Регулирующий акт Евросоюза «Общие положения о защите данных» (General Data Protection Regulation, GDPR) вступит в силу 25 мая 2018 года и кардинально изменит способы сбора и использования персональных данных, поэтому европейские (и не только) компании должны полностью пересмотреть свои механизмы обработки клиентской информации. Подчеркнем, что эти требования распространяются и на многие российские компании, которые могут даже и не подозревать об этом; например, отечественный интернет-магазин может оказаться «оператором» клиентских данных посетившего его гражданина ЕС, а потому должен надлежащим образом обрабатывать, хранить и защищать их. Мы попросили специалистов отечественных ИТ-компаний пояснить, кого может реально коснуться закон в России.
Кому следует задуматься?
Андрей Янкин, заместитель директора центра информационной безопасности компании «Инфосистемы Джет», считает, что для большинства российских компаний данная тема не актуальна, но есть организации, которым все же пришлось озаботиться данным вопросом. В первую очередь это «дочки» западных организаций, а также компании, имеющие филиалы в Евросоюзе или предоставляющие сервисные услуги европейским потребителям. Последняя категория не подпадает напрямую под GDPR, но их клиентам необходимо выполнять требования регулятора, и они требуют того же от поставщиков услуг.
«Нормы GDPR конкретно коснутся тех, кто так или иначе работает со странами Европы. Это финансовые компании, технологические, медиа- и телеком-компании, фармацевтические, транспортные, интернет-магазины», – отмечает Тимур Аитов, заместитель генерального директора группы компаний «Программный Продукт» и заместитель председателя подкомитета по платежам и информационной безопасности ТПП РФ. К примеру, система «Платон», в которой зарегистрировано около 2 млн личных кабинетов, сразу подпадает под действие GDPR. В сфере внимания окажутся и те, кто намерен предоставлять свои товары и услуги в странах Европейской экономической зоны: использует для их описания европейские языки, ведет заметный (агрессивный) маркетинг в ЕЭЗ, осуществляет мониторинг поведения европейцев, анализируя его с целью подготовки прогнозов, выявления предпочтений и т. п.
По мнению Антона Боженко, архитектора управления пресейла и прототипирования центра компетенций Больших Данных компании «Техносерв», закон коснется еще и тех компаний, которые ведут регистрацию пользователей веб-ресурсов, используют адресный или интернет-маркетинг, обрабатывают большие объемы персональных данных. Например, это могут быть не только транспортные и финансовые компании, но и туроператоры или социальные сети.
Анастасия Казакова, специалист по связям с государственными органами «Лаборатории Касперского», рекомендует обратить внимание на два ключевых момента, которые подскажут, попадает ли компания под действие закона: сфера применения GDPR и определение «персональных данных» и их «обработки». Сфера применения охватывает практически все случаи, когда деятельность компании распространяется не только на территорию ЕС, но и на ее граждан.
Говоря о втором пункте, стоит отметить, что GDPR существенно расширяет определение персональных данных – теперь это любая информация, которая может прямо или косвенно идентифицировать пользователя (имя, фамилия, адрес и т. д.). Более того, закон выделяет особую категорию персональных данных – sensitive personal data, куда входят биометрические данные, указание расовой, религиозной и этнической принадлежности, философские взгляды, членство в профсоюзных и иных некоммерческих ассоциациях, данные о здоровье и сексуальной ориентации. Для обработки таких данных GDPR вводит еще более строгие правила.
«Можно выделить три типа организаций, которых коснется GDPR», – говорит Руслан Вагизов, исполнительный директор ICL Services. В первую очередь это организации, у которых есть представительства в ЕС, а также компании, которые реализуют свои товары гражданам ЕС. К третьей группе относятся организации, использующие при реализации товаров валюту и язык одной из стран ЕС, адаптирующие под них свои продукты, проводящие маркетинговые акции для европейских потребителей, отслеживающие их потребительские предпочтения. По этим критериям под действие GDPR могут, например, попасть нефтегазовые, фармацевтические, медицинские и ИТ-компании.
Охват шире, чем кажется
Как отмечает Анастасия Казакова, специалист по связям с государственными органами «Лаборатории Касперского», есть ряд случаев, когда компании неожиданно могут «попасть под раздачу».
Во-первых, GDPR применяется ко всем компаниям, которые оказывают услуги и обрабатывают персональные данные граждан ЕС вне зависимости от того, где зарегистрирована компания, имеет ли она представительство в странах ЕС и в какой стране осуществляется обработка (например, гражданин Греции приобретает товары онлайн при помощи российского маркетплейса).
Во-вторых, юридическое лицо ЕС может обрабатывать персональные данные своих сотрудников, находящихся вне зоны ЕС. Например, представительство российской компании в ЕС обрабатывает данные своих сотрудников, находящихся в отделении в Санкт-Петербурге.
GDPR действует и в случае, когда пользователь находится в ЕС (пусть и не его гражданин) и его персональные данные обрабатываются там же. Например, российский гражданин расплачивается за аренду автомобиля в Испании в местном сервисе.
Кроме того, GDPR применяется, если пользователь находится в ЕС (пусть и не его гражданин), а его персональные данные дистанционно обрабатываются компанией, которая не имеет представительства в ЕС, но предлагает товары и услуги пользователям ЕС. Например, российский гражданин в Берлине покупает в режиме реального времени авиабилеты российской авиакомпании на англоязычной версии ее сайта, которая выставляет цены в евро и облагается НДС согласно немецким законам.
Также GDPR применяется к госучреждениям и соответствующим агентствам, за исключением случаев, когда обработка персональных данных осуществляется в целях обеспечения национальной безопасности и защиты общественного порядка.
Какие действия точно надо предпринимать, а от чего можно воздержаться?
«Стоит отметить, что и сами европейские компании пока слабо понимают, что именно необходимо делать для соответствия законодательству. Из-за этого множество проектов в области безопасности поставлено на паузу», – подчеркивает Янкин. Нет полного понимания того, как гармонизировать эти активности с новыми требованиями GDPR. Пока можно однозначно говорить о том, что необходимо выстраивать риск-ориентированный подход к ИБ, строить систему менеджмента ИБ. В целом в этом нет ничего нового, но для многих компаний GDPR – это стимул для выхода на новый уровень зрелости по данным направлениям.
Боженко согласен с тем, что требования закона предполагают наличие организованного процесса использования данных – он должен включать сбор, обработку, хранение, защиту и уничтожение. Стоит обратить внимание на полноту процесса, степень его соответствия закону, уровень реализации и контроля за его исполнением. При этом важной его частью является возможность удаления персональных данных («право на забвение»). Причем удаление персональных данных из системы должно осуществляться без потери ее работоспособности.
Что касается защиты информации, то явное указание на методологию в законе отсутствует. Российские компании защищают персональные данные в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и используют методологию защиты информации, построенную на базе международного стандарта ISO/IEC 27001. В связи с этим возможно использование существующих мер по защите персональных данных и для данных граждан Евросоюза. Однако при оценке защищенности данных граждан ЕС стоит учесть, что трактовка понятия «персональные данные» в GDPR несколько шире, чем в российском законодательстве, они могут включать информацию, которая неявно указывает на физическое лицо – например, к ним могут относиться онлайн-идентификаторы или сookies.
«Можно самостоятельно пройти короткий тест или вообще на время “забыть” о проблеме GDPR. Однако при таком подходе возникают риски – возможная потеря репутации, огромные штрафы и пр.», – считает Аитов. Штрафы за нарушение требований GDPR могут достигать 20 млн евро или 4% годовой выручки компании. Помимо этого, каждая страна Евросоюза может установить дополнительные санкции. Самый очевидный шаг – при малейших сомнениях обратиться к консультантам, хотя ряд положений GDPR до сих пор не вполне однозначно трактуется самими экспертами.
«Для законной обработки данных существует несколько оснований, – говорит Казакова. – Одним из них является получение недвусмысленного и ясно выраженного согласия от пользователя. При запросе такого согласия оператор должен простым и понятным языком изложить цель обработки данных, а также указать на право пользователя отозвать это согласие впоследствии и потребовать от оператора удаления данных». Кроме того, операторы должны сделать процессы обработки персональных данных прозрачными: GDPR обязывает компании предоставлять сведения об обработке и передаче данных третьим лицам по запросу пользователей или правомочных органов. Более того, данные должны быть представлены в структурированном формате для простой перезаписи.
Как указывает Вагизов, очень многое зависит от того, как в организации сейчас построены процессы обработки персональных данных. Однако в качестве отправной точки можно порекомендовать руководство «Подготовка к GDPR за 12 шагов» («Preparing for the GDPR: 12 steps to take now»), разработанное британским регулятором в области защиты данных.
Некоторые из этих рекомендаций будут актуальны только для британских компаний, но в любом случае они помогут сформировать общую картину и понять, на что обратить внимание.
Какие ИТ-решения могут быть полезными?
«Отдельные провайдеры облачных сервисов уже предлагают решения, которые соответствуют требованиям нового законодательства, ведь во многом GDPR “заточен” именно на облака и соцсети», – говорит Аитов. При собственной же разработке ИТ-решений действовать придется по принципу «семь раз отмерь» и советоваться с юристами. Причем это относится к разработке всех политик, процедур и всех информационных систем организации.
По словам Янкина, с точки зрения технических средств защиты информации необходимо прежде всего учитывать те риски, которые выявляет для себя компания. Однако уже сейчас можно говорить о том, что GDPR вызовет рост на рынке шифрования и обезличивания данных, так как такие технологии защищают компанию от необходимости разглашать информацию о компрометации систем, тем самым снижая репутационные риски.
«Текст закона не предполагает обязательного внедрения каких-либо решений и инновационных продуктов», – подчеркивает Боженко. Его требования направлены на развитие процессов управления данными в организациях и усиление взаимодействия между подразделениями ИТ и ИБ. Для повышения уровня автоматизации при приведении ИТ-процессов в соответствие требованиям GDPR следует обратить внимание на решения класса Data Governance. Наличие полной и актуальной информации о данных, местах их размещения, методах обработки и правах доступа поможет в практической реализации требований закона.
Казакова, напротив, полагает, что инновацией GDPR является то, что закон заставляет операторов не только перестроить организационные процессы, но и существенно пересмотреть техническую сторону работы компании. Для этого GDPR вводит принципы Privacy by Design и Privacy by Default. Иными словами, ИТ-процесс должен стать таким, чтобы конфиденциальность персональных данных была обеспечена по определению и по умолчанию. Например, GDPR говорит о проведении псевдонимизации и шифровании персональных данных, внедрении механизмов для обеспечения конфиденциальности, целостности, доступности и устойчивости систем обработки данных, об обеспечении способности систем своевременно восстанавливать доступ к персональным данным в случае инцидента, при проведении регулярного тестирования.
Какой подход следует избрать?
«Пока не сформировалась четкая практика приведения процессов обработки данных в компаниях в соответствие требованиям GDPR, я бы рекомендовал заняться требованиями по сбору согласий на обработку, выстраиванию каналов взаимодействия с субъектами персональных данных, – говорит Янкин. – Эти направления деятельности вполне понятны всем, кто занимался, например, вопросами соответствия российским требованиям по защите персональных данных. К тому же стоит пересмотреть свою систему менеджмента ИБ и управления рисками».
Как полагает Боженко, в первую очередь необходимо выявить виды обрабатываемой информации (из защищаемых законом), цели и последовательность процессов их обработки, а также существующие методы их защиты. После этого надо разработать комплексный план мероприятий по реализации требований закона. Комплекс мероприятий должен затрагивать зоны ответственности ИТ-подразделений и подразделений информационной безопасности. Именно по этой причине так важно с самого начала проекта обеспечить участие в нем руководителей уровня CIO и CISO.
«Для начала ИТ-директору полезно написать красочную “страшилку” и отправить руководству», – рекомендует Аитов. Адаптация к нормам GDPR – это огромная и длительная работа, которая ляжет на службы ИТ, ИБ, корпоративных юристов.
Европейцы от контроля за нормами GDPR отступать не намерены, и огромные штрафы появились неслучайно. Обстановка в мире непростая: поводы со стороны GDPR могут быть использованы в том числе для «наказания» крупных отечественных представителей бизнеса – конкуренцию никто не отменял. Однако неприятности могут возникнуть у компании любого размера.
GDPR как свод законов – это заметный вызов для самих стран европейской экономической зоны именно потому, что нормы закона получили прямое действие в отношении всех стран.