General Data Protection Regulation руководство к действию

Как просто придерживаться регламента по защите персональных данных GDPR, опытом делится компания разработчик IT проектов Evergreen.

Мы разобрались во всех требованиях регламента, вывели ключевые правила, и следуем им, чтобы обеспечить нашим клиентам максимальный уровень защиты персональных данных

GDPR (General Data Protection Regulation) или Общий Регламент по Защите Данных – правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных, действующий на территории Европейского Союза. Основная цель этого документа – защита личных данных во избежание нарушений прав человека. Каждая компания, имеющая деловые отношения с жителями стран Евросоюза обязана придерживаться GDPR.

Кратко напомним, что личными или персональными данными считаются все данные, которые позволяют идентифицировать личность: e-mail, содержащий имя/фамилию, номер телефона, место работы и должность.

Каких правил необходимо придерживаться компании для соответствия регламенту GDPR

1. Сбор и обработка личных данных может происходить только по согласию субъекта.

Обработка данных, согласно GDPR: непосредственно сбор, хранение, внесение в них любых изменений (включая обезличивание и уничтожение), а также их распространение. Согласием субъекта считается любое соглашение, даже в форме клика на форму “terms of use”, при условии, что субъект получил полную информацию о том, на что именно он соглашается. Согласие должно быть однозначным, исключающим неправильную трактовку, предоставленное добровольно, без принуждения.

Требования к форме согласия:

• Максимально полно информировать человека о том, для чего собираются его данные и как будут использоваться;
• Текст должен быть хорошо видимым и читаемым;
• Форма согласия должна быть необходимым шагом, чтобы пользователь мог пройти далее, без возможности пропустить её;
• Информация о каждом согласии (его текст и дата) должны храниться в базе данных компании;
• После согласия пользователь должен получить информацию о том, как отозвать согласие в случае необходимости.

Для соответствия стандартам GDPR компания обязана выполнять каждое из этих требований.

2. Данные субъекта необходимо поддать анонимизации, чтобы защитить от распространения.

Каждая компания в праве сама выбирать способ защиты данных: шифрование, подбор псевдонима, раздел базы и пр. Главное требование: обеспечить максимум защиты, исходя из реальных технических возможностей компании (state-of-the art).

У каждого вида анонимизации есть собственные преимущества. Например, при шифровании базу персональных данных следует хранить отдельно от ключей-дешифраторов. Это значит, что в случае, если злоумышленникам удастся взломать базу, можно будет без проблем сменить ключ шифрования. Также есть способ хранения, при котором каждый параметр персональных данных хранится в отдельной базе, и без специальной программы соединить их невозможно.

3. Все действия по выполнению GDPR необходимо тщательно документировать и хранить.

Для этого используют форматы бортового журнала, специальных дневников, чек-листа и даже создания специальных программ. В первую очередь такой подход позволяет обезопасить саму компанию от штрафов в случае утечки информации.

4. Стоит ввести специальную должность – ответственного за защиту данных (DPO или Data protection officer).

Этот пункт скорее относится к советам, а не к обязательным правилам. Его задачей будет не только контролировать соблюдение всех мер безопасности, но и давать оценку воздействию на данные (DPIA или Data Protection Impact Assessments). Также именно этот сотрудник будет лично контактировать с надзорным органом и субъектами данных. Главное требование к сотруднику – экспертность в вопросах защиты данных.

Кому обязательно назначать ответственного за защиту данных:

• государственным органам (без исключения);
• большим компаниям, деятельность которых систематически проходит мониторинг;
• компаниям, регулярно обрабатывающим специальные категории данных (в том числе касательно правонарушений и уголовных обвинительных приговоров).

Для остальных компаний наличие такого сотрудника не является необходимым, но будет отличным преимуществом.

Что делать если произошла утечка персональных данных?

Согласно протоколам, GDPR в вопросах защиты персональных данных принимают участие: субъект (физическое лицо, чьи данные обрабатываются), контролер (тот, кому принадлежит база данных, и кто принимает все решения по работе с данными) и оператор (сотрудник, работающий с базой).

У контролера и оператора есть конкретные протоколы действий при утечке данных:

• Как только оператор выявляет утечку данных, он обязан сообщить об этом контролеру.
• Контролер обязан сообщить о нарушении надзорному органу как можно быстрее (максимум – в течение 3-х суток).
• Также контролер сообщает субъектам персональных данных о произошедшим в том случае, если утечка данных угрожает законным правам или бизнес-интересам субъектов (кроме случаев, когда утечка никак не повлияет на безопасность субъекта, поскольку его данные невозможно расшифровать).

При соблюдении всех правил и компания, и её клиенты находятся в максимальной безопасности.

6 правил компании, соблюдающей требования GDPR

• собирать и обрабатывать данные только по согласию субъекта;
• поставленные цели диктуют правила использования и обработки данных;
• данные необходимо уничтожить сразу по достижению поставленных целей;
• если владелец данных потребует, данные необходимо изъять из базы и уничтожить;
• необходимо максимально обезопасить данные, исходя из технических возможностей компании (анонимизация, шифрование, раздел базы, псевдонимизация);
• данные можно распространять только с согласия субъекта – владельца данных.