С 26 мая 2018 г. вступает в силу GDPR новый европейский закон о защите персональных данных.

Хорошее представление о законе могут дать первоисточник :) и аналитика от Института Исследования Интернета

О GDPR и его значении

Закон предъявляет целый ряд существенных требований к обработке персональных данных жителей Евросоюза (точнее любого человека, находящегося на территории ЕС). Нарушение требований будет “караться” большими штрафами (озвучена цифра в 20 млн евро), потерей репутации и, возможно, запретом на работу на европейском рынке, а также уголовной ответственностью. Впрочем, скорее всего сам контроль будет усиливаться постепенно и новости о настоящих серьезных штрафах нас ждут только к концу года.

Как мне представляется, это будет основной закон в сфере безопасности ПД на ближайшие годы. Можно рассматривать происходящее как глобальный тренд. Одни и те же процессы идут везде, но и в тоже время в каждой конкретной стране своя специфика. Суть этих трендов заключается в том, что сегодня Интернет все больше превращается в очень значимую часть той инфраструктуры, что консолидирует людей в общество, как когда-то реки, дороги и мосты. Государство, пройдя через стадии отрицания и осознания, пришло к признанию этого явления и начало выстраивать свою систему контроля. Одной из сторон этого станет то, что не только к медицинским проектам, от которых напрямую зависит жизнь людей, или оборонным, а вообще к любым IT-проектам, хоть сколько-нибудь работающим с людьми, будут предъявляться все более высокие требования в том числе по безопасности использования. Для меня GDPR важен в первую очередь как первый большой шаг на пути к этому.

Если после всего сказанного, Вы еще не осознали к чему я веду - стоит рассматривать этот закон и его влияние на Интернет в целом как масштабное неотвратимое и исторически значимое явление, и оно уже практически у наших дверей.

Краткое описание требований

Закон содержит около 260 страниц и даже самый краткий пересказ будет сложно уместить в формат заметки, но если говорить только об общем представлении, то закон можно свести к трем видам требований: по сбору, хранению и передаче ПД.

Требования к сбору информации:

1. Собирать данные можно только с согласия пользователя. Необходимо иметь возможность доказать факт того, что пользователь давал свое согласие.

2. Пользователь должен быть в ясной и четкой форме ознакомлен с тем какие данные собираются, для чего и как они будут использоваться. Если сложно уместить все в одном общем Соглашении, то должно быть несколько соглашений по каждому пункту.

3. Без специальной государственной аккредитации собирать можно только “разрешенные данные”, например, нельзя собирать данные о судимостях, данные детей (младше 16 лет) и тп.

4. Нельзя (ну или крайне не рекомендуется) собирать данные, которые напрямую не используются в бизнес процессах.

Требования к хранению:

1. Право на забвение - все данные пользователя обязаны быть удалены со всех ресурсов при первом требовании пользователя. Здесь есть некоторые послабления, например, можно отказать в удалении данных, если они напрямую относятся к правам и свободам других европейцев, или если они жизненно необходимы для работы вашего сервиса. Но не стоит забывать, что закон направлен в первую очередь на тотальную защиту прав и свобод граждан ЕС, и в любом случае наличие законного интереса компании в хранении ПД пользователя нуждается в тщательной юридической оценке.

2. Обязанность по поддержке целостности данных, обновлению, защите от повреждения.

3. При обновлении или удалении нужно оповестить/получить согласие пользователя на данные действия.

4. Защита от утечек. При утечке данных компания обязана в течение 72 часов уведомить представителя Комитета Евросоюза по защите ПД с указанием пострадавших.

5. Если данные выполнили свою роль и стали не нужны для задач, под которые они были собраны, то нужно их удалить.

Требования к передаче

1. Есть некоторые требования по передачи третьим лицам, трансграничной передаче данных и тп.

2. Компания обязана по первому требованию пользователя (дается 1 месяц или в случае большого количества запросов можно увеличить этот срок до трех месяцев с обязательным уведомлением об этом пользователя) предоставить отчет о том какие данные о нем хранятся и как используются/были использованы. Например, если данные использованы для машинного обучения, то необходимо простым языком изложить цели этого обучения. Пользователь имеет право запросить такую информацию в любом формате в том числе в электронном, а также обратиться через любой доступный ему канал: письмо, обращение в службу поддержки, тел. звонок и тп. Если его просьба не будет удовлетворена, то он может сразу писать жалобу в Комитет.

3. При обращении пользователя компания обязана провести тщательную верификацию пользователя, если проверка проведена не в полном объеме и данные были переданы третьим лицам, то это может опять же нарушить права и свободу граждан ЕС.

Мои рекомендации

Закон GDPR это на самом деле нечто большее, чем просто ряд требований, он направлен на стимулирование развития культуры обработки персональных данных внутри компаний.

Если вы хотите развивать культуру обработки ПД, или думаете о том, как удовлетворять требованиям GDPR, то я бы посоветовал начать с внутреннего аудита данных. Нельзя защитить данные не зная, что это за данные. Поэтому необходимо понимание того какие данные вы собираете, уже храните и для чего храните. В этом вам поможет построение “Карты персональных данных”, пример структры которой представлен ниже.

Карта персональных данных

1. Название данных;

2. Описание;

3. Где хранятся;

4. Кто имеет доступ;

5. Делится ли система этими данными с кем либо;

6. Получены ли данные из “первых рук” или какими-то окольными путями;

7. Контекст, в котором эти данные используются;

8. Описать “флоу” данных: откуда получаются, как обрабатываются, куда отдаются, в каких случаях уничтожаются;

После построения карты вам уже легче будет перейти к следующим шагам: идентификация рисков для приватности пользователей и для компании, поиск и оценка решений.