General Data Protection Regulation руководство к действию
Как просто придерживаться регламента по защите персональных данных GDPR, опытом делится компания разработчик IT проектов Evergreen.
Мы разобрались во всех требованиях регламента, вывели ключевые правила, и следуем им, чтобы обеспечить нашим клиентам максимальный уровень защиты персональных данных
GDPR (General Data Protection Regulation) или Общий Регламент по Защите Данных – правила регулирования процедуры сбора, обработки, хранения и распространения персональных данных, действующий на территории Европейского Союза. Основная цель этого документа – защита личных данных во избежание нарушений прав человека. Каждая компания, имеющая деловые отношения с жителями стран Евросоюза обязана придерживаться GDPR.
Кратко напомним, что личными или персональными данными считаются все данные, которые позволяют идентифицировать личность: e-mail, содержащий имя/фамилию, номер телефона, место работы и должность.
Каких правил необходимо придерживаться компании для соответствия регламенту GDPR
1. Сбор и обработка личных данных может происходить только по согласию субъекта.
Обработка данных, согласно GDPR: непосредственно сбор, хранение, внесение в них любых изменений (включая обезличивание и уничтожение), а также их распространение. Согласием субъекта считается любое соглашение, даже в форме клика на форму “terms of use”, при условии, что субъект получил полную информацию о том, на что именно он соглашается. Согласие должно быть однозначным, исключающим неправильную трактовку, предоставленное добровольно, без принуждения.
Требования к форме согласия:
- Максимально полно информировать человека о том, для чего собираются его данные и как будут использоваться;
- Текст должен быть хорошо видимым и читаемым;
- Форма согласия должна быть необходимым шагом, чтобы пользователь мог пройти далее, без возможности пропустить её;
- Информация о каждом согласии (его текст и дата) должны храниться в базе данных компании;
- После согласия пользователь должен получить информацию о том, как отозвать согласие в случае необходимости.
Для соответствия стандартам GDPR компания обязана выполнять каждое из этих требований.
2. Данные субъекта необходимо поддать анонимизации, чтобы защитить от распространения.
Каждая компания в праве сама выбирать способ защиты данных: шифрование, подбор псевдонима, раздел базы и пр. Главное требование: обеспечить максимум защиты, исходя из реальных технических возможностей компании (state-of-the art).
У каждого вида анонимизации есть собственные преимущества. Например, при шифровании базу персональных данных следует хранить отдельно от ключей-дешифраторов. Это значит, что в случае, если злоумышленникам удастся взломать базу, можно будет без проблем сменить ключ шифрования. Также есть способ хранения, при котором каждый параметр персональных данных хранится в отдельной базе, и без специальной программы соединить их невозможно.
3. Все действия по выполнению GDPR необходимо тщательно документировать и хранить.
Для этого используют форматы бортового журнала, специальных дневников, чек-листа и даже создания специальных программ. В первую очередь такой подход позволяет обезопасить саму компанию от штрафов в случае утечки информации.
4. Стоит ввести специальную должность – ответственного за защиту данных (DPO или Data protection officer).
Этот пункт скорее относится к советам, а не к обязательным правилам. Его задачей будет не только контролировать соблюдение всех мер безопасности, но и давать оценку воздействию на данные (DPIA или Data Protection Impact Assessments). Также именно этот сотрудник будет лично контактировать с надзорным органом и субъектами данных. Главное требование к сотруднику – экспертность в вопросах защиты данных.
Кому обязательно назначать ответственного за защиту данных:
- государственным органам (без исключения);
- большим компаниям, деятельность которых систематически проходит мониторинг;
- компаниям, регулярно обрабатывающим специальные категории данных (в том числе касательно правонарушений и уголовных обвинительных приговоров).
Для остальных компаний наличие такого сотрудника не является необходимым, но будет отличным преимуществом.
Что делать если произошла утечка персональных данных?
Согласно протоколам, GDPR в вопросах защиты персональных данных принимают участие: субъект (физическое лицо, чьи данные обрабатываются), контролер (тот, кому принадлежит база данных, и кто принимает все решения по работе с данными) и оператор (сотрудник, работающий с базой).
У контролера и оператора есть конкретные протоколы действий при утечке данных:
- Как только оператор выявляет утечку данных, он обязан сообщить об этом контролеру.
- Контролер обязан сообщить о нарушении надзорному органу как можно быстрее (максимум – в течение 3-х суток).
- Также контролер сообщает субъектам персональных данных о произошедшим в том случае, если утечка данных угрожает законным правам или бизнес-интересам субъектов (кроме случаев, когда утечка никак не повлияет на безопасность субъекта, поскольку его данные невозможно расшифровать).
При соблюдении всех правил и компания, и её клиенты находятся в максимальной безопасности.
6 правил компании, соблюдающей требования GDPR
- собирать и обрабатывать данные только по согласию субъекта;
- поставленные цели диктуют правила использования и обработки данных;
- данные необходимо уничтожить сразу по достижению поставленных целей;
- если владелец данных потребует, данные необходимо изъять из базы и уничтожить;
- необходимо максимально обезопасить данные, исходя из технических возможностей компании (анонимизация, шифрование, раздел базы, псевдонимизация);
- данные можно распространять только с согласия субъекта – владельца данных.
От панели управления зависит ваше удобство в настройке хостинге\сайта.
Большинство качественных хостингов из нашего ТОПа используют удобные панели управления, поэтому рекомендуем больше внимания уделить другим параметрам при выборе.
Облачный хостинг - распределение нагрузки на несколько серверов, если сервер с вашим сайтом перегружен или не работает. Это гарантия того что пользователи в любом случае смогут видеть ваш сайт. Но это дорогая, более сложная опция, которую предоставляют далеко не все провайдеры.
Виртуальный хостинг - подходит для большинства проектов начального уровня с посещаемостью до 1000 человек в сутки. В таком хостинге мощность сервера делится между несколькими хостинговыми аккаунтами. Услуга проста в настройке даже для новичков.
VPS - подходит для более сложных проектов с достаточно большой нагрузкой и посещаемостью до 10000 человек в сутки. Здесь мощность сервера фиксированная для каждого виртуального сервера, при этом сложность настройки увеличивается.
Выделенный сервер - нужен для очень сложных и ресурсоемких проектов. Для вас выделяют отдельный сервер,мощность которого будете использовать только вы. Дорого и сложно настраивать.
Размещение и обслуживание вашего собственного сервера в дата-центре хостинга - это не очень популярная услуга и требуется в исключительных случаях.
CMS - это система управления контентом сайта. Хостеры стараются для каждой из них делать отдельный тариф или упрощать установку. Но в целом это больше маркетинговые ходы, т.к. у большинства популярных CMS нет специальных требований к хостингу, а те что есть - поддерживаются на большинстве серверов.
Виртуализация - это создание виртуальной среды на физическом сервере, позволяющая запускать требуемые ПО без затрагивания процессов, совершаемых другими пользователями сервера. С её помощью ресурсы физического сервера распределяются между виртуальными (VPS/VDS). Основные виды: аппаратная (KVM), паравиртуализация, виртулизация на уровне ОС (OpenVZ).
Абузоустойчивый хостинг - компании, которые разрешают размещать практически любой контент, даже запрещенный (спам, варез, дорвеи, порнографические материалы). Такие компании не удаляют контент вашего веб-сайта при первой же жалобе (“абузе”).
Безлимитный хостинг - хостинг у которого отсутствуют лимиты на количество сайтов, БД и почтовых ящиков, трафик, дисковое пространство и т.д. Обычно это больше маркетинговый трюк, но можно найти что-то интересное для себя.
Безопасный хостинг - тот, где администрация постоянно обновляет ПО установленное на серверах, устанавливает базовую защиту от DDoS-атак, антивирус и файерволлы, блокирует взломанные сайты и помогает их "лечить".
Защита от DDOS - компании, которые предоставляют хостинг с защитой от DDoS-атак. Такие пакеты ощутимо дороже обычных, но они стоят своих денег, так как ваш сайт будет защищен от всех видов сетевых атак.
Тестовый период - предоставляется хостером бесплатно на 7-30 дней, чтобы вы могли удостовериться в его качестве.
Moneyback - период на протяжении которого хостер обязуется вернуть деньги, если вам не понравится хостинг.
Настоятельно рекомендуем не покупать слишком дешевый хостинг! Как правило с ним очень много проблем: сервер иногда не работает, оборудование старое, поддержка долго отвечает или не может решить проблему, сайт хостера глючит, ошибки в регистрации, оплате и т.д.
Также мы собрали тарифы от тысяч хостеров, чтобы вы могли выбрать хостинг по конкретной цене.
На языке программирования PHP и базах данных MySQL сейчас работает большинство сайтов. Они же поддерживаются практически всеми современными хостингами.
ASP.NET - платформа для разработки веб-приложений от Майкрософт.
ОС - операционная система, установленная на сервере хостинга. Мы рекомендуем размещать на серверах с Linux, если нет особых требований у разработчиков сайта.