Як відповідати вимогам GDPR: Ключові 10 кроків

Зміст

Як відповідати вимогам GDPR
Штрафи за порушення GDPR
Як Netwrix може допомогти?
Поширені запитання

Загальний регламент про захист даних (GDPR) покликаний захистити персональні дані резидентів ЄС шляхом регулювання того, як ця інформація збирається, зберігається, обробляється та знищується. Закон про захист даних і приватності поширюється на всі організації, які збирають персональні дані громадян Європейського Союзу, незалежно від їхнього місцезнаходження. Штрафи за недотримання вимог GDPR є суворими.

Багато організацій намагаються вирішити, як відповідати вимогам GDPR. У цій статті ви знайдете 10 кроків, які допоможуть вашому бізнесу досягти, підтримувати та доводити відповідність вимогам GDPR.

Як відповідати вимогам GDPR

1. Потрібно визначити, чи поширюється закон на обрану організацію і як саме.

Чи підпадає певна організація під дію GDPR?

По-перше, визначте, чи потрібно дотримуватися GDPR. Для простого лакмусового папірця подумайте, чи є у фірми користувачі або клієнти, які проживають в ЄС. Якщо відповідь “так”, то потрібно впровадити заходи з дотримання вимог.

Щоб бути більш конкретними, ось кілька прикладів поширених обставин, які вимагають від вашої організації дотримання GDPR:

Збір чи обробка даних резидентів ЄС;
Відправка товарів до ЄС, згадування ЄС на вебсайті або прийом оплати у валюті ЄС;
Пропозиція програмного забезпечення, наприклад, гри або додатку, яка збирає персональні дані в рамках процесу реєстрації, і це програмне забезпечення доступне в ЄС.

Чи є даний бізнес data processor або data controller?

Якщо GDPR поширюється на обраний бізнес, наступний крок – визначити, чи є підприємство data processor або data controller, оскільки вони мають різні зобов’язання щодо дотримання вимог.

Data processor даних відповідають за захист даних, і їхні обов’язки включають:

Отримання згоди;
Управління доступом;
Забезпечення законності обробки даних;
Прозорість інформації;
Захист точності;
Забезпечення конфіденційності.

Data processor збирають та оброблюють дані. У деяких випадках це може бути data controller, але це також може бути третя сторона або інша служба, яка аналізує дані. Обробники мають меншу автономію щодо даних, які вони обробляють, але вони все одно мають зобов’язання, зокрема:

Оброблення даних лише за вказівками data controller;
Укладення обов’язкового договору з процесором;
Не залучення копроцесорів без згоди data controller;
Забезпечення безпеки даних;
Повідомлення data controller про порушення даних;
Дотримання принципів підзвітності;
Дотримання міжнародних протоколів передачі даних;
Співпраця з органами влади.

Які дані вам потрібно захищати?

Нарешті, визначте, які дані GDPR вимагає захищати. Згідно з GDPR, персональні дані визначаються як “будь-яка інформація, пов’язана з живою, ідентифікованою або такою, що може бути ідентифікована, фізичною особою”. Сюди входить вся інформація, яка може бути використана для ідентифікації особи, наприклад:

Імена;
Дані про місцезнаходження;
Інтернет-ідентифікатори;
Расове або етнічне походження;
Релігійні переконання;
Політичні погляди;
Інформація про здоров’я;
Статеве життя;
Генетичні дані;
Біометричні дані, такі як відбитки пальців або розпізнавання обличчя.

2. Розподіл ролей та обов’язків.

Деякі з нових ролей, які можуть знадобитися для відповідності, включають:

Спеціаліст з дотримання вимог (комплаєнс)
Керівник проєкту;
Уповноважений із захисту даних (DPO) – згідно зі статтею 37, керівник бізнесу повинен призначити DPO, якщо вони є публічною компанією, основна діяльність обраної компанії пов’язана з обробкою даних або обрана компанія обробляє та зберігає великі обсяги персональних даних, що належать громадянам ЄС.

Потрібно окреслити ролі та обов’язки, щоб зрозуміти, які з них можуть бути виконані наявним персоналом, а які потребуватимуть залучення нових працівників.

Порада: краще витратити час на те, щоб заручитися підтримкою керівництва або ради директорів, оскільки їм потрібно буде виділити ресурси. Потрібно переконатись, що члени ради розуміють ризики, пов’язані з недостатніми заходами захисту даних, і переваги дотримання GDPR.

3. Обрання одного або кількох фреймворків.

Дотримання GDPR може бути простішим, якщо бізнес буде дотримуватися фреймворку, який допоможе впровадити основні найкращі практики для зменшення ризиків для безпеки даних та конфіденційності у системах та сервісах. Ідеального фреймворку не існує, але є різні фреймворки, які можуть допомогти відповідати різним аспектам GDPR. До них відносяться:

ISO 27001 – система управління інформаційною безпекою (ISMS), яка допомагає зменшити ризик порушення;
ISO/IEC 27701:2019 – розширення стандарту ISO/IEC 27001, орієнтоване на конфіденційність даних;
NIST Privacy Framework – структура, яка допомагає виявляти та управляти ризиками конфіденційності;
NIST 800-30 Risk Assessment Framework – керівництво для проведення оцінки ризиків (які обговорюються нижче);
NIST 800-53 Security and Privacy Controls for Information Systems and Organizations (Засоби контролю безпеки та конфіденційності для інформаційних систем та організацій) – каталог засобів контролю безпеки та конфіденційності для інформаційних систем та організацій для захисту від різних типів ризиків;
BS 10012 Управління персональними даними – основа для управління персональними даними;
PCI DSS Framework – фреймворк, що використовується для захисту даних платіжних карток споживачів;
NIST Cybersecurity Framework – фреймворк, який допомагає організаціям оцінити зрілість своїх систем кібербезпеки та управління ризиками і визначити кроки для їх зміцнення.

4. Здійснення оцінки ризиків.

Проведення оцінки ризиків є важливим компонентом дотримання вимог статті 32 та статті 35 GDPR.

Це досягається за допомогою оцінки впливу на захист даних (DPIA), яка є методом аналізу, виявлення та мінімізації ризиків для захисту даних проєкту. Потрібно провести DPIA перед початком обробки даних, яка може призвести до високого ризику для персональних даних. Приклади процесів з високим рівнем ризику включають:

Використання нової технології або використання наявної технології по-новому;
Автоматизовані рішення, які можуть призвести до відмови в наданні послуг;
Масштабне відстежування громадських місць або інше профілювання у великих масштабах;
Обробка біометричних даних, що використовуються для ідентифікації особи;
Обробка генетичних даних, за винятком випадків, коли вона здійснюється окремим постачальником медичних послуг для лікування суб’єкта даних;
Зіставлення або об’єднання персональних даних з різних джерел;
Обробка даних, які не були отримані від суб’єкта даних;
Відстеження геолокації або поведінки особи в інтернеті та поза ним;
Обробка даних про дітей з метою маркетингу, профілювання; автоматизованого прийняття рішень або пропонування послуг;
Обробка даних, витік яких може призвести до фізичної шкоди особі.

Цей перелік не є вичерпним: керівник бізнесу сам вирішує, чи проводити DPIA для процесів, які не згадані в статті 35. Краще провести його за наявності сумнівів. В ідеалі, DPIA має проводитися на етапі планування проєкту і допоможе вирішити, чи існує ризик і як його зменшити.

DPIA має охоплювати все нижчезазначене:

Визначення необхідності проведення DPIA, пояснивши мету проєкту та тип обробки даних;
Опис обробки, включаючи її характер, обсяг, контекст і мету;
Проведення консультації з відповідними зацікавленими сторонами або пояснення, чому це не потрібно;
Оцінка необхідності та пропорційності, включаючи законність та мінімізацію даних;
Ідентифікація та оцінка ризиків;
Визначення заходів для зменшення ризиків;
Підпис та фіксація результатів.

Після завершення DPIA ви повинні впровадити визначені вами заходи у свій проєкт і продовжувати переглядати їх протягом усього проєкту.

5. Створення системи управління даними.

Управління даними стосується політик і процесів, пов’язаних із належним використанням персональних даних, які надходять до вашої організації та виходять з неї. Процедури управління даними забезпечують дотримання високих стандартів протягом усього життєвого циклу ваших даних. Процес управління даними також повинен відповідати вимогам статті 30, які стосуються записів про діяльність з обробки даних.

Стратегія управління даними повинна включати наступне:

Інвентаризацію даних, яка забезпечує запис усіх джерел даних, які є у вашій компанії, які дані збираються і як, а також що з ними відбувається;
Класифікацію даних, яка групує дані за типами, щоб їх можна було захистити відповідно до їхньої цінності та чутливості;
Методи ведення обліку обробки персональних даних в актуальному стані;
Стратегії забезпечення законності, справедливості та прозорості процесів збору даних;
Процедури проведення DPIA у випадках, коли обробка ваших даних може призвести до високого ризику, як зазначено вище;
Записи в письмовій формі, в тому числі в електронному вигляді;
Записи, які є доступними для наглядових органів на їх запит.

6. Впровадження відповідних засобів контролю.

GDPR не визначає засоби контролю, необхідних для дотримання вимог, але вказує на те, що бізнес повинен вживати заходів для забезпечення “безпеки обробки”:

Використання найсучасніших програмних засобів для захисту даних клієнтів;
Документування характеру, мети та обсягу обробки даних;
Розділення даних та застосування заходів безпеки відповідно до рівня ризику;
Шифрування та додавання псевдонімів даних, коли це можливо;
Надавання доступу до даних суб’єкту даних;
Захист персональних даних від зчитування або зміни несанкціонованими користувачами;
Регулярне тестування та оцінка ефективності засобів контролю, що використовуються;
Врахування всіх ризиків, при обробці даних.

Управління засобами контролю безпеки, як і більшість інших аспектів дотримання GDPR, є безперервним процесом. Після впровадження засобів контролю, потрібно буде регулярно проводити аудит вашої діяльності з обробки даних і засобів контролю безпеки. Потрібно шукати програмне рішення, яке дозволить автоматизувати управління якомога більшою кількістю засобів контролю безпеки.

7. Захист прав суб’єктів даних.

Для цього знадобиться політика захисту прав суб’єктів даних – людей, чиї дані фірма збирає. Зокрема, потрібен план того, якими будуть дії в таких ситуаціях:

Збірка та перевірка запитів на доступ суб’єктів даних (DSAR);
Надання відповіді на DSAR протягом одного місяця, аби уникнути великих штрафів;
Політика управління згодою, яка включає збір, зберігання та видалення даних;
Політика бізнесу щодо файлів cookie, включаючи форми згоди та методи зміни налаштувань файлів cookie;
Політики та процедури щодо виконання зобов’язань у разі порушення персональних даних, включаючи виявлення, повідомлення та розслідування порушень.

8. Створення та зберігання необхідних документів.

Ряд статей GDPR вимагає від бізнесів створення документації, що описує, як відбувається збереження та обробка даних. GDPR не вимагає специфічної назви своїх документів, тому можна вибрати назви, відмінні від наведених нижче. Крім того, деякі документи можна об’єднувати, якщо це доцільно. Ось перелік документів, які знадобляться:

Політика захисту персональних даних (стаття 24) – описує, як у обраній компанії управляють конфіденційністю;
Повідомлення про конфіденційність (статті 12, 13, 14) – пояснює, як обробляються персональні дані;
Повідомлення про конфіденційність працівників (статті 12, 13 і 14) – пояснює, як обробляються персональні дані працівників;
Політика зберігання даних (статті 5, 13, 17 і 30) – описує процес прийняття рішення про те, як довго зберігаються дані та як вони знищуються;
Графік зберігання даних (стаття 30) – перелічує регульовані дані та пояснює, як довго буде зберігатися кожен тип даних;
Відображення потоків даних (статті 30, 25, 6, 28, 35) – відображає потоки інформації;
Форма згоди суб’єкта даних (статті 6, 7 і 9) – використовується для отримання згоди на обробку персональних даних;
Угода про обробку даних постачальника (ст. 28, 32 і 82) – визначає заходи захисту даних, які вимагаються від обробників та інших постачальників;
Реєстр DPIA (стаття 35) – документує результати DPIA;
Процедура реагування та повідомлення про порушення даних (статті 4, 33 та 34) – визначає процедури, які необхідно виконати до, під час та після порушення даних;
Реєстр порушень даних (стаття 33) – реєструє всі порушення даних;
Форма повідомлення про витік даних до наглядового органу (ст. 33) – форма, яку використовують для повідомлення наглядового органу про витік даних;
Форма повідомлення про порушення даних суб’єктам даних (стаття 34) – форма, яку використовують для повідомлення суб’єктів даних про порушення, що стосується їхньої приватної інформації;
Інвентаризація діяльності з обробки (ст. 30) – інвентаризація, яку повинен вести data controller;
Посадова інструкція спеціаліста із захисту даних (статті 37, 38 і 39) – детально описує обов’язки вашого DPO (потрібна лише в тому випадку, якщо бізнес зобов’язаний мати DPO).

Створення та публікація публічних документів.

GDPR вимагає, щоб організації оприлюднювали наступну інформацію у відкритому доступі чіткою, зрозумілою мовою:

Політика конфіденційності;
Політика зберігання даних;
Умови передачі даних в інші країни;
Політика захисту даних;
Контактні дані, включаючи інформацію про те, як зв’язатися з DPO бізнесу, якщо він наявний;
Умови використання;
Платіжна політика та політика щодо файлів cookie.

9. Нехай бізнес навчить принципам своїх співробітників.

Навчання персоналу є ключовим правилом дотримання GDPR. Дотримання регламенту – це не лише ІТ-проблема. Для цього знадобиться комплексна стратегія комунікації та навчання, яка охоплює всіх співробітників на всіх рівнях компанії.

На додаток, навчання не слід розглядати як одноразову пропозицію. Воно повинно починатися на найвищому рівні компанії з акцентом на створенні культури комплаєнсу. Онлайн-тренінги слід доповнювати конкретними рольовими навчальними програмами, спрямованими на обов’язки та сфери ризику кожного відділу.

10. Регулярне проведення аналізу прогалин і їх виправлення.

Аналіз прогалин дозволить оцінити ваші поточні заходи порівняно зі стандартами відповідності. Це дасть глибше розуміння кроків, які потрібно зробити для впровадження процесів, засобів контролю та інших заходів, необхідних для забезпечення відповідності.

Контрольний список відповідності GDPR може стати відправною точкою для початку. Інший спосіб отримати уявлення про сфери, які можуть не відповідати вимогам у обраній організації, – це відстеження, чому інші компанії були оштрафовані за недотримання вимог.

Штрафи за порушення GDPR

Недотримання GDPR може призвести до значних штрафів: до 24,1 мільйона доларів або 4 відсотків річного глобального обороту компанії, залежно від того, яка сума є більшою.

Існують як пом’якшувальні, так і обтяжувальні обставини, які впливають на розмір штрафу. Умисні порушення штрафуються суворіше, ніж необережні. Якнайшвидше повідомлення про порушення та співпраця з органами влади є пом’якшувальними обставинами. Більш серйозні порушення, наприклад, ті, що стосуються прав та згоди суб’єктів даних, тягнуть за собою вищі штрафи.

Ось деякі з найбільших штрафів, накладених на сьогодні:

H&M Clothing – ця шведська компанія була оштрафована на 41 мільйон доларів за те, що записувала наради співробітників і надала доступ до цих записів понад 50 менеджерам. Конфіденційні дані, отримані з цих записів, використовувалися для оцінки роботи співробітників та прийняття інших кадрових рішень;
Google – Google був оштрафований на $56,6 млн за порушення, пов’язані з тим, як компанія надавала повідомлення про конфіденційність і як вона запитувала згоду на використання персональних даних для персоналізованої реклами та іншої обробки даних. Цього штрафу можна було б уникнути, якби Google надавав більше інформації та надавав суб’єктам даних більше контролю над тим, як використовується їхня інформація. Апеляція Google не була успішною;
Amazon – Штраф у розмірі 877 мільйонів доларів США, накладений на компанію Amazon, є найбільшим з усіх коли-небудь зафіксованих, перевищуючи попередній рекорд в 15 разів. Порушення було пов’язане зі згодою на використання файлів cookie, і це вже не перший випадок, коли Amazon оштрафували за це, що, ймовірно, є однією з причин такої великої суми штрафу. Найкращий спосіб уникнути штрафів, пов’язаних з файлами cookie, – це отримати вільно надану, проінформовану та чітку згоду перед тим, як встановлювати будь-які файли cookie на пристрій користувача.

Як Netwrix може допомогти?

За допомогою рішень Netwrix можливо досягти, підтримувати і доводити відповідність GDPR з меншими зусиллями і витратами вже сьогодні. Продукти Netwrix надають змогу:

Автоматизувати аудит змін, доступу та конфігурації;
Забезпечити точне виявлення та класифікацію регульованих даних;
Надати практичну інформацію про безпеку ваших даних та інфраструктури;
Оптимізувати запити суб’єктів даних, автоматизувавши процес збору даних – вирішальний і ресурсомісткий крок.

Поширені запитання

1) Що потрібно для дотримання GDPR?

GDPR вимагає від бізнесу вживати заходів для захисту конфіденційності персональних даних резидентів ЄС.

2) Як довести, що ви відповідаєте вимогам GDPR?

Потрібно надати конкретні документи, які демонструють, що бізнес дотримується принципів захисту даних, проводить DPIA відповідно до вимог, було призначено необхідні робочі ролі, тощо.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.