С тех пор как «Общий регламент по защите данных» (General Data Protection Regulation, GDPR) вступил в силу, он стал одним из наиболее известных нормативных актов Европы. Новаторская система обеспечения конфиденциальности коренным образом изменила обработку компаниями персональных данных по всему миру и вдохновила десятки стран на то, чтобы последовать европейскому примеру.
За три прошедших года предприятиям, которые хотят работать в ЕС, но не соблюдают указанные нормы, выписаны крупные штрафы, исчисляемые сотнями миллионов долларов. Соблюдение GDPR не является обязательным, но его несоблюдение может обойтись очень дорого.
Проведение столь скрупулезной реформы порождает свои проблемы. С учетом того, что крупные технологические компании, включая Google и Facebook, изо всех сил стараются соблюдать правила GDPR, не удивительно, что организации всех размеров испытывают рефлекторную дрожь всякий раз, когда слышат об обновлении требований GDPR.
Недавно Европейский совет по защите данных (European Data Protection Board, EDPB) утвердил два кодекса поведения (codes of conduct, COC) для провайдеров облачных сервисов. Это оживило споры о том, существует ли соответствие требованиям GDPR в принципе, коль скоро услуги официальной сертификации COC не предоставляются. Если отвечать коротко, то «нет», если развернуто, то «пока нет, но вскоре все появится», и бизнесу нужно к этому готовиться.
Предприятиям необходимо понять, что формальное соответствие нормам GDPR достигается в рамках нескольких схем сертификации, а ИТ-руководителям и ИТ-поставщикам уже сейчас нужно начинать демонстрировать свое соответствие и готовиться к официальной сертификации. Вот как это следует делать.
Соответствие требованиям GDPR: работа продолжается
Несмотря на то, что правила GDPR вступили в силу в мае 2018 года, процесс ввода в действие Статьи 42 (которая позволила бы создать механизмы сертификации) был инициирован лишь в начале 2020 года, после того как EDPB опубликовал процедуры утверждения.
Это положение дало компаниям, ищущим способы официальной сертификации, новую надежду, поскольку в нем описан процесс, позволяющий органам сертификации представлять свои схемы для официального утверждения.
В 2019 году исследование Европейской комиссии выявило 117 схем сертификации, после чего 15 из них были выбраны для детального анализа. Подобно кодексу поведения, существуют механизмы защиты данных и сертификации конфиденциальности, которые «могут использоваться в качестве элемента для демонстрации соответствия», но выходят за рамки Статьи 42. Сюда относятся системы управления персональной информацией, такие как BS 10012, NIST Privacy Framework и ISO 27701. Последняя представляет собой расширение серии ISO 27000 и получила серьезную поддержку со стороны CNIL, французской SA, а также один из наиболее активных голосов внутри EDPB.
В дополнение к этому в исследовании ЕС две схемы сертификации выделены в качестве потенциальных кандидатов для предоставления официальной сертификации в соответствии с требованиями GDPR: ISDP 10003 Accredia (Италия) и European Privacy Seal, предлагаемая EuroPriSe (Германия). Таким образом можно сертифицировать продукты, процессы и услуги. При выборе EuroPriSe компании могут следить за продвижением к официальному утверждению по мере прохождения процедур немецкого регулятора и, в конечном итоге, EDPB.
Почему сертификация важна для ИТ-руководителей
Организации несут ответственность не только за свой выбор поставщика, но и за выбор, который делает сам поставщик. Они должны оценить риски поставщика и проявлять осмотрительность, с тем чтобы ни сам поставщик, ни любой из его подрядчиков не нарушал требования к обработке персональных данных.
Сделать это чрезвычайно трудно, поскольку один продукт может обрабатываться на разных уровнях субподрядчиков от региона к региону. Официальная сертификация не снимает ответственности, но позволяет значительно уменьшить усилия, которые необходимо приложить для оценки продукта поставщика. Перенеся должную осмотрительность на структурированный процесс сертификации, подтвержденный независимым экспертом, организации получают дополнительную гарантию соблюдения норм GDPR при работе с поставщиками.
Недавний анонс двух кодексов поведения в сочетании с различными схемами сертификации, которые стали доступны с момента вступления GDPR в силу, четко показывает, что прогресс достигнут, и в ближайшем будущем официальная сертификация станет доступна.
Компании и руководители ИТ-служб должны готовиться к этому и рассматривать доступные схемы, которые помогут легко добиться официального соответствия нормам GDPR.
Для организаций-поставщиков, которые продают продукты или предоставляют своим клиентам сервисы данных, способом подтверждения соответствия GDPR может быть выбор схемы сертификации ISDP 10003 или схемы European Privacy Seal. Любая из этих схем готова предоставить организациям сертифицированную конфигурацию, которая превратится в официальное подтверждение соответствия нормам GDPR после принятия EDPB соответствующего решения.
Организациям, которые являются конечными пользователями и рассматривают сертификацию для проверки продуктов и услуг передачи данных, необходимо будет определить цель оценки (target of evaluation, TOE), в соответствии с которой проводилась сертификация. Этот документ определяет продукты и конфигурации в рамках процесса формальной оценки.
Тем предприятиям-конечным пользователям, которые хотят оценить внутренние процедуры при обработке персональных данных, для построения системы управления персональной информацией стоит рассмотреть BS 10012, NIST Privacy Framework или ISO 27701.
Важно отметить, что сертификаты конфиденциальности – независимо от того, подтверждают ли они официально соответствие GDPR или нет – являются отличным средством поддержки структуры в программе конфиденциальности и обеспечивают конкурентное преимущество.
Находясь на два шага впереди в процессе сертификации соответствия требованиям GDPR, компания облегчает себе жизнь, потому что сейчас вопрос состоит в том, когда, а не как организации смогут официально подтвердить свое соответствие нормам GDPR.