся к резидентам ЕС, то на вас распространяется действие GDPR.
GDPR налагает ряд требований, и их невыполнение предполагает серьезные санкции. Одним из главных обязательств, согласно GDPR, является уведомление в течение 72 часов о нарушении конфиденциальности данных. То есть, в случае утечки или хищения данных необходимо в течение трех суток известить об этом контролирующие органы, даже если не удалось установить причину утечки. Фактически, данные считаются скомпрометированными, и попытка утаить этот факт влечет наложение штрафа. Чем выше степень риска, тем быстрее нужно сообщать. Точные сроки, помимо ограничения в 72 часа, не регламентированы, однако, вероятно, если из-за известной утечки будет нанесен серьезный ущерб, компания также понесёт ответственность.
Плюсом GDPR является то, что отныне контроллерам нет необходимости отправлять уведомления об операциях в каждый местный орган, ответственный за защиту персональных данных. Ранее это вызывало сложности, так как в разных странах свои требования к оформлению. Теперь в большинстве случаев достаточно типового договора и правил внутреннего учета деятельности, связанной с обработкой данных. Исключение составляют особые случаи, например работа с персональными данными об уголовных преступлениях.
По данным опросов, пока более половины европейских компаний не готовы к введению таких строгих мер защиты данных. Причем треть компаний даже не определилась с тем, кто в их структуре должен отвечать за выполнение требований GDPR.
Рассмотрим ключевые моменты новых норм регулирования, которые, вероятно, являются примером новой глобальной тенденции к ужесточению правил работы с конфиденциальной информацией.
Какие данные защищает GDPR?
Новые нормы GDPR касаются всех данных с персонифицированной информацией, то есть сведений об организациях и физических лицах. Речь идет, в том числе и о маркетинговых данных, к хранению которых сегодня многие компании относятся менее требовательно, чем к информации, например, финансового или медицинского характера.
Регулирование в соответствии с GDPR будет применяться к обработке персональных данных, связанных с предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата); мониторингом поведения пользователей в ЕС (маркетинг, отслеживание в соцсетях и т.д.).
Более того, больше нельзя использовать длинные неудобочитаемые пользовательские соглашения. Вместо этого пользователь должен получить формы соглашений на простом языке.
Также пользователь должен иметь возможность легко отозвать свое согласие и обязать компанию удалить его персональные данные. Это право, названное Data Erasure, требует прекращения распространения и обработки персональных данных, а также обязывает их стереть. При рассмотрении таких запросов регуляторы могут оценивать «общественный интерес к доступности информации», то есть право Data Erasure может быть аннулировано, если, например, свои данные пытается скрыть злоумышленник.
Провайдер облачных услуг поставляет вычислительные услуги в облачной среде, и когда он действует от имени клиента, то является процессором. Клиент выступает в роли контроллера, принимает решение об использовании того или иного облачного сервиса для обработки персональных данных. Также контроллер несет ответственность по защите данных. В отдельных случаях провайдер облачных услуг (процессор) может быть и контроллером.
Контроллеры обязаны передать регуляторам, а процессоры - пользователям как можно быстрее и «без неоправданной задержки» уведомление о нарушении информационной безопасности персональных данных, способное привести к ущемлению прав и свобод.
Компании, находящиеся за пределами ЕС, должны будут назначить представителя для работы с европейскими регуляторами в случае необходимости. Также следует иметь в виду, что в соответствии с GDPR, регуляторы имеют право затребовать информацию о том, как, где и с какой целью обрабатываются персональные данные.
Кроме того, контроллеры обязаны предоставить субъекту данных копию информации в электронном формате — это радикальный переход к прозрачности информации, хотя он и влечет за собой ряд проблем. Прежде всего, передача любых данных по требованию влечет за собой риск утечки. Также в ряде случаев компании не хотят, чтобы пользователи получали данные о том, какие сведения о них собирают. В то же время, это частично снимает проблему непрозрачности данных облачных сервисов, которая создает угрозу для контроллеров и субъектов данных.
Еще один пункт GDPR, на который стоит обратить внимание в первую очередь, — это требование обеспечить защиту данных еще на этапе разработки, то есть конфиденциальность должна быть изначально заложена в дизайн продукта.
Штрафы за нарушение норм GDPR
Максимальный штраф за нарушение норм GDPR составляет до $20 млн, или 4% оборота денежных средств нарушителя (выбирается наибольшая сумма). Такое наказание налагается за серьезные нарушения, например, обработку персональных данных без согласия клиентов, дискредитацию конфиденциальной информации или нарушение правил дизайна продукта.
В GDPR предусмотрен гибкий многоуровневый подход к штрафам. В частности, компания может быть оштрафована на 2% за то, что не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба. Эти правила применяются к контроллерам и процессорам, то есть облачные сервисы не будут освобождены от обязанностей исполнения норм GDPR.
Что касается российских предприятий, то в первую очередь введение норм регулирования GDPR может коснуться энергетических, финансовых, транспортных и ИТ-компаний. В то же время, прозрачное регулирование в области защиты данных является позитивным фактором для всего рынка информационных технологий.
Когда нормы GDPR вступят в силу, то любая компания будет иметь всего 72 часа, чтобы сообщить об обнаруженной бреши в системе ИТ безопасности контроллерам. Поэтому компания, которая работает с персональными данными резидентов ЕС должна иметь полную копию трафика со всеми заголовками и полезной нагрузкой в объеме за последние 72 часа минимум, чтобы избежать штрафов. И главное в таких решениях, как и в законе Яровой не просто записать трафик, а проиндексировать его и обеспечить быстрый поиск, так как объем хранилища может быть большим.
Если у вас ЦОД с двумя каналами связи на 10Гбит/сек и загрузкой 75%, то для хранения трафика в течение 72 часов понадобится хранилище 768 терабайт.
Сохраненный трафик позволит проанализировать источник проблемы, если необходимо воспроизвести трафик и после удаления бреши проверить, что все теперь соответствует внутренним политикам безопасности.
Всегда на связи, Игорь Панов.
Делитесь нашими статьями в соцсетях и задавайте вопросы в комментариях!
См. также:
Авторизуйтесь для этого