С приветом из Европы: готовы ли наши бизнесмены к штрафам по GDPR
GDPR — это, наверное, самая громкая законодательная мера в области защиты данных человека в новом тысячелетии. 25 мая соответствующий регламент вступил в силу в странах ЕС и ЕЭЗ. В Украине были слышны лишь отголоски этого события. Например, когда основатель Facebook Марк Цукерберг “отчитывался” перед европарламентариями за проколы по сохранению информации о своих пользователях, его тоже спрашивали про GDPR. А гуру соцтеха недоумевал и убеждал, что все будет окей.
Поэтому GDPR (EU General Data Protection Regulation) воспринималась нашими согражданами как некая правовая заморская диковинка, за которой можно понаблюдать, уютно устроившись у себя в кабинете в кресле. Как будто ты смотришь в аквариум, где маленькие, но юркие рыбки накинулись на живой корм.
Но, как оказалось, своеобразное местное затишье может выйти боком.
Призрак или реальная опасность?
В первые месяцы большинство европейских структур по защите данных дали лицам, которые обрабатывают и хранят чужие данные, время на подготовку. Жара началась лишь осенью, когда появились новости о принятии решений по первым штрафам.
Как заявил недавно Наблюдатель в сфере защиты данных в Европе Джованни Буттарелли, он ожидает, что о первых штрафах (или других дисциплинарных санкциях) будет слышно лишь к концу года. Правда, уже есть и первые ласточки. Например, европейцы уже подсчитали, что могут оштрафовать Facebook на $1,6 млрд за недавнюю утечку данных 50 млн аккаунтов, 10% из которых могут быть из ЕС.
Так вот, пока европейские компании готовятся соответствовать новой политике по защите данных или придумывают, как уберечь себя от штрафов, в украинском бизнесе в этой сфере мало что происходит. А зачем? Бытует мнение, что только IT-компании, работающие на европейских рынках, сейчас должны суетиться, так как имеют дело с большим количеством пользовательских данных и иностранными заказами.
И IT-шники действительно суетятся. Но практически никто не осознает, что GDPR коснется огромного количества украинских бизнесов, которые, казалось бы, вообще никакого отношения к европейцам не имеют.
Кого касается?
Елена Колченогова, специалист в сфере защиты персональных данных и юрист консалтинговой компании Nota Group, описывает бизнесы, которых могут затронуть санкции, очень лаконично: “Нормы распространяются в Украине на компании, которые предлагают товары и услуги субъектам данных в Европе, неважно на платной или бесплатной основе”.
Кто такие субъекты данных? Это физические лица, которые там проживают: резиденты и граждане ЕС.
“В зоне риска оказываются достаточно большое количество бизнесов, которые касаются транспорта, медицины, страхования, туризма, IT, банковских сервисов, торговли и прочие”, - подчеркивает Колченогова.
Также новые нормы распространяются на компании, которые осуществляют мониторинг данных этих людей в интернете, т.е. отслеживание в сети через онлайн-идентификаторы (cookies-файлы, IP-адрес пользователя - что, кстати, тоже относится к персональным данным в соответствии с регламентом).
Скажем, европеец зашел на страничку интернет-магазина, где есть определенный перечень услуг. Информация о том, что он посещал этот сайт у онлайн-площадки сохраняется. Следовательно, у процессора (оператора) этой онлайн-площадки возникают требования по соблюдению обработки данных, предусмотренные регламентом.
Понятное дело, что таким сайтом, собирающим информацию, может быть не только интернет-магазин, но и, к примеру, местный украинский онлайн-сервис по продаже билетов Укрзалізниці, которым решил воспользоваться гражданин какой-нибудь западной страны. Помимо данных о посещении у государственного предприятия окажутся в распоряжении его дополнительные личные данные - фамилия и имя.
Если это будет авиабилет, купленный у украинской авиакомпании онлайн, то к этим личным данным может еще добавиться номер паспорта, возможно, предпочтения в еде на борту, родственниках, номерах карт и так далее. Финансовый процессинг операции по покупке этого же билета будет осуществлять украинский банк, который тоже обязан будет обрабатывать и хранить персональные данные об этой транзакции в соответствии с требованиями регламента.
Иными словами, в сети может сохраняться довольно большое количество предпочтений и особенностей поведения пользователей.
“SEO-специалисты и маркетологи отслеживают, с какого сайта клиент пришел, трассу его поведения на своем сайте и на какой ресурс он отправился дальше. Это помогает создавать портрет пользователя - ценные данные для любого маркетолога”, - рассказывает R&D директор компании ИТ-Интегратор Владимир Кург. Поэтому интернет-маркетологам сейчас есть над чем подумать, чтобы не потерять свой любимый инструмент.
Также регламент GDPR распространяется на те компании, которые имеют представительства в странах ЕС. Это может быть и отдельное юридическое лицо, и филиал, и просто департамент. Или даже просто физическое лицо, которое является агентом, предоставляющим услуги.
Какая ответственность?
Штрафы в размере 2% от общего глобального годового оборота или 10 млн евро (в зависимости от того, что больше) за необеспечение защиты, нарушение сроков уведомления/неуведомление наблюдательного органа или субъектов данных, не назначение DPO в случаях, требующих обязательного назначения, нарушение обработки данных детей как субъекта данных.
Штрафы в размере 4% от годового оборота или 20 млн евро (в зависимости от того, что больше) в случае нарушения основных принципов обработки данных, прав субъектов, передачи данных в третьи страны. Такую санкцию можно получить, например, за допущение утечки данных или необеспечение защиты. Кстати, Facebook европейцы сейчас хотят подвести именно под эту норму.
Как подчеркивает Елена Колченогова, в Европе законодательство в сфере защиты персональных данных не ново - ему уже более десятка лет. В Украине у нас тоже есть профильное законодательство. Но из-за маленьких штрафов никто сейчас не обращает внимание на обработку персональных данных и тем более их защиту. У нас это максимум тысячи гривен.
Как европейская санкция может быть применима к Украине?
Сначала судебное разбирательство проходит на территории ЕС. “В Украине еще не было такой практики, и поэтому мы не можем точно описать, как это будет работать”, - говорит Елена Колченогова. Но, скорее всего, в нашей стране разбирательство будет “приземляться” с привлечением Уполномоченного ВР Украины по правам человека, поскольку данное должностное лицо осуществляет функции контроля по защите прав человека, в том числе персональных данных.
Если в европейских судах уже будет вынесено решение, то через стандартную процедуру признания решения международных судов, утвержденную процессуальным законодательством Украины и двусторонними международными договорами, она будет осуществляться у нас.
Что делать, если есть такие риски? С чего начать, чтобы обезопасить себя от претензий со стороны европейских потребителей?
Сам регламент GDPR определяет организационную и техническую составляющую. Как раз к организационной части относится больше юридических аспектов.
Шаг первый. Для начала нужно определить, подпадает ли бизнес под GDPR или нет. Для этого в компании резонно провести специальный аудит.
Шаг второй. Если ответ утвердительный, то предстоит поработать как с бумажками, так и внедрить через технические средства защиты требования GDPR. Сначала нужно назначить в компании ответственного за соблюдение его норм или нанять такого человека на аутсорс. Это так называемый Data Protection Officer (DPO). Он будет обучать персонал, давать рекомендации и контролировать соблюдение требований регламента в компании.
“Регламент не устанавливает четкие требования к квалификации DPO. Подчеркивается, что такой специалист должен иметь опыт работы и соответствующие знания. Как правило, такой специалист (Data Protection Officer) обязателен, если бизнес масштабно и регулярно обрабатывает персональные данные. DPO может быть как в штате, так и на аутсорсе. Однако, чем больше опыта работы, тем более квалифицированную помощь специалист способен оказать. В связи с чем функции DPO может выполнять правовой и технический консультант на аутсорсинге”, - подчеркивает юрист Nota Group.
Шаг третий. Внедряются и соблюдаются основные принципы обработки данных (принцип законности, точности, прозрачности, минимизация данных, хранение данных не более срока, необходимого для обработки данных). Рекомендуется вести реестр (записи) обработки данных. Это тоже ключевой критерий, когда в компании определяется, какие и чьи данные она обрабатывает, кому их передает. Если в компании более 250 сотрудников, такой реестр является обязательным.
“Если субъект - гражданин или резидент стран ЕС - обратился к вам относительно данных, которые вы обрабатываете, вам будет проще и быстрее предоставить такую информацию при ведении подобного реестра данных”, - подчеркивает юрист.
Шаг четвертый. Далее необходимо назначить представителя в европейских странах. Если компания в Украине осуществляет услуги или предоставляет товары европейцам, но у нее нет представительства в Европе (например, это украинский интернет-магазин), она должна назначить такого представителя. Это может быть как физическое, так и юридическое лицо. Например, юрфирма, которая имеет контактное лицо в ЕС.
Шаг пятый. Для компании в целом разрабатываются специальные политики конфиденциальности, условия использования данных, договорные положения с контрагентами, уведомления для субъектов данных об обработке их данных, корпоративные правила.
По своей сути корпоративные правила являются пошаговой инструкцией по работе с данными. В таких документах должно быть также четко прописано, какими правами владеют граждане и резиденты Европы. Среди них право на доступ к своим персональным данным, право запретить обработку персональных данных, приостановить, удалить их.
Особенностью обязывающих корпоративных правил является то, что они удобны для холдинговых компаний, если структура состоит из нескольких юрлиц под зонтиком одного акционера. При этом один может находиться в Польше, другой в Украине, третий в Испании, но все соблюдают одни и те же правила.
Кодексы и правила можно утверждать самостоятельно. Но чтобы подтвердить, что они соответствуют регламенту, нужно пройти процедуру согласования в наблюдательных европейских органах. Это длительный процесс. Крупные мировые компании уже его проходили. И на сайте ЕС даже есть перечень таких компаний, чьи корпоративные правила утверждены европейским наблюдательным советом.
Шаг шестой. Проведение IТ-аудита, устранение брешей в системе информационной безопасности, разработка правил в этой сфере.
Во сколько обойдутся услуги компании, которая будет сопровождать бизнес по GDPR?
Как объясняет юрист Nota Group Елена Колченогова, бизнес-процессы у каждого предприятия свои. Поэтому сложно сказать, какой объем данных обрабатывает компания. Для этого-то сначала и требуется аудит. Нужно быть готовым потратить где-то $100 в час на группу юристов, которые будут внедрять GDPR в ваш бизнес. Если компания занимается обработкой данных масштабно и регулярно, то цифры могут быть другими.
Владимир Кург добавляет, что параллельно запрашивается информация об обрабатываемых данных в юридическом отделе и у IT-шников (либо службе IT-безопасности). К последним вопрос следующий: какой у нас объем персональных данных, подпадающих под данную регуляцию? А именно: сколько в системе записей о физлицах из ЕС, какой объем информации связан с этими людьми? Дальше уже принимается решение.
“Смотрим, сколько записей. Сравниваем максимальную санкцию со стоимостью услуг, которые может предоставить юрист”, - уточняет Кург. Цель - не потратить больше.
Как реализуется техническая часть?
Помимо бумажной юридической части, при подготовке к GDPR невозможно обойтись без ряда процедур в IT-системах. Здесь тоже нужно навести марафет. Главное - знать, с чего начать. Как отмечает Владимир Кург, у данных в любом бизнесе есть три состояния.
1. Data in rest - хранимые, неактивные данные.
Это бэкапы, в которых хранятся все данные. Они могут находиться на локальной системе или в облаке.
Дальше вопросы. Могут ли утечь такие бэкапы из облака? Прецеденты бывают. Что в этом случае делать? Самое простое - шифрование при создании бэкапов. Бэкапы - приоритет №1, потому что в них содержится весь набор корпоративных данных, включая персональные. И цена одного единственного инцидента максимальна.
2. Data in use - данные в обработке.
Должно быть понимание, какой доступ к данным есть у сотрудников и клиентов. Нужно проаудировать систему на предмет того, какой объем данных может получить сотрудник, если предположить, что он недобросовестный.
На уровне администратора баз данных в компании можно реализовать принцип “наименьшее необходимое знание” или “наименьший необходимый доступ”, объясняет Владимир Кург.
Типичный пример: в большинстве систем управления базами данных можно включить маскировку полей для определенной пользовательской группы. “Людям из колл-центра, которые принимают звонки, надо знать имя обращающегося, откуда он звонит, какой продукт он купил или каким уже владеет. Поэтому достаточно замаскировать поля фамилии, даты рождения, точного адреса, номеров кредиток и т.д. И для данной роли пользователя обеспечивается безопасность персональных данных”, - рассказывает R&D директор ИТ-Интегратор.
Еще одни “страшные” люди для data in use - аналитики и маркетологи. Они хотят иметь массивные отчеты, полный набор “исторических” данных. Чтобы снизить риски работы с персональной информацией о клиентах, есть два варианта. Первый - маскировка, как в примере выше. Второй - псевдоанонимизация, когда конкретные имена и адреса замещаются псевдонимами. Увидеть связь псевдонима с реальными данными могут только уполномоченные лица. Все это должно расписываться в протоколах и процедурах обработки.
3. Data in motion – это данные в процессе передачи.
Здесь есть угроза прослушивания трафика. Риски здесь значительно меньше, так как технически это сделать труднее: в первую очередь – идентифицировать нужный поток. Но если, к примеру, резервное копирование идет в облако в незашифрованном виде, то на уровне провайдера можно скопировать большую часть сессии. Или, приложив дополнительные усилия, даже всю. То же касается и “прослушки” web-сессий пользователя по http. Но не по https, поскольку в этом случае сессия шифруется.
Резюме
Смысл не только в том, чтобы обезопасить себя документарно. Нужно еще это внедрить и соблюдать.
“Фаза №1 и самая главная - просчитайте риски. Если они небольшие, не заморачивайтесь. Стоимость защиты данных должна сопоставляться с рисками нарушения их защиты”, - подчеркивает Владимир Кург.
Идеальная модель для многих бизнесов после проведения аудита и осознания, что они в группе риска, - отдать GDPR на аутсорсинг. Это сродни тому, когда человек покупает страховку для поездки в Европу. Как известно, ее можно и не покупать. Но лучше подложить соломы на всякий случай. Ведь за медицинские услуги в западных странах потом не рассчитаешься, точно так же как и не отвертишься от штрафа в 2-4% от оборота, когда местные суды уже “приземлят” европейское решение по какой-нибудь незначительной, по нашим меркам, кляузе европейца.