fbpx

31.03.2021

Как защитить персональные данные: GDPR в действии

Защита персональных данных

Защита персональных данных – мировой тренд. Право на их защиту декларируется сегодня как неотъемлемая часть фундаментальных прав человека. Тема их безопасной обработки и хранения актуальна как в Белоруси, так и за рубежом.

Что же такое персональные данные, и что именно нужно защищать?

Сбор, анализ и перемещение персональных данных приобретают во всем мире огромное экономическое значение. Персональные данные (ПДн) имеют в современной экономике значительную ценность. По сути, это любые сведения, относящиеся к прямо или косвенно определенному субъекту персональных данных – физическому лицу.

Отношения по защите персональных данных в Республике Беларусь в значительной степени урегулированы в международных актах, Конституции, а также отдельных актах законодательства, закрепляющих основные подходы в данном направлении.

Понятие ПДн в Республике Беларусь определяется несколькими законодательными данными:

  • Расширенная формулировка понятия ПДн в статье 1 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее – Закон об информации) позволяет распространять действие Закона на любую информацию, способную идентифицировать конкретное лицо, при этом не уточняется, о какой идентификации идет речь – прямой или косвенной..
  • Закон Республики Беларусь от 21.07.2008 № 418-З  («О регистре населения» данное понятие конкретизирует, выделяя в статье 8 основные данные, а в статье 10 – дополнительные персональные данные. К основным персональным данным отнесены идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения и ряд других данных. Дополнительными персональными данными являются: данные о родителях, семейном положении и некоторые иные данные.
  • Закон Республики Беларусь от 13.06.2006 №144-З «О переписи населения» использует термин «персональные данные» в специальном значении, а именно как первичные статистические данные о конкретной личности, сбор которых осуществляется при проведении переписи населения.
Что такое европейский регламент GDPR? Почему он так важен?

GDPR

Принятие Общего регламента защиты данных (General Data Protection Regulation, GDPR) ЕС считается краеугольным событием: оно означает фундаментальные изменения в том, как именно обрабатываются персональные данные. GDPR был разработан, чтобы предоставить гражданам ЕС больше контроля над тем, как их личные данные собираются и используются.

Регламент GDPR 2018 нацелен на консолидацию и совершенствование разрозненных правил в сфере конфиденциальности данных, применяемых в Европе, и направлен на совершенствование защиты конфиденциальности данных всех жителей ЕС во все более цифровом мире.

Определение «персональных данных» в этом регламенте расширено: наряду с такими атрибутами, как имя, идентификационный номер и данные о местоположении, личные данные включают в себя онлайн-идентификаторы, например, IP-адреса и идентификаторы мобильных устройств.

Европейский регламент GDPR рассматривает «следы в интернете» как персональные данные, если они применяются для профилирования пользователя. Если собирается массив информации, позволяющий определять предпочтения пользователей, то начинают обрабатываться их персональные данные.

Кого касается регламент GDPR, и каковы санкции за его несоблюдение? Как это влияет на бизнес?

закон о защите персональных данных

GDPR имеет обязательную силу не только для предприятий и организаций, находящихся в ЕС, но и для всех компаний, которые желают, чтобы их товары или услуги были востребованы гражданами ЕС. Одной из ключевых причин, по которым GDPR получает в последнее время столько внимания, являются высокие штрафные санкции за его несоблюдение.

Европейский закон говорит, что оператор, вне зависимости от своего местонахождения, за несоблюдение процедур обработки персональных данных подлежит штрафу в размере 20 млн. евро или 4% глобального оборота компании (а зависимости от того, что больше). Даже если оператор, обрабатывающий персональные данные, находится за пределами Евросоюза, но работает с данными лиц, находящихся на территории Евросоюза (не обязательно европейских граждан), то он обязан выполнять европейский регламент.

То есть, действие регламента не ограничивается организациями, зарегистрированными в ЕС, но имеет обязательную силу для всех организаций, присутствующих в любой точке мира, когда они обрабатывают личные данные гражданина ЕС. Правила касаются компаний, которые обрабатывают персональные данные в целях предложения товаров или услуг в ЕС, или применяют технологии, которые позволяют использовать персональные данные, чтобы повлиять на выбор или определить предпочтения пользователей. Поэтому компании, находящиеся за пределами ЕС, но «влияющие на пользователей», находящихся в ЕС, попадают под действие правил.

Ключевые принципы, применяемые к обработке персональных данных в ЕС:

Прозрачность Сбор персональных данных должен осуществляться с конкретной и явной целью.
Законные основания для обработки Персональные данные могут обрабатываться только законным образом.
Ограничение заявленными целями обработки Персональные данные могут обрабатываться только с указанной целью во время их сбора целью.

Любой человек должен иметь возможность затребовать персональную информацию у оператора данных, а также затребовать удаление своих данных.

GDPR требует от компаний расширенной отчетности в том, как они собирают, хранят, обрабатывают и управляют персональными данными.

Как сегодня соблюдается GDPR в ЕС?

GDPR в Беларуси

По данным международной юридической фирмы DLA Piper, за широкий спектр нарушений европейских законов о защите данных было наложено 272,5 миллиона евро штрафов. Италия возглавляет рейтинг по совокупным штрафам – более 69,3 миллиона евро с мая 2018 года. Германия и Франция заняли второе и третье места с совокупными штрафами в 69 евро. 0,1 млн и 54,4 млн евро соответственно.

Совокупный ежедневный объем уведомлений о нарушениях в Европе растет двузначными числами второй год подряд: 331 уведомлений в день с 28 января 2020 года, что на 19% больше по сравнению с 278 уведомлениями о нарушениях в день в предыдущем году.

Как отмечают в собравшей эту статистику компании DLA Piper: «Ежегодный рост штрафов и уведомлений о нарушениях продолжается, и европейские регулирующие органы продемонстрировали готовность использовать свои полномочия. В текущем году мы ожидаем первых принудительных мер, связанных с ограничениями GDPR на передачу персональных данных в США и другие «третьи страны».

А что сейчас происходит с персональными данными в Республике Беларусь?

ПДн относятся к информации, распространение и предоставление которой ограничено, Закон об информации налагает обязательство на любое лицо, собирающее персональные данные, принимать меры по их надлежащей защите до момента, когда лицо, к которому относятся персональные данные, дает согласие на их разглашение либо до момента обезличивания персональных данных. Однако, в нем не содержится точных указаний на то, какими эти меры должны быть.

В этой связи можно выделить отдельные акты законодательства, в которых определяются организационные и технические меры защиты персональных данных.

  • Положение о технической и криптографической защите информации, утвержденное Указом Президента Республики Беларусь от 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь от 09.12.2019 № 449), требования которого обязательны для применения собственниками (владельцами) информационных систем, в которых обрабатываются информация о частной жизни физического лица и персональные данные.
  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66, утвердивший Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

При сборе, обработке и хранении персональных данных Законом об информации регламентируется требование получать в письменной форме согласие физического лица, при этом не уточняется, что является таким согласием. В этой связи можно сделать ссылку на нормы Гражданского кодекса Республики Беларусь, согласно которым к сделке в письменной форме может относится также и обмен факсимильными подписями и иными аналогами подписей. Однако, при отсутствии четкого указания на форму согласия в законодательстве, многие субъекты (например, визовые центры при обработке анкет) собирают подписи «вручную» в формах-согласиях, которые подписываются лицом, к которому относятся персональные данные.

Любая передача данных, как и сбор персональных данных, нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся.

В Республике Беларусь сбор и обработку персональных данных осуществляет большое количество различных субъектов, включая государственные органы и организации. На законодательном уровне предпринималась попытка установить единые подходы к деятельности данных субъектов и урегулировать данный вопрос в едином нормативном акте. Так, 13 июня 2019 года Палатой Представителей Национального собрания Республики Беларусь был принят в первом чтении проект Закона «О персональных данных», который должен был комплексно определить порядок обращения с персональными данными, однако после этого проект больше не рассматривался.

защита персональных данных беларусьАнализируя ситуацию, которая складывается в рассматриваемой сфере, можно обратиться к исследованию Экспертно-аналитического центра группы компаний InfoWatch, проведенного по утечкам информации, зарегистрированных в органах власти, государственных организациях и коммерческих компаниях Республики Беларусь в 2019-2020 гг. (www.infowatch.ru), по данным которого было установлено:

  • в 2019-2020 годах зафиксировано 22 случая утечки данных из компаний и государственных органов (Республики Беларусь), опубликованных на русском языке
  • в составе зарегистрированных утечек были скомпрометированы более 22,4 тыс. записей персональных данных и платежной информации.
  • более 40% утечек произошли в результате действий внешних нарушителей.
  • 75% утечек внутреннего характера в Республике Беларусь стали следствием умышленных действий.
  • 59% утечек в республике произошли по сетевому каналу, более 27% – через сервисы мгновенных сообщений.
  • что в каждом втором случае конфиденциальная информация «утекала» из государственных учреждений.

С 1 марта 2021 года в Республике Беларусь была установлена административная ответственность за нарушение законодательства о защите персональных данных после введения в Кодекс об административных правонарушениях (КоАП) новой статьи 23.7. Введенная норма, устанавливает ответственность за широкий перечень незаконных действий с персональными данными.

Так, согласно ст. 23.7 КоАП, ответственность наступает в случаях совершения таких действий как умышленные незаконные сбор, обработка, хранение или предоставление персональных данных, нарушение прав физического лица, связанных с обработкой персональных данных, умышленное незаконное распространение, а также несоблюдение мер обеспечения защиты персональных данных. Соответственно, любые вышеперечисленные действия с персональными данными без письменного согласия субъекта данных будут являться нарушением, при этом законодатель предусмотрел достаточно высокие штрафы.

Административная ответственность по данной статье может быть наложена как по требованию потерпевшего, так и без его требования (по инициативе правоохранительных органов).

Какие меры следует предпринять бизнесу и госкорпорациям, чтобы соблюсти закон и избежать штрафов?

защита персональных данных в рб

Для выполнения требований GDPR организации должны внедрить самые эффективные и строгие практики управления данными и политики безопасности. Важный первый шаг в этом направлении – понять, где и как компания собирает, использует и хранит персональные данные (на серверах организации или в облаке), какие системы используют эти данные и кто имеет к ним доступ. Некоторые CIO считают, что приложениями управлять относительно несложно, а основную проблему представляют неструктурированные данные, которые легко распространяются по внутренним системам и рабочим ноутбукам и поэтому часто «утекают» в чужие облака и клиентские устройства.

Казалось бы, с точки зрения выполнения требований GDPR легче управлять структурированными данными приложений, однако быстрое увеличение числа приложений на крупных предприятиях резко усложняет управление этими данными. К тому же крупные предприятия должны обеспечить соблюдение требований GDPR и для неструктурированных данных, хранящихся на серверах, в системах электронной почты и на клиентских устройствах. Это крайне сложная задача, поскольку почти 80% всех используемых в бизнесе данных приходится на неструктурированные. Возможно ли обеспечить соответствие требованиям GDPR в типичной современной компании, где для управления данными применяются различные, никак не интегрированные между собой продукты? Это трудная задача, но вполне осуществимая.

Единая платформа управления данными – эффективное решение проблемы

закон +о защите персональных данных рб

Многие организации выбрали стратегию консолидации на унифицированной платформе управления данными Commvault. Такая платформа дает четкую картину всех приложений и неструктурированных данных компании, помогает обеспечить соответствие ключевым принципам GDPR, а при необходимости – продемонстрировать соблюдение требований законодательства регулирующим органам.

Если платформа выполняет все процессы управления данными, то ИТ-отдел может создать контентный индекс всех данных компании, тогда как при использовании нескольких отдельных продуктов это зачастую сделать невозможно. Такой индекс создаст прочный фундамент для политик управления информацией и предоставит CIO общую картину данных и контроль над ними, которые нужны для выполнения самых строгих требований по защите персональных данных.

Интегрированный подход дает полное представление в масштабе организации о том, где находятся персональные данные, поэтому становится возможным оптимизировать контроль над доступом к данным, консолидировать усилия по обеспечению информационной безопасности и выделить среди них приоритетные. В то же время организация сможет предоставить информацию по соблюдению законодательства. Кроме того, автоматизируется применение политик сохранения информации для всего ландшафта данных, а значит, резко сокращаются риски, связанные с клиентскими устройствами.

Анализ данных гарантирует, что конфиденциальные данные получат необходимый уровень защиты, а если произойдет нарушение конфиденциальности, то удастся намного быстрее оценить последствия этого инцидента. Если данные будут испорчены, необходимо их быстрое восстановление внутри ИТ-инфраструктуры организации или в облаке, а также оперативное оповещение о нарушении конфиденциальности.

Использование существующих ИТ-процессов для консолидации данных

Может показаться, что для консолидации всех данных организации на одной унифицированной платформе потребуется большое количество изменений в существующем ИТ-ландшафте, создание новых процессов и подсистем и дополнительные инвестиции. Но это не совсем так. Дело в том, что в каждой организации уже присутствуют ИТ-процессы, которые работают со всеми или почти со всеми данными, – это процессы создания резервных копий и архивов. Они могут быть разрозненными или централизованными, использовать различные технологические решения, но они есть в том или ином виде. Для решения задач, описанных выше, достаточно посмотреть на эти процессы шире, добиться их унификации, использовать единые современные инструменты для их реализации. И создаваемый единый репозиторий архивов и резервных копий вполне будет выполнять задачи контроля, анализа и управления данными предприятия.

Новые угрозы. Что можно ожидать в будущем? Что намечается в области защиты персональных данных в 2021 году?

закон +о защите персональных данных в беларуси

В связи с недавним ростом масштабных атак на цепочки поставок и атак программ-вымогателей органы по защите данных требуют более тщательного надзора за мерами безопасности, применяемыми организациями, обрабатывающими персональные данные.

Программы-вымогатели появились достаточно давно, но за последние годы стали намного опаснее, поскольку их механизмы и технологии значительно усовершенствовались. Ситуация особенно осложнилась после вступления в силу законодательства GDPR в 2018 году. Из-за этих сравнительно новых правил компании, в которых персональные данные клиентов в результате успешной кибератаки были зашифрованы программой-вымогателем, должны будут не только найти способ расшифровать или восстановить эти данные, но и заплатить крупный штраф за нарушение требований к хранению и защите персональных данных. В 2021 году следует ожидать ужесточения наказаний за нарушение правил работы с персональными данными. Также многие дела, связанные с крупными штрафами за нарушение этих правил, будут рассматриваться в суде, и это позволит количественно оценить юридические риски, связанные с обработкой данных. Компаниям следует тщательно отслеживать новые правила и инструкции по защите от программ-вымогателей, которые периодически публикуют регулирующие органы, отвечающие за защиту персональных данных и кибербезопасность.

Можно также предположить, что в ряде стран будут приняты или усилены законы о конфиденциальности и защите ПДн, а также увеличится количество отраслевых законов о конфиденциальности, касающихся государственного сектора и сектора здравоохранения, финансов, поставщиков цифровых услуг и поставщиков решений для критически важной инфраструктуры. Таким образом, можно ожидать большего количества утечек данных, усиления правоприменения и более жесткого регулирования.

Авторы:

Иван Засохлин,

глава представительства Commvault в России и СНГ

Елена Максименко,

магистр юридических наук, ведущий юрисконсульт SQUALIO (СООО «ДПА»)

В публикации частично использованы материалы с https://www.itweek.ru/security/article/detail.php?ID=217123&fbclid=IwAR1qTZGAJYHmKvEE3QkM1Dh57-F-s29jvLOpdD0hwFYqG9VjpgaF1Ud0VtU