GDPR: що це таке, які вимоги відповідності

GDPR є складним законом про захист даних, який продовжує створювати проблеми та плутанину для компаній будь-якого розміру.

У цій публікації розглянуто найважливіші пункти GDPR, які можуть допомогти досягти відповідності та уникнути значних штрафів за порушення правил регламенту.

У цьому дописі:

1. Що таке GDPR?
2. Вплив GDPR на бізнес
3. Ключові статті GDPR
4. Призначення спеціаліста із захисту даних (DPO)
5. На кого поширюється GDPR?
6. 7 принципів GDPR
7. Права суб’єкта даних
8. Штрафи за недотримання GDPR
9. Як досягти відповідності GDPR?
10. Як може допомогти Endpoint Protector?

Що таке GDPR?

GDPR – це уніфікований закон про захист даних, що забезпечує права на конфіденційність інформації та встановлює для організацій правила обробки персональних даних громадян або резидентів країн, що входять до ЄС. Ці правила діють як запобіжники неправомірного використання чутливої інформації суб’єктів даних.

Цей закон був розроблений Європейським парламентом і Європейською радою та набув чинності 25 травня 2018 року, замінивши Директиву про захист даних 1995 року.

GDPR діє як регламент, а не як директива. Відповідно до законодавства ЄС, регламенти – це закони, які застосовуються до будь-якої країни-члена ЄС і диктують накази та правила, яких необхідно дотримуватися. А директива встановлює результат, якого потрібно досягти, без вказівок щодо цього.

Вплив GDPR на бізнес

• Видимість потоків даних. Це є обов’язковим пунктом для відповідності GDPR. Видимість дозволяє запобігати витоку даних, фіксувати дії з їх обробки та виконувати вимоги суб’єктів даних. Для того, щоб розуміти, де знаходиться інформація та як вона використовується, потрібна інвентаризація даних, що може бути дуже трудомісткою задачею для ряду компаній.

• Посилення безпеки. GDPR вимагає вживання заходів для забезпечення конфіденційності та цілісності даних клієнтів. Це може включати впровадження технічних або структурних рішень, як-от шифрування, псевдонімізація та перевірка відповідності.

• Наслідки невідповідності. В першу чергу це великі штрафи та санкції, але компанії можуть також стикнутися з пошкодженням репутації та втратою довіри. Крім того, суб’єкти даних можуть подати цивільні позови проти організації.

• Вплив на маркетинг. Це може зачіпати як його час, так і вартість. Принципи захисту даних вимагають, щоб компанії керувалися згодою клієнтів і завжди вибирали та обґрунтовували відповідні законні підстави для обробки даних. Також слід уважніше ставитися до інформації з соціальних мереж, яка зберігається, поширюється та використовується організацією.

• Тренування співробітників. Оскільки більшість витоків даних та інших інцидентів безпеки є результатом людської помилки, відповідність GDPR вимагає впровадження навчання щодо захисту даних. Це особливо важливо для персоналу, безпосередньо пов’язаного з обробкою конфіденційних даних, незалежно від того, чи мова йде про адміністратора, ІТ-інженера, розробника продукту або члена ради директорів.

Ключові статті GDPR

Транскордонні кейси

Згідно зі статтею 3, під GDPR підпадає обробка персональних даних у контексті діяльності в ЄС установ контролерів, які вирішують, як і навіщо обробляти цю інформацію, або обробників даних, що керуються вказівками контролерів. І неважливо, чи відбувається це в межах ЄС. Тобто будь-яка компанія, яка робить свій вебсайт або послуги доступними для громадян ЄС, повинна дотримуватися GDPR.

Зобов’язання повідомляти про витік даних

GDPR зобов’язує звітувати про витік інформації як наглядовим органам, так і суб’єктам даних.

• Якщо інцидент ставить під певну загрозу права та свободи суб’єктів даних, організація повинна повідомити відповідний наглядовий орган не пізніше ніж через 72 години після того, як про витік стало відомо.

• У разі, якщо витік даних передбачає високий рівень ризику для прав і свобод суб’єктів даних, повідомлення про інцидент має бути негайно надіслано особам, яких це торкнулося, без невиправданої затримки.

Законна мета та інформована згода

GDPR дуже суворо визначає підстави для обробки даних. На відміну від багатьох інших країн або юрисдикцій, заборонено спочатку збирати дані, а потім обґрунтовувати це. Крім того, організації мають бути прозорими щодо цієї мети та переконатися, що люди можуть продемонструвати свою згоду або її ствердженням, або чіткою дією, що однозначно її виражає.

Документація обробки

Ця стаття GDPR полягає в тому, що недостатньо просто підпорядковуватися правилам, організація також повинна задокументувати факт їх дотримання. Наприклад, стаття 30 зобов’язує зберігати письмові або електронні записи дій з обробки, якщо компанія налічує 250 працівників або більше. У разі меншої їх кількості, зобов’язання щодо ведення такої документації все ще застосовуються, якщо обробка персональної інформації може спричинити певні ризики для прав і свобод суб’єктів даних, не є одноразовою, або включає дані спеціальної категорії чи інформацію про судимості.

Призначення спеціаліста із захисту даних (DPO)

GDPR вводить зобов’язання призначати спеціаліста із захисту даних (Data Protection Officer, DPO) для організацій, які підпадають під одну з чотирьох категорій:

1. Державний орган
2. Основна діяльність полягає в регулярному та систематичному моніторингу суб’єктів даних у великих масштабах
3. Основна діяльність полягає в обробці персональних даних спеціальних категорій у великих масштабах
4. Законодавство країни-члена ЄС вимагає призначення DPO

На кого поширюється GDPR?

GDPR поширюється на всі підприємства та організації, які обробляють персональні дані громадян і резидентів ЄС. Правила застосовуються незалежно від того, де відбувається обробка персональних даних.

Якщо будь-який із наведених нижче фактів стосується певної компанії, то вона зобов’язана дотримуватися правил GDPR:

• Пропонування товарів чи послуг (включаючи послуги, за які не вимагається оплата), у яких присутня обробка інформації суб’єктів даних ЄС (громадян і резидентів).

• Моніторинг поведінки суб’єктів даних ЄС, як-от відстеження трафіку вебсайту або користувачів за допомогою cookie.

Існує міф, що GDPR не поширюється на організації з менш ніж 250 співробітниками. Можливо, він випливає з того факту, що існує потенційне звільнення від зобов’язань GDPR щодо документації обробки для компаній із менш ніж 250 працівниками. Однак дотримання решти положень є обов’язковим незалежно від розміру організації.

7 принципів GDPR

1. Підзвітність

Цей принцип зобов’язує організації не лише впроваджувати технічні та структурні заходи для відповідності, але й демонструвати, як вони дотримуються вимог GDPR.

2. Законність, справедливість та прозорість

Це означає, що діяльність з обробки повинна здійснюватися законно, чесно та у спосіб, який є прозорим для суб’єкта даних.

• Законність полягає в тому, що персональні дані можуть оброблятися лише на основі однієї з шести законних підстав, визначених у GDPR. Для спеціальних категорій даних (наприклад, біометричних даних) обробка є законною лише за більш обмеженого ряду умов.

• Справедливість означає недопустимість введення в оману суб’єктів даних щодо збирання інформації. Це також стосується того, як компанія забезпечує права суб’єктів даних, як-от на доступ до своєї інформації.

• Прозорість вимагає від організації відкритості та чіткості стосовно обробки персональних даних. Це включає уникнення жаргону та забезпечення легкого доступу до інформації про дії з обробки даних.

3. Цільове обмеження

Це означає, що збирати дані можна лише для законної та конкретної мети, про яку повідомлено суб’єкта даних. Як правило, якщо організація хоче використовувати інформацію для інших цілей, необхідно отримати нову згоду.

4. Мінімізація даних

Цей принцип вимагає від компанії збирати лише мінімальну кількість персональних даних, необхідних для конкретної мети, яка була попередньо окреслена та повідомлена суб’єкту даних. Це допомагає уникнути ситуацій, коли організації збирають більше інформації, ніж необхідно, на випадок, якщо ці дані знадобляться їм у майбутньому.

5. Точність

Вона полягає у вжитті заходів для забезпечення актуальності та достовірності персональних даних. Це включає випадки, коли суб’єкт даних використовує право на виправлення неточної або застарілої інформації.

6. Обмеження зберігання

Це правило передбачає, що персональні дані не мають зберігатися довше, ніж це необхідно для законної мети обробки. Організації можуть зберігати інформацію протягом більш тривалого часу, якщо вона обробляється виключно для архівування в суспільних інтересах, наукових чи історичних досліджень, або статистики.

7. Цілісність і конфіденційність

Це основний принцип GDPR, згідно з яким організації повинні вжити відповідних заходів безпеки для захисту персональних даних, які вони зберігають. Це в тому числі стосується того, як компанія захищає електронну інформацію та системи, у яких зберігаються дані. Цей принцип не визначає конкретний набір інструментів безпеки, які потрібно впровадити. Натомість організація повинна вживати заходів безпеки, пропорційних ризику обробки.

Права суб’єкта даних

Контролери даних повинні знати про ці права та сприяти будь-яким ситуаціям, коли суб’єкт даних вирішує їх реалізувати. Обробники даних також мають розуміти права суб’єктів даних, щоб вони могли передавати запити контролеру даних.

• Право на інформованість. Його дотримання вимагає надання суб’єктам даних короткої та легкодоступної інформації про те, які персональні дані про них збираються та як вони використовуються.

• Право на доступ. Воно дозволяє суб’єктам даних подавати запит на доступ до своєї персональної інформації усно чи письмово.

• Право на виправлення. Це дає суб’єктам даних можливість доповнити або змінити неточну інформацію про себе.

• Право на видалення. Таким чином, суб’єкти даних можуть вимагати видалення своєї персональної інформації.

• Право на обмеження обробки. За певних обставин суб’єкти даних можуть вимагати, щоб інформація про них просто зберігалися, а будь-яка інша обробка була обмежена. Це включає випадки, коли хтось оскаржує точність своїх даних або виступає проти їх обробки.

• Право на перенесення даних. Суб’єкти даних можуть отримувати та повторно використовувати дані для власних цілей шляхом переміщення, копіювання або передачі інформації, наданої контролеру даних.

• Право на заперечення. Це дозволяє суб’єктам даних виступати проти обробки їхньої персональної інформації. Важливо інформувати людей про це право з самого початку, під час першої комунікації з ними.

• Права щодо автоматизованого прийняття рішень і профілювання. Суб’єкти даних мають право не підпадати під рішення, засноване виключно на автоматизованій обробці або профілюванні. Крім того, оскільки автоматизоване прийняття рішень вважається обробкою з високим ризиком, організаціям потрібно провести оцінку впливу на захист даних (Data Protection Impact Assessment, DPIA), щоб продемонстрували, що вони розуміють та зменшують ризики такого роду обробки.

Штрафи за недотримання GDPR

Наглядовий орган країни приймає рішення щодо суворості покарання, враховуючи такі фактори, як те, чи було порушення навмисним, а також категорії персональних даних, на які вплинуло порушення.

Застосовується наступна дворівнева система штрафів:

• За серйозні порушення правил максимальний штраф становить 20 мільйонів євро або 4 відсотки від обороту за минулий фінансовий рік, залежно від того, що більше.

• За менш серйозні порушення максимальні штрафи становлять 10 мільйонів євро або 2 відсотки від обороту за минулий фінансовий рік, залежно від того, що більше.

Як досягти відповідності GDPR?

Щоб мати можливість дотримуватися правил GDPR, організаціям треба провести аудит своїх поточних рішень безпеки даних та процесів і відштовхуватися від цього. Аудит має виявити, де та які дані збираються, хто має до них доступ, як забезпечується їх цілісність, чи є належні процедури отримання згоди тощо.

На основі виявленої інформації можна побудувати план для успішного дотримання відповідності та поділитися ним з усіма залученими сторонами.

Ось дві ключові рекомендації для відповідності, що не витрачають надто багато ресурсів організації:

1. Дисципліноване виконання

Стратегія нічого не варта без дисциплінованого виконання. Не так просто обрати рішення безпеки та управління даними, які допоможуть досягти відповідності. Багато що на це впливає, і людський фактор є найскладнішим.

Простим прикладом може бути призначення спеціаліста із захисту даних (DPO). Він має забезпечити дотримання вимог відповідності в організації. Ця роль є важливою та важкою, спеціаліст має справу з працівниками з одного боку та керівниками відділів з іншого.

Також важко виконати статтю, що стосується транскордонних переказів, які простягаються далі, ніж фізичні кордони, де розташовані головний офіс або філії компанії. Приміром, організація, яка працює в Німеччині, може мати клієнтів у Франції, США чи будь-якій іншій країні.

GDPR поширюється на обробку персональної інформації фізичних осіб, які проживають в ЄС, навіть якщо контролер або обробник даних не знаходиться в Європейському Союзі. Тобто незалежно від місцезнаходження компанії, вона все одно може підпадати під дію регламенту.

2. Обізнаність

Усі керівники відділів, топменеджери та інші особи, які залучені до прийняття серйозних рішень, мають уважно прочитати GDPR або отримати консультацію юриста щодо вимог, особливо з огляду на складність термінології. Повне усвідомлення зобов’язань компанії щодо захисту персональних даних є надійною основою для наступних кроків.

Далі потрібно визначити, яка інформація суб’єктів даних ЄС зберігається та обробляється в організації, її локалізацію, шлях із точки «А» до точки «Б», якими системами вона обробляється тощо. Це також дозволяє зрозуміти, чи є у компанії всі необхідні інструменти для захисту чутливих даних, та які рішення можуть знадобитися для досягнення відповідності GDPR.

Крім того, важливим є принцип «захист даних за задумом і за замовчуванням». Він означає, що послуги або продукти мають включати функції, що забезпечують конфіденційність та безпеку з самого початку концепції та розробки. Це особливо стосується розробників мобільних додатків і сектора IoT. Регламент стане чудовим стимулом для постачальників поєднати безпеку даних з інноваціями.

Принцип приватності за задумом також слід застосовувати до інших організаційних процесів, відповідно до правил GDPR. Загалом, для будь-якого з них, незалежно від того, чи це операційний процес, чи він стосується внутрішніх комунікацій, HR і так далі, якщо він пов’язаний із персональними даними, компанії повинні ставити їх безпеку в пріоритет.

Як може допомогти Endpoint Protector?

Endpoint Protector – це провідне кросплатформне рішення для запобігання витоку даних (DLP), яке дозволяє дотримуватися GDPR, допомагаючи організаціям уникнути дорогих наслідків порушень.

Зокрема, такі модулі допомагають забезпечити відповідність GDPR:

DeviceControl

Цей модуль дозволяє блокувати, контролювати та проводити моніторинг USB і периферійних портів, що дає змогу зупинити викрадення даних. Також можна створювати білі та чорні списки пристроїв і визначати політики для кожного користувача. Такий гранулярний контроль зменшує ризик випадкових або навмисних порушень вимог GDPR. Крім того, надається можливість віддалено застосувати шифрування для USB-накопичувачів та інших знімних носіїв.

Content Aware Protection

Він захищає чутливі дані за допомогою правил на основі політик для виявлення та блокування передачі даних, захищених GDPR, за межі мережі організації. Модуль враховує як вміст, так і контекст, що дозволяє зменшити ризик витоку та втрати інформації та допомагає дотримуватися принципу GDPR щодо захисту даних за задумом і за замовчуванням. Ще одна перевага Content Aware Protection полягає в можливостях моніторингу та контролю, які допомагають гарантувати, що дані використовуються лише для тих цілей, для яких вони збираються, як того вимагає принцип цільового обмеження GDPR.

eDiscovery

Основою для відповідності GDPR є видимість потоків даних, що дає можливість розуміти, де знаходиться та як використовується персональна інформація. Робити це вручну складно, точність низька, а часу витрачається багато, оскільки чутливі дані можуть зберігатися на будь-якому кінцевому пристрої. eDiscovery від Endpoint Protector автоматично та ефективно сканує та ідентифікує персональну інформацію, що зберігається на всіх кінцевих точках організації на комп’ютерах Windows, macOS і Linux.