Немного о GDPR в 2019 году

Что такое GDPR?

GDPR — это принятый в ЕС международный закон, распространяющийся на весь мир. Он обеспечивает защиту прав пользователей в интернете, регулирует передачу, обработку, хранение персональных данных каждого человека, который находится на территории либо является гражданином ЕС.

Даже если он пользуется услугами/сайтами компаний не входящих в состав ЕС?

Да, международный статус позволяет распространять действие закона не только на территории ЕС. Если кто-то использует ресурсы доступные ему с территории ЕС или является гражданином ЕС, но находится на территории других государств, он все равно попадает под действие этого закона.

С чем было связано его принятие?

Принятию GDPR предшествовало много случаев злоупотребления данными, в том числе личными. 

Маркетологи стали терроризировать людей исследованиями различного рода. Стали изучать поведение и привычки человека и использовать эти знания, таким образом, делая его более беззащитным. Когда человек совершал какие-то действия на сайте, рекомендательные системы, например, провоцировали его на определенное поведение.

Facebook и вовсе стал легально продавать данные пользователей для исследований. Плюс ко всему, под защиту попали все биометрические данные, и это очень важно т.к. в ЕС введены электронные паспорта.

Что делать компаниям из стран не входящих в ЕС для того, чтобы соответствовать требованиям этого закона?

Необходимо соблюдать правила, которые определяет этот закон. В первую очередь, нужно уведомить пользователей о сборе информации. Это первое, с чем сталкивается посетитель ресурса. Компания должна абсолютно четко и доступно (в том числе и через дизайнерские решения) донести до пользователя чего от него хотят, какие его данные собирают и зачем им это нужно. Если, к примеру, собираются параметры веса, то необходимо указать для чего они будут использоваться: если их реальная цель предложить препарат для похудения, так и должно быть написано.

Данные необходимо хранить в обезличенном виде?

Закон обязывает обезличивать данные и хранить их в разных местах. Но дело в том, что здесь две главные роли — процессор и контроллер.

Контроллер — тот, кто собирает и использует эти данные, его обязывают хранить их обезличенно и в разных местах. Например, если злоумышленники получат доступ к какой-то базе данных, то не смогут сопоставить данные с реальным человеком. Каждый пункт должен храниться в разных базах данных. В одной имя, во второй семейное положение, в третьей адрес и т.д.

Но у каждой компании есть алгоритмы которые позволяют связывать это все и использовать в своих целях. Таким образом, обеспечение хранения данных — это одно. А вот процессинг это уже совсем другое. Там должны быть протоколы доступа к данным. Если их нет, в случае утечки это будет выяснено комиссией, и если у вас не было протоколов, комиссия решит, что храните вы хорошо, а обрабатываете не очень, и примут меры.

Как организуется процесс перевода уже действующего сайта/бизнеса к соответствию требованиям данного закона?

В первую очередь нужно проанализировать в каком состоянии находится сбор и обработка данных в текущий момент. 

Если на текущий момент используется только один сервер, нужно разделить на несколько, чтобы невозможно было взломать все базы данных из одного источника. Защита должна стоять на входе информации, а сервер постоянно мониторится антивирусом. Желательно обеспечить вторым каналом интернет, чтобы в случае утечки по какому-либо из каналов отключить его, и произвести работы по устранению всех неполадок по другому каналу. Доступ должен осуществляться только через защищенное VPN соединение. Сейчас все основные браузеры пишут предупреждения при попытке захода на страницы без https.

Если используется https, все хорошо. К слову, Google, который длительное время игнорировал некоторые требования данного закона, учитывает наличие ssl сертификата как один из факторов ранжирования в поиске.

Чем грозит несоблюдение требований данного закона?

Если мы говорим о резиденте ЕС, то это будут штрафные санкции, предписания, которые будут выдавать контролирующие органы после проведенного анализа и расследования. В принципе, на макроуровне это все регулируется высоким штрафом в размере 20 млн. евро, либо 4% от годового оборота. Европейский суд, который будет рассматривать дело, скорее предпочтет 4% от оборота, а не 20 млн. евро.

Но это максимум. Прошел год с момента вступления закона в силу, и уже были практические кейсы. В случаях, когда утечка была минимальной и никто не пострадал, злоумышленников поймали и компании было просто вынесено предупреждение. Если же по халатности что-то не было сделано, давали штраф от пары до сотен тысяч евро. Самый крупный штраф был выписан Google в размере 50 млн евро за продолжительное игнорирование некоторых требований закона. Особенно жестоко наказывают за потерю биометрических данных. Например, медицинские учреждения об этом предупреждали сразу.

Кто обязан соблюдать данный закон, а на кого действие не распространяется?

Тот, кто не хранит персональные данные — те данные которые позволяют идентифицировать человека, либо определить его местоположение, например ip сюда тоже входит, но в данный момент комиссия не рассматривает ip как персональные данные. Имя и номер телефона являются персональными данными, если собираются с намерением не только связаться с человеком, но и использовать их как-то иначе. Если только для связи — данные не имеют силы и ограничений по срокам хранения т.к. эти цели не предполагают продажу товаров или прогнозирование поведения пользователя.

Еще стоит помнить, что почта, логин или пароль, в отдельности, не являются личными данными. Только конкретно те параметры, которые позволяют персонализировать человека или определить где он, например ip + mac адреса.

В постсоветском пространстве мы привыкли к тому, что “если не разрешено — значит запрещено”. В либеральных странах наоборот: “что не запрещено — разрешено”. Это два разных подхода к закону. Здесь действует презумпция невиновности — пока не доказали, ты не виновен.

Сейчас на рассмотрение комиссии вынесен еще один закон о защите персональных данных, закон о cookies, расскажи поподробнее об этом.

Это как раз к вопросу об ip адресах. Через ip можно определить где человек, всю конфигурацию оборудования. Но при этом надо как-то соблюдать данный закон. Сейчас ip вынесли за рамки этого закона. Но не оставляют, вопрос остается открытым, поскольку это все же требует регулирования. Уже было две его редакции, скоро будет третья. Их использование здорово подрежут. Великобритания уже начала движение в этом направлении.

Если закон примут в текущей версии, Google и ей подобные компании просто не смогут работать в ЕС. Сейчас все лоббируют смягчение этого закона. Но стоит отдать должное ЕС, они относятся с большим вниманием к людям, своим гражданам и резидентам, и они продвигают этот закон в пользу людей. Пока закон не принят, и даже не находится в последней фазе чтения. Но руководствуясь практикой, если даже его примут в 2019 году, 1-2 года обычно дается на приведение всех дел в порядок.

Сейчас весь вопрос состоит только в том, насколько глубоко компаниям позволят проникать в личную жизнь людей.

Какой состав команды требуется для внедрения мер по соответствию сайта требованиям данного закона?

Обычно это подразумевает частичную занятость, в редких случаях необходимо привлекать всю команду на полную ставку. Аналитик будет проводить аудит текущего положения дел в компании, а также генерировать спецификации для исполнения. Системный администратор или DevOps который будут отвечать за железо, каналы связи и другое, а программист, займется доработкой сайта.

Что станет результатом работы команды и компании клиента?

В первую очередь, будет изменена работа с персональными данными (процессинг): сбор, обработка, хранение будут приведены в соответствие с законом. С большой долей вероятности, в компании клиента появится новая должность — Data Protection Officer (DPO). Будет произведена работа над сайтом компании и документацией доступной пользователям (Положение о безопасности, Политика конфиденциальности, Политика обработки Cookie и т.д.). Появятся внутренние протоколы доступа и обработки персональных данных пользователей.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *