CC BY
58ОСОБЕННОСТИ ПРИМЕНЕНИЯ
ЕВРОПЕЙСКОГО
ОБЩЕГО РЕГЛАМЕНТА
ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В РОССИЙСКИХ
ОРГАНИЗАЦИЯХ
SPECIFICS OF THE APPLICATION OF THE EUROPEAN GENERAL REGULATION ON PERSONAL DATA PROTECTION IN RUSSIAN ORGANISATIONS
УДК 004.056; 338.46
wlI-mn„nl „ „ DOI: 10.24412/2307-5368-2021-3-109-118
МАЙОРОВА Елена Витальевна
доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат технических наук, chertok83@mail.ru
MAYOROVA, Elena Vitaliyevna
Associate Professor at the Department of Computer Systems and Programming, Saint Petersburg State University of Economics, Candidate of Technical Sciences, chertok83@mail.ru
СОКОЛОВСКАЯ Светлана Анатольевна
доцент кафедры вычислительных систем и программирования Санкт-Петербургского государственного экономического университета, кандидат экономических наук, доцент, ssokolovskaja@mail.ru
SOKOLOVSKAYA, Svetlana Anatoliyevna
Associate Professor at the Department of Computer Systems and Programming, Saint Petersburg State University of Economics, Candidate of Economic Sciences, Associate Professor, ssokolovskaja@mail.ru
Аннотация.
В статье рассмотрены проблемы обеспечения безопасности персональных данных российскими компаниями в условиях цифровой экономики. Систематизированы действия российской организации по соблюдению требований общего регламента по защите персональных данных. Рассмотрен основный пакет документов по обработке персональных данных средствами общего регламента по защите персональных данных. Приводятся рекомендации российским компаниям, применяющим общий регламент по защите персональных данных.
Ключевые слова: утечка информации, персональные данные, защита персональных данных, информационная безопасность, защита информации, цифровая экономика.
© Майорова Е. В., Соколовская С. А., 2021.
Abstract.
The article considers the personal data security issues by Russian companies in the digital economy. The paper systematizes the actions taken by a Russian organization to comply with the requirements of the general regulations on personal data protection. It considers the basic package of documents on personal data processing by means of the general regulations on personal data protection. And it gives recommendations for Russian companies that apply the general regulations on personal data protection.
Key words: information leak, personal information, protection of personal information, information security, protection of information.
В современных условиях развития цифровой экономики, средств электронной коммерции и доступности средств массовых коммуникаций возросли возможности злоупотреблений, связанных с использованием собранной и накопленной информации о субъекте. Появились и эффективно используются нарушителями средства интеграции и быстрой обработки персональных данных (ПДн), создающие угрозу правам и законным интересам человека.
Уполномоченный орган по защите прав субъектов ПДн, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роском-надзор), сообщает об увеличении количества поступивших обращений и жалоб граждан, касающихся сферы защиты их ПДн. Отмечается, что это связано с увеличением объемов обрабатываемой информации о личности в сети Интернет [1].
По данным исследования утечек информации, проведенным экспертно-аналитическим центром InfoWatch, за первое полугодие 2020 г. периода пандемии были скомпрометированы ПДн более 3 млн человек в мире и 35 тыс. в России [2]. В мире на ПДн в первом полугодии 2020 г. пришлось 93% утечек, в то время как на утечку государственных секретов пришлось 4,2%, а 2,8% - коммерческой тайны [3].
В 2019 г. зафиксировано 1748 утечек ПДн в государственных организациях и коммерческих компаниях, из них 322 утечки в России. Доля умышленных утечек ПДн в мире соста-
вила 60,2%, в России - 48,6%. Через Сеть произошло 69,4% утечек в мире и 61,7% в России. В 2019 г. доля утечек ПДн составила 74,8% случаев от общего числа утечек в мире, в России этот показатель составил 85,2% (в 2018 г. соответственно 69,5% и 80,2%). Оказалось, что в 60,2% случаев по миру утечка ПДн произошла по причине умышленных нарушений (в России этот показатель значительно ниже - 48,6%) [4].
Одним из требований бизнеса, особенно в условиях цифровой экономики, является защита ПДн. Компания обеспечивает хранение и обработку ПДн сотрудников, клиентов, партнеров, поставщиков и других физических лиц. Любое неправомерное действие в отношении ПДн приводит к ущербу, а порой и к полной остановке деятельности организации.
Согласно исследованию экспертно-анали-тического центра InfoWatch, в 2020 г. в мире было зафиксировано 202 утечки конфиденциальной информации из банков, финансовых и страховых компаний. Это повлекло за собой компрометацию 486 млн записей ПДн и платежной информации. В России число утечек в финансовом секторе увеличилось на 36,5%, что повлекло утечки 13,4 млн записей данных субъектов [5].
Новые нормы общего регламента по защите ПДн (general data privacy regulations, GDPR), принятого взамен директивы № 95/46/ЕС о защите прав частных лиц при обработке ПДн, вступили в действие 25 мая 2018 г. и применяются ко всем компаниям европейского рынка,
включая иностранные организации [6; 7; 8]. Принятию вБРК способствовало множество зафиксированных фактов злоупотребления данными, в том числе персональными.
Целью вБРК является оказание помощи пользователю в понимании использования его ПДн и управления доступа к ним. Действие вБРК экстерриториально. Если в компании обрабатываются и хранятся данные, относящиеся к резидентам Европейского союза (ЕС), следовательно, на нее будет распространяться действие вБРК.
При оценке применимости вБРК в российской компании предлагается использовать следующий алгоритм (рисунок 1).
В российских компаниях введение норм регулирования вБРК в первую очередь касается организаций энергетической, финансовой, транспортной и ИТ-сфер.
На рисунке 2 изображена последовательность работ по внедрению вБРК для компании или группы компаний [10].
Подробный алгоритм соблюдения требований вБРК представлен на рисунке 3 [9].
Внедрение GDPR в организации предполагает необходимость следования основополагающим принципам этого регламента (рисунок 4).
Политика конфиденциальности является одним из основных документов GDPR, которая должна быть написана простым языком и представлять собой единый документ, содержащий основные цели обработки ПДн. В политике конфиденциальности должно быть подробно описано, как будут обрабатываться ПДн (рисунок 5).
Внедрение GDPR диктует необходимость реорганизации бизнес-процессов и штатной структуры внутри компании клиента.
С целью определения основных направлений, которые необходимо доработать в организации, следует провести экспресс-анализ уровня соответствия регламенту GDPR в рамках SAM-проекта (software asset management). Такой анализ выполняется специализированными компаниями. Реализация SAM-проекта позволяет повысить эффективность работы IT-инфраструктуры за счет проведения ауди-
Рисунок 1
Сфера действия GDPR [9]
Проверка применимости СОРЫ
2 этап. Авали! систем
обработки персональных данных и их защиты в организации
Рисунок 2
Этапы внедрения вБРК в компании
3 эта ст.
Проверка соответствия требованиям ОБРЫ
4 этап.
Реализация мероприятии □о приведению деятельности
компании в соответствие с требованиями СОРЕ
5 этап. Консультационная или абонентская поддержка
Переход к следующему этапу для каждого процесса обработки
Рисунок 3
Алгоритм соблюдения требований ОЭРИ
Легитимность, справедливость, прозрачность • информация о целях, методах и объемах обработки персональных данных требует более доступного и простого изложения
Ограничение цели •закрепление целей использования персональных данных в Политике конфиденциальности и их соблюдение
Минимизация данных •количество собираемых данных должно совпадать с целями компании, заявленными в Политике конфиденциальности
Конкретность •по требованию пользователя личные данные, которые являются неточными, должны быть обновлены или удалены
Ограничение хранения •данные удаляются сразу же после использования
I Злостность и конфиденциальность •защита данных от несанкционированного доступа, незаконной обработки или повреждения
Рисунок 4 Принципы GDPR
Рисунок 5
Анализ данных в политике конфиденциальности
та процессов доступа и использования ПДн; разработки рекомендаций по мерам безопасности, направленных на предотвращение, выявление и реагирование на угрозы, связанные с уязвимостями и утечкой конфиденциальных данных; разработки практических рекомендаций по управлению данными [10; 11; 12].
В целом, по оценке экспертов, компании нужно около 40 документов для того, чтобы вести свою работу в соответствии с положениями GDPR. Большинство из них являются внутренними документами, и лишь незначительная их часть должна размещаться на сайте. Эти документы используются для того, чтобы показать уполномоченным органам по защите персональных данных подотчетность компании, доказать, что она ведет свою работу по GDPR. При этом важно прописать не только
политику приватности, которая публикуется в открытом доступе на сайте, но и внутренние документы о роли и ответственности при обработке данных внутри компании.
Для обеспечения конкурентоспособности, в целях избегания штрафов и потери клиентов необходимо подготовить «минимальный пакет» документов (рисунок 6).
GDPR не регламентирует язык, на котором должно быть написано шглашение об обработке данных (DPA, data processing agreement), поэтому будет достаточно написать DPA на английском языке. Это соглашение должно соответствовать ряду требований: об обеспечении безопасности ПДн, возможности проведения внешнего аудита, предупреждении контролера об изменениях субпроцессов (подрядчиков при исполнении основного договора) и уве-
•Privacy Policy (общую информацию по обработке ПДн, отношение к обработке данных несовершеннолетних и информация по обработке специальных категорий ПДн, в том числе биометрических данных). Его обычно объединяют с Privacy Notice
•политику защиты ПДн
•согласия на обработку ПДн (желательно отдельное согласие для каждой цели
обработки cookie)
домлении об инцидентах информационной безопасности (ИБ).
Следует отметить, что преимуществом GDPR является отсутствие необходимости контролерам отправлять уведомления об операциях в каждый локальный орган, ответственный за защиту ПДн, в которых зачастую были свои требования к оформлению. Теперь же, за некоторым исключением, достаточно типового договора и регламента учета видов деятельности по обработке ПДн.
Нормы GDPR рассматривают все данные с персонифицированной информацией, т. е. сведения об организациях и физических лицах [10; 13]. Речь идет, в частности, о маркетинговых данных, при хранении которых большинство организаций относятся менее требовательно, чем к финансовой информации или сведениях медицинского характера.
В условиях цифровой экономики особенно актуально приведение в соответствии с регламентом GDPR процессов обработки ПДн, связанных с предложением товаров или услуг гражданам ЕС (независимо от того, требуется ли оплата).
Высокие требования предъявляются к пользовательским соглашениям. Они должны быть понятны для пользователя. У субъекта имеется возможность отозвать свое согласие на обработку ПДн и потребовать организацию удалить его данные. Это право называется Data Erasure, оно может быть отозвано, если, например, нарушитель пытается скрыть свои данные.
Ранее Data Erasure распространялось только на поисковые системы, теперь оно касается всех сайтов и сервисов, собирающих ПДн. Правом можно воспользоваться, если:
• ПДн использованы по назначению и дальнейшая их обработка не нужна;
• субъект отозвал согласие на обработку ПДн;
• данные собирались незаконно.
Компании, находящиеся за пределами
ЕС, должны иметь, в случае необходимости, представителя для работы с европейскими регуляторами. Также следует отметить, что в соответствии с регламентом GDPR, регуляторы наделяются правом затребовать
информацию о том, как, где и с какой целью используются ПДн.
Контролеры предоставляют субъекту ПДн копию информации в электронном формате, таким образом обеспечивается прозрачность информации, но это создает дополнительный риск утечки информации. В то же время такой подход частично решает проблему непрозрачности данных облачных сервисов, которая создает угрозу для контролеров и субъектов данных.
Одним из важных пунктов регламента GDPR является требование обеспечения защиты ПДн еще на этапе разработки [14].
По сравнению с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ в регламенте GDPR прописаны более высокие требования к обработке ПДн, но следует отметить, что есть совпадения в документации и технических решениях. Подробный сравнительный анализ требований и положений регламента GDPR и Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ приведен в ряде работ [10; 13; 14].
Следует отметить, что регламент GDPR позволяет пользователям знать принципы, права и обязанности защиты их данных. Вопросы, решаемые GDPR, представлены на рисунке 7.
В пользовательском соглашении компании не обязаны прописывать все нюансы использования ПДн. Однако при запросе пользователя информации, организация обязана ее выслать в течение месяца (с объяснением причины и бесплатно) в удобной для пользователя форме.
Основные правила GDPR представлены на рисунке 8.
За три года выполнения российскими компаниями требований GDPR проявились следующие проблемы:
1. Нет четкого понимания, в каких процессах необходимо обеспечить выполнение требований GDPR.
2. Необходимо содержать в штате специалиста по GDPR или нанимать внешнего специалиста из компании, представляющей функцию DPO (data protection officer), т. е. лицо, ответственное за защиту ПДн, что еще дороже. Если компания, выполняющая функ-
• какие типы персональных данных собирает компания
в какой форме происходит сбор данных
есть ли возможность использования данных для автоматического
составления портрета пользователя
• по каким критериям определяются сроки хранения
Рисунок 7
Вопросы, решаемые GDPR
Компании должны четко и коротко объяснить, какие его данные компания будет собирать и для чего использовать. Основная причина, почему никто не читает пользовательские соглашения -обилие юридических терминов и сложных конструкций. Теперь формулировки должны быть максимально точными.
Компании обязаны по просьбе пользователя предоставлять электронную копию его данных. Это правило полезно для тех, кто хочет сменить сервис на аналогичный, не теряя возможности получать основанные на предпочтениях рекомендации.
Пользователь имеет право не согласиться на обработку своих данных или отозвать согласие в любой момент.
Если произошла утечка данных, компания обязана сообщить о ней клиентам и регулирующим органам в течение 72 часов.
Рисунок 8
Основные правила GDPR
цию DPO, иностранная, то с ними трудно общаться, не владея иностранным языком и терминологией.
3. Возникают трудности при размещении ПДн в информационных системах ПДн, расположенных за границей и обрабатывающих
ПДн граждан Евросоюза, которые связаны одновременно с необходимостью выполнения требований как ФЗ-152, так и GDPR. Так как подходы по защите ПДн разные.
4. У многих организаций нет проверенных временем шаблонов документов, например DPA.
5. Возникают трудности с описанием процессов обработки ПДн в организации, затрагивающие требования GDPR.
6. Часто необходимо делать два комплекта документов. Один по 152-ФЗ, другой по GDPR, причем документы по GDPR нужно делать на английском языке. Терминология 152-ФЗ и GDPR немного отличается, что приводит к трудностям перевода.
7. В компаниях самостоятельно, без квалифицированного специалиста, разобраться в тонкостях требований GDPR очень сложно.
8. Требования GDPR находятся на стыке ИБ и юридического направления, не совсем понятно в каком подразделении должен быть специалист по GDPR.
Неоспоримыми преимуществами организаций, имеющих в штате специалистов по СБГК и защите ПДн, являются:
1. Повышение уровня доверия со стороны международных партнеров.
2. Появление описания процессов обработки ПДн. В случае отзыва согласия на обработку ПДн становится понятно в каких информационных системах ПДн какие данные конкретного субъекта ПДн обрабатываются.
К рекомендациям российским компаниям, применяющим СБГК, следует отнести следующие:
1. Брать в штат квалифицированных специалистов по защите ПДн.
2. Проходить обучение по вБГК.
3. Проводить аудиты специализированных организаций по направлению защиты ПДн. Необходимо грамотно сформулировать требования к аудиту и контролировать процесс его проведения.
Список литературы
1. В 2019 году вновь выросло количество поступивших в Роскомнадзор жалоб по тематике защиты персональных данных. URL: https://rkn.gov.ru/news/rsoc/news71528. htm (дата обращения: 11.05.2021).
2. COVID-19: утечки периода пандемии (1 полугодие 2020). URL: https://www. infowatch.ru/analytics/reports/28595 (дата обращения: 11.05.2021).
3. COVID-19: пандемия спровоцировала утечку 3.5 млн записей переданных в мире. URL: https://www.infowatch.ru/company/presscenter/news/28596 (дата обращения: 11.05.2021).
4. Исследование структуры утечек персональных данных: Мир и Россия, 2019 год. URL: https://www.infowatch.ru/analytics/reports/26240 (дата обращения: 20.05.2021).
5. Число утечек из финансового сектора в 2020 году в России выросло на треть. URL: https://www.infowatch.ru/company/presscenter/news/32896 (дата обращения: 20.05.2021).
6. Общий регламент защиты персональных данных (GDPR) Европейского союза. URL: https://gdpr-text.com/ (дата обращения: 01.06.2021).
7. EDPB: Guidelines, Recommendations, Best Practices. [Электронный ресурс]. URL: https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_en (дата обращения: 29.05.2021).
8. Guide to the General Data Protection Regulation (GDPR). URL: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr (дата обращения: 29.05.2021).
9. Воронкевич С. Что такое GDPR и какие требования предъявляет, - рассказываем простыми словами. URL: https://data-privacy-office.com/what-is-gdpr/?fbclid=IwAR 1VNEOtJP9RSssOqy8RpYTYjKUPNfIQ6EyYg1ekkjGisSZEaWRG-KKpMYk (дата обращения: 02.06.2021).
10. Красильникова Е. В., Майорова Е. В., Соколовская С. А. Методические аспекты внедрения GDPR в организации // Цифровые технологии и проблемы информационной безопасности: монография / [Т. И. Абдуллин, И. Г. Гниденко, И. В. Егорова и др.]; под ред. Е. В. Стельмашонок, И. Н. Васильевой; СПб.: Изд-во СПбГЭУ 2021, C. 116-125.
11. Семёнова Т. Г. Безопасность персональных данных в контексте европейского регламента GDPR / Семёнова Т. Г., Семёнова С. О. // Информационная безопасность цифрового пространства / под ред. Е. В. Стельмашонок, И. Н. Васильевой. СПб.: Изд-во СПбГЭУ 2019. 155 с.
12. GDPR SAM-проект: комплексная оценка на соответствие общему регламенту Евросоюза по защите данных. URL: https://www.infosec.ru/upload/medialibrary/edf/ SAM-GDPR-Assessment-Customer-Flyer.pdf (дата обращения: 08.06.2021).
13. Дурандина А. П., Еникеева Л. А. Организация защиты персональных данных в банковских информационных системах Российской Федерации // Петербургский экономический журнал. 2018. № 4. С. 102-119.
14. GDPR - что это. URL: https://aizas.ru/gdpr-chto-eto/ (дата обращения: 11.06.2021).
