О БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКИХ ОРГАНИЗАЦИЯХ СРЕДСТВАМИ ЕВРОПЕЙСКОГО ОБЩЕГО РЕГЛАМЕНТА ПО ЗАЩИТЕ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056; УДК 338.46

О БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКИХ ОРГАНИЗАЦИЯХ СРЕДСТВАМИ ЕВРОПЕЙСКОГО ОБЩЕГО РЕГЛАМЕНТА ПО ЗАЩИТЕ

Е.В. Майорова1, С.А. Соколовская2, М.С. Ширшикова3

1'2Санкт-Петербургский государственный экономический университет, Россия, 191023, Санкт-Петербург, наб. канала Грибоедова, д. 30-32, литер А.

3Санкт-Петербургский государственный педиатрический медицинский университет,

Россия, 194100, Санкт-Петербург, ул. Литовская, д. 2.

В статье рассмотрены вопросы обеспечения безопасности персональных данных российскими компаниями в условиях цифровой экономики. Составлены алгоритмы и разработаны рекомендации применимости общего регламента по защите персональных данных и соблюдения его требований в российской компании.

Ключевые слова: цифровая экономика, безопасность обработки персональных данных, персональные данные, информационная безопасность, защита информации.

SAFETY OF PERSONAL DATA PROCESSING IN RUSSIAN ORGANIZATIONS BY MEANS OF THE EUROPEAN GENERAL PROTECTION REGULATION

E. V. Mayorova, S. A. Sokolovskaya, M. S. Shirshikova

St. Petersburg State University of Economics, Russia, 191023, Saint Petersburg, embankment of the Griboyedov Canal, 30-32, letter A.3 St.

Petersburg State Pediatric Medical University, Russia, 194100, St. Petersburg, Litovskaya str., 2.

The article considers issues of ensuring the security of personal data by Russian companies in the digital economy. Algorithms have been drawn up and recommendations have been drawn up for the applicability of general regulations on the protection of personal data and compliance with its requirements in a Russian company.

Keywords: digital economy, security of personal data processing, personal information, information security, protection of information.

В условиях современной цифровой экономики, электронной коммерции, развития массовых информационно-коммуникационных технологий, возросла потребность в защите персональных данных (ПДн). Рост случаев утечки и злоупотреблений информации о пользователе создает угрозу правам и законным интересам человека. Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн) информирует об увеличении количества поступивших обращений и жалоб граждан, касающихся сферы защиты их ПДн [1]. Например, по данным ежегодных аналитических отчетов за 2019 год в государственных и коммерческих компаниях зафиксировано 1748 утечек информации (из них 322 утечки в России). На рисунке 1 представлен график

сравнительного анализа утечек по некоторым секторам России и мира [2].

Поэтому, одним из требований компаний в условиях цифровой экономики, является защита информации, в том числе и ПДн. Компания должна обеспечить хранение и обработку ПДн своих сотрудников, клиентов, партнеров, поставщиков и других физических лиц. Любое неправомерное действие в отношении ПДн приводит к ущербу, а порой и к полной остановке деятельности организации.

ПДн является любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), с помощью которой прямо или косвенно его можно определить [3].

1Майорова Елена Витальевна - кандидат технических наук, доцент кафедры вычислительных систем и программирования, тел. +79112150446, е-mail: chertok83@mail.ru;

2Соколовская Светлана Анатольевна - кандидат экономических наук, доцент, доцент кафедры вычислительных систем и программирования, тел. +79627050733, ssokolovskaja@mail.ru.

3Ширшикова Марина Сергеевна - старший преподаватель кафедры гуманитарных дисциплин и биоэтики тел. +79502244815, е-mail: vic. shir@mail.т.

Примерами такой информации может быть логин и пароль, интернет-ID, IP-адрес, личные данные (например, пол, возраст) и данные, которые сайты собирают для рекламных целей. Следовательно, каждый пользователь нуждается в помощи, понимании, правильном толковании и управлении доступом к своим ПДн.

В связи с этим был разработан европейский общий регламент быстрой обработки и защиты ПДн (General Data Protection Regulation, GDPR) [4; 5]. Действие GDPR экстерриториально, поэтому и накладывается регламент на организации, ведущие внешнеэкономическую деятельность на территории РФ, включая небольшие компании, и ведущие бизнес в интернете. Авторы статьи предлагают использовать следующий алгоритм внедрения GDPR в российские компании, который представлен на ри-

Введение норм регулирования GDPR в российских компаниях, в первую очередь, касается организаций энергетической, финансовой, транспортной и ИТ-сфер, имеющие связи на мировом рынке. Для соблюдения требований GDPR в этих компаниях требуется более детальный алгоритм, который представлен на рисунке 3 [6].

Также следует учесть, что при внедрении GDPR в организации, возникает

90

GO 50 40 30

Шш ш

Персональные Платежные системы Коммерческая тайна Государственная данные тайна □ Мир ■ Россия

Рисунок 1 - Сравнительный анализ утечек информации по России и миру

необходимость придерживаться принципов, которые составляют ядро регламента (рис.4).

Одним из основных документов GDPR является политика конфиденциальности, которая должна быть написана простым языком и представлять собой единый документ, содержащий основные цели обработки ПДн. Следовательно, политика должна содержать подробную информацию о сборе, хранении и использовании данных пользователя. Примерный список вопросов представлен на рисунке 5.

сунке 2 [6].

Обработка в контексте деятельности вашей организационной единицы в единой экономической зоне

\

GDPR применяется 0

Т

нет 1

-нет

Субъект данных находится в единой экономической зоне

( )fin:]fw VI [ГЯ [Я И И I .IV Г И'Л-

Обработка связана с мониторингом поведения субъекта данных на территории единой экономической зоны

Рисунок 2 - Алгоритм действия GDPR в российских компаниях

да

да

да

^ Проверка данных и отображение их потока

Переход к следующему этапу для каждого процесса обработки

Применимость GDPR

В пределах территории действия ■ GDPR?

В рамках существенного объема « GDPR?

Обрабатываем ли мы данные или предоставляем доступ к ним?

Являются ли данные персональными?

Роли

Определяем ли мы цели и средства обработки?

да _1

Действуем ли мы совместно с кем-либо?

Законность

Обрабатываем ли мы от лица контролера?

1

Мы контролер

Мы совместный контролер

Найдите исключение по ст. 9 (2)GDPR

да Особая ка-

тегория

данных?

4-

£

Получите согласие / разрешение родителей

дственное

Обработка основана на согласии ребенка?

Найдите законные основания по ст. 6GDPR

Распределите .следующие обязанности и выполняйте их соответственно

Обеспечьтепра-вильность и про-зрачностьобра-ботки

Обеспечьтесо-ответствие цели

Минимизируйте обработку данных

Сохраните точность данных

Обеспечьте свое-^временное удаление или анонимность данных

Установите уведомление об утечке данных Гарантии прав Оценка рисков

Обеспечьте обработку с учетом конфиденциальности

Переносим ли мы данные за пределы ЕС? да -► Используйте правильный международный механизм передачи данных > Демонстрация исполнения GDPR

нет t

■ :оде1 онтр

ствие олеру

Рисунок 3 - Алгоритм соблюдения требований GDPR

да

да

нет

нет

да

нет

нет

да

да

нет

да

нет

нет

Внедрение GDPR в организацию и Политика конфиденциальности вносят изменения в работу компании. Возникает необходимость реорганизации бизнес-процессов и вносит изменения в штатную структуру компании.

Для определения основных направлений реорганизации компании следует провести экспресс-анализ для соответствия регламенту GDPR в рамках SAM-проекта (software asset management). Такой анализ выполняется специализированными компаниями. Реализация SAM-проекта позволит повысить

эффективность работы 1Т-инфраструктуры; разработать рекомендации по мерам безопасности; составить перечень практических советов по управлению данными [7; 8].

Чтобы организовать работу компании в соответствии с положениями GDPR, по оценке экспертов, необходимо разработать около 40 документов: внутренние документы (большая часть), и для размещения на сайте (незначительная часть). Разработанные документы в дальнейшем используются для доказательства уполномоченным органам по защите персональных

данных, что компания ведет свою работу по GDPR. В Политике конфиденциальности необходимо прописать какие из документов являются внутренними, а какие публикуются на сайте. Минимальный пакет необходимых документов представлен на рисунке 6.

Законность, справедливость, прозрачность

• информация о целях, методах и объёмах обработки персональных данных должна быть понятна и доступна для пользователей

Ограничение цели

• сбор персональных данных должен соответствовать целям организации согласно Политики конфиденциальности

Нормы GDPR затрагивают все данные с персонифицированной информацией: сведения об организациях и физических лицах [9; 10]. Включая маркетинговую информацию, при хранении которой большинство организаций относятся менее требовательно, чем к финансовой информации или сведениях медицинского характера.

■ какая информация о пользователе должна быть собрана

■ кто должен собрать, каким образом и на каком основании

как данные должны быть использованы в

работе

1

2

3

Минимизация данных

•объем собранной информации должен соответствовать целям компании и нп противоречить Политики

конфиденциальности

Конкретность

• данные пользователя должны быть точными и актуальными, по первому требованию пользователя исправлены либо удалены

Ограничение хранения

• использованные данные пользователя должны быть удалены сразу же после их использования

каким третьим лицам должны быть переданы данные о пользователи

• как долго данные должны хранять в организации

• как пользователь должен управлять своими данными

какие меры наказания должны быть применены за нарушение Политики конфедииальности

Рисунок 5 - Список вопросов, включенных в Политику конфиденциальности

4

5

6

7

Целостность и

конфиденциальность

•данные пользователя должны быть защищены от несанкционированного доступа, незаконной обработки или повреждения

Рисунок 4 - Принципы GDPR

Соглашение об обработке данных GDPR (DPA, data processing agreement) должно соответствовать ряду требований: об обеспечении безопасности ПДн, возможности проведения внешнего аудита, предупреждении контролера о смене подрядчиков основного договора и уведомлении о нарушении информационной безопасности (ИБ). Следует отметить, что преимуществом GDPR является отсутствие необходимости отправлять замечания контролера в каждый локальный орган, ответственный за защиту ПДн.

1 • Уведомления об обработке ПДн (Privacy Notice)

2 Общие и биметрические данные (Privacy Policy)

3 • Политика сбора соо^-файлов^о^ Policy)

4 • Политика защиты ПДн

5 • Согласие на обработку ПДн

6 •Отказ от ответственности (дисклеймер об обработке cookie)

Рисунок 6 - Минимальный пакет документов обработки ПДн в рамках ОБРЯ

Особенно высокие требования предъявляются к пользовательским соглашениям. Так как у пользователя есть право отозвать свое согласие на обработку ПДн и потребовать удалить его данные. Это право называется Data Erasure.

Правом Data Erasure пользователь может воспользоваться, если:

- ПДн уже использованы и не требуется их дальнейшая обработка;

- пользователь отозвал согласие на обработку ПДн;

- данные собраны с нарушениями прав пользователя.

Компаниям, находящимся за пределами ЕС, рекомендуется иметь представителя для работы с европейскими регуляторами. В соответствии с регламентом GDPR, регуляторы наделяются правом затребовать информацию о том: как, где и с какой целью используются ПДн. Копия затребованной информации в обязательном порядке предоставляется пользователю в электронном формате, что может создавать угрозу как для контролеров, так и пользователей (риск утечки информации).

•Каковы типы персональных данных, которая собирает компания?

•Какова форма сбора данных?

Основные правила GDPR представлены на рисунке 8.

При составлении пользовательского соглашения компания обязана придерживаться общих правил защиты ПДн.

■ Компании должны испльзовать максимально точные и понятные формулировки, исключая сложных словесные конструкций и юридические термины.

ЛЩ

2 • Компании должны предоставлять электронную копию данных пользователя по его просьбе.

V ш

ля ^т

3 •Пользователь имеет право отозвать свое согласие и отказаться от обработки своих данных в любой момент.

V в

4 • Компания обязана сообщить об утечки данных своим клиентам и регулирующим органам в течение 72 часов.

Рисунок 8 - Основные правила GDPR

1

1

2

•Как эти данные использовать?

Кто имеет доступ к данным?

•Есть ли возможность использования данных для автоматического составления портрета пользователя?

Каковы критериии, по которым определяются сроки хранения данных?

Рисунок 7 - Вопросы, решаемые GDPR в плане защиты данных

На этапе разработки одним из важнейших пунктов регламента GDPR является обеспечение защиты ПДн [11; 12]. Вопросы, решаемые GDPR в разрезе защиты данных, представлены на рисунке 7.

Выводы

За три года работы российских компаний в рамках требований GDPR были выявлены следующие проблемы:

1. Отсутствие четкого понимания, в каких процессах необходимо обеспечить выполнение требований GDPR.

2. Необходимость присутствия штатного специалиста по GDPR или наемного внешнего специалиста из компании, представляющей функцию DPO (data protection officer), т.е. лица, ответственного за защиту ПДн. В компаниях самостоятельно, без квалифицированного специалиста, разобраться в тонкостях требований GDPR очень сложно. Если компания, выполняющая функцию DPO, иностранная (как зачастую бывает), то могут возникнуть трудности общения на иностранном языке.

3. Возникновение трудностей при размещении ПДн в информационных системах ПДн, расположенных за границей и обрабатывающих ПДн граждан Евросоюза, которые связаны одновременно с необходимостью выполнения

3

4

5

6

требований как ФЗ-152, так и GDPR, так как подходы по защите ПДн разные.

4. Отсутствие у многих организаций необходимых шаблонов документов, например DPA.

5. Возникновение трудностей с описанием процессов обработки ПДн в организации, затрагивающих требования GDPR.

6. Необходимость создания двух комплектов документов, одного по 152-ФЗ (на русском языке), другого по GDPR (на английском языке). Терминология 152-ФЗ и GDPR немного отличается, что приводит к трудностям перевода.

Трудность заключается в том, что требования GDPR находятся на стыке ИБ и юридического направления, не совсем понятно в каком подразделении должен быть специалист по GDPR. Неоспоримым преимуществом организаций, имеющих в штате специалистов по GDPR и защите ПДн, является:

1. Повышение уровня доверия со стороны международных партнеров.

2. Появление описания процессов обработки ПДн. В случае отзыва согласия на обработку ПДн становится понятно в каких информационных системах ПДн какие данные конкретного субъекта ПДн обрабатываются.

Исследование, проведенное авторами, позволяет дать следующие рекомендации российским компаниям, применяющим GDPR:

1. Брать в штат квалифицированных специалистов по защите ПДн.

2. Проходить обучение по GDPR.

3. Проводить аудиты специализированных организаций по направлению защиты ПДн. Необходимо грамотно сформулировать требования к аудиту и контролировать процесс его проведения.

Литература

1. В 2019 году вновь выросло количество поступивших в Роскомнадзор жалоб по тематике защиты персональных данных. URL: https://rkn.gov.ru/news/rsoc/news71528.htm (дата обращения 21.07.2021).

2. Утечки данных. Россия. 2019 год. URL: https://www.infowatch.ru/analytics/analitika/utechki-dannykh-rossiya-2019-god (дата обращения 11.08.2021).

3. Федеральный закон № 152 «О персональных данных» от 27.07.2006 N 152-ФЗ. URL: http://www.consultant.ru/document/cons_doc_LAW_61 801/ (дата обращения 11.08.2021).

4. GDPR - что это. URL: https://aizas.ru/gdpr-chto-eto/ (дата обращения: 15.08.2021).

5. Общий регламент защиты персональных данных (GDPR) Европейского союза. URL: https://gdpr-text.com/ (дата обращения: 15.08.2021).

6. Воронкевич С. Что такое GDPR и какие требования предъявляет, - рассказываем простыми словами. URL: https ://data-privacy-office.com/what-is-gdpr/?fbclid=

IwAR1VNEOtJP9RSssOqy8RpYTYjKUPNfIQ6Ey Yg 1ekkjGisSZEaWRG-KKpMYk (дата обращения: 12.08.2021).

7. Семёнова Т.Г. Безопасность персональных данных в контексте европейского регламента GDPR / Семёнова Т.Г., Семёнова С.О. // Информационная безопасность цифрового пространства / под ред. Е.В. Стельмашонок, И.Н. Васильевой. - СПб.: Изд-во СПбГЭУ, 2019. - 155 с.

8. GDPR SAM-проект: комплексная оценка на соответствие общему регламенту Евросоюза по защите данных. URL: https://www.infosec.ru/upload/medialibrary/edf/SAM-GDPR-Assessment-Customer-Flyer.pdf (дата обращения: 14.08.2021).

9. Красильникова Е.В., Майорова Е.В., Соколовская С.А. Методические аспекты внедрения GDPR в организации / Цифровые технологии и проблемы информационной безопасности : [монография] / [Т.И.Аб-дуллин, И.Г.Гниденко, И.В.Егорова и др.] ; под ред. Е.В. Стельмашонок, И.Н. Васильевой ; М-во науки и высш. образования Рос. Федерации, С.-Петерб. гос. экон. ун-т, Каф. вычисл. систем и программирования Санкт-Петербург : Изд-во СПбГЭУ, 2021, C. 116-125.

10. Дурандина А.П., Еникеева Л.А. Организация защиты персональных данных в банковских информационных системах российской федерации // Петербургский экономический журнал: научно-практический рецензируемый журнал. 2018. № 4. С. 102-119.

11. Guide to the General Data Protection Regulation (GDPR). URL: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr (дата обращения: 29.08.2021).

12. EDPB: Guidelines, Recommendations, Best Practices. [Электронный ресурс]. URL: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en (дата обращения: 29.08.2021).