Пару интересных моментов по регламенту:
- Если есть хоть один клиент из Европы, чьи персональные данные вы храните, вы автоматически попадаете под GDPR
- Регламент базируется на трёх основных идеях: защита персональных данных, защита прав и свобод людей в защите их данных, ограничение перемещения персональных данных в рамках Евросоюза (Art. 1 GDPR)
- UK всё ещё в EU, поэтому подпадает под действие GDPR, после Brexit-а GDPR будет заменён на Data Protection Bill, который по своей сути очень схож с GDPR (https://ico.org.uk/for-organisations/data-protection-bill/)
- Серьезно ограничивается трансфер данных в третьи страны. Европейская комиссия определяет, в какие “третьи” страны или в какие сектора или организации в этих странах разрешён трансфер персональных данных Art. 45 GDPR. Вот список разрешённых стран.
- Понятно, что внутрь системы просто так надзорный орган никто не пустит, а это значит, что продемонстрировать насколько крута безопасность системы и процессов можно только “на бумаге”. Если безопасность процессов, системы и персональных данных не задокументирована, значит компания не соответствует GDPR. “The controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation.” (Art. 24 GDPR)
Реализация GDPR на практике
Публичные страницы на сайте
- Privacy Policy — основной документ, который требует соответствия с GDPR
- Должно быть четко прописано, какую Personal и Non-personal информацию система собирает
- Для каких целей информация собирается
- Какие права пользователь имеет (Art. 15 — 18 GDPR)
- Политика хранения данных (Data Retention Policy)
- Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались (Art. 5 GDPR)
- Трансфер данных в другие страны (International transfers of your personal data) Art. 45 GDPR
- Как данные будут защищены
- Контактная информация, включая юридический адрес; контакты Data Protection Officer, если он есть
- Terms of Use — необходимо добавить жирным текст “The Website is available only to individuals who are at least 16 years old.”, если система не работает целенаправленно с детьми или детским контентом, в противном случае, нужно добавлять в систему функциональность по Age Checks в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16. Art. 8 GDPR
- Compliance & Security — опционально, но пользователи уже сейчас спрашивают, что у вас с GDPR, поэтому лучше иметь ресурс, где детально будет расписано, как вы организуете защиту данных
- Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки система использует
Страница регистрации
- Количество полей должно быть минимальным и обоснованным (’data minimisation‘) Art. 5 GDPR
- Гранулированное согласие (Granular Consent) Art. 7 GDPR
- Обязательный чекбокс, что согласны с Terms of Use и Privacy Policy
- Отдельный чекбокс, если хотите подписать пользователя на почтовую рассылку
Страница профиля пользователя
- Пользователь должен иметь возможность изменить любое поле о себе Art. 16 GDPR
- Кнопка Delete Account (Art. 17 GDPR). Пользователь должен иметь возможно удалить себя и всю свою информацию из системы.
- Кнопка Restrict Processing Mode (Art. 18 GDPR). Если пользователь включил этот режим, то персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
- Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV
- Снова гранулированное согласие (Granular Consent) Art. 7 GDPR
- Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)
Дополнительная функциональность
- Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны Art. 5 GDPR. Например, информация в заказах, которые обработаны.
- Автоматическое удаление персональных данных в других сервисах, которыми система интегрирована Art. 19 GDPR
Организационные меры по защите данных
Разработка следующих политик и документов
- Personal Data Protection Policy Art. 24 (2) GDPR
- Inventory of Processing Activities Art. 30 GDPR
- Security incident response policy: В течение 72 часов необходимо уведомить свой надзорный орган об утечке (Art. 33 GDPR), нужно уведомить data subject-а, что его данные утекли (но при определённых условиях можно и не делать этого) (Art. 34 GDPR)
- Data Breach Notification Form to the Supervisory Authority Art. 33 GDPR
- Data Breach Notification Form to the Data Subjects Art. 34 GDPR
- Data Retention Policy Articles 5(1)(e), 13(1), 17, 30
“Nice to have“ политики
- Data Disposal Policy
- Backup policy
- System access control Policy
- SLA and escalation procedures
- Cryptographic control policy
- Disaster Recovery and business continuity
- Coding standards and rollout procedure
- Employment policy and processes
- Чтобы не плодить кучу документов, можно объединить их в один IG Policy (Information Governance Policy)
Технические меры по защите данных
Нет в GDPR четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR)
- Firewalls, VPN Access
- Encryption for data at rest (whole disk, database encryption)
- Encryption for data in transit (HTTPS, IPSec, TLS, PPTP, SSH)
- Access control (physical and technical)
- Intrusion Detection/Prevention, Health Monitoring
- Backups encryption
- 2-factor authentication, Strict authorization
- Antivirus
- И другие, в зависимости от системы
Несколько специфических моментов, при которых, возможно, потребуется привлечение юристов:
- Обработка ‘special data’ (Art. 4 GDPR) по умолчанию запрещена. Сбор персональной информация относительно здоровья, сексуальной жизни и ориентации, биометрических и генетических данных, философских и религиозных верований запрещена (Art. 9 GDPR), за исключением случаев, описанных здесь (Art. 9 GDPR)
- Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
- Все субконтракторы, с которыми работает data controller, неважно где они находятся, также должны соответствовать GDPR, соответствующие изменения также должны быть внесены в контракты (Art. 28 GDPR)
- Субконтрактор не в праве пользоваться услугами другого субконтрактора без письменного согласия data controller-а (Art. 28 GDPR)
- Серьёзные ограничения на трансфер данных, поэтому лучше ознакомиться со всеми условиями трансфера, если данные отсылаются или хранятся вне рамок EU (Chapter 5 GDRP)
- Data Protection Officer. Эта роль обязательна, если обрабатывается ‘special category of data' или обработка данных осуществляется государственным органом (Art. 37 GDRP)
- United Kingdom. Information Commissioner’s Officer (ICO) registration
- Рядовые пользователи также сюда могут направлять свои вопросы и жалобы относительно защиты их данных в той или иной компании, после чего начнутся разбирательства (https://ico.org.uk/for-the-public/raising-concerns/)
- Сообщать о взломах и утечках персональных данных тоже компаниями необходимо сюда
- Не для всех организаций обязательна регистрация и оплата ежегодных fee в ICO, только для тех, кто попадает под определённые условия (https://ico.org.uk/for-organisations/register/self-assessment/)
Ссылки
Регламент
Чеклист на соответствие GDPR
Гайдлайн для контрактных изменений
Реальный пример штрафа, когда компании сделали рассылку без согласия пользователей
Денис Колошко, CISSP
Комментарии (37)
ZoomLS
15.04.2018 15:29Если это ник и email — это является персональными данными по их мнению?
esc
15.04.2018 16:30+1ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en
- a name and surname;
- a home address;
- an email address such as name.surname@company.com;
- an identification card number;
- location data (for example the location data function on a mobile phone)*;
- an Internet Protocol (IP) address;
- a cookie ID*;
- the advertising identifier of your phone;
- data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.
Email в общем случае, не попадает. Но не понятно, что будет, если пользователь сам введет почту с именем и фамилией, хотя его просили просто указать почту.
Проблема с Cookie ID. Если id сессии, что хранится в куках сюда может и не будет относиться, то даже по куке для автоматической авторизации уже вопрос.mituy
18.04.2018 17:11С кукисами все плохо. в GDPR есть одно только упоминание про Cookies, но оно довольно сильно аффектит. Вот здесь дельно описано:
www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies
www.cookiebot.com/en/gdpr-cookies
Получается, что даже куки для неавторизованного пользователя ( то есть про него вы ничего не знаете), который шарится по вашему сайту — уже перс данные, так как для в куке уникальный ключ, на основании которого аналитика трекает поведение.
biseptol
15.04.2018 16:48-1Мне нравится вот это «штрафы большие и придётся соответствовать».
Да не придется, блин, чтобы там ни принимали в ЕС (, Саудовской Аравии, Китае, РФ, или КНДР).Andrey_Kalugin
15.04.2018 17:57Если у вас интернет магазинчик, торгующий спинерами и чехольчиками, не придется. А если дочки или контрагенты в EC, то ой как придется.
Anexroid
15.04.2018 19:34Мы вот сейчас переводим сервис на поддержку GDPR, ибо много клиентов из ЕС, которые платят нам много денег. Если возникнут проблемы с работой сервиса на территории ЕС нам будет очень плохо.
Barafu
15.04.2018 17:50Хотели как лучше, а получилась бюрократия.
А если в TOS написать большими английскими буквами, что этот сайт вне юрисдикции европы, не соответствует GD#!@ и не хочет работать с клиентами из европы? Клиенты-то не сильно снизятся, никто ж не читает. А вот проверки лесом посылать можно будет?geher
15.04.2018 20:04Можно ровно до тех пор, пока не совпадут два факта:
- Как-то придется пересечься с юрисдикцией ЕС (хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС).
- Вы заинтересуете кого-то в ЕС настолько, чтобы заморочиться вашими нарушениями (заинтересуете не обязательно по линии нарушений, но повод докопаться будет).
Stiver
16.04.2018 00:06хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС
Вы путаете с уголовным кодексом. Штрафы за несоблюдение GDPR налагаются на компанию, это не уголовное преступление, чтобы кого-то преследовать/выдавать.
На вопрос выше: если фирма не имеет отделения/счетов/каких-либо активов в EC, то можно GDPR просто игнорировать. Хотя лучше не надо — там прописаны вполне разумные вещи, которые хорошо бы реализовать каждой компании независимо от каких-либо внешних директив.geher
16.04.2018 08:38А разве за систематическую неуплату штрафов принадлежащей вам или управляемой вами конторой нельзя получить на свою голову вполне уголовное преследование?
Типа за осознанное препятствование правосудию или неисполнение решения суда.Stiver
16.04.2018 09:00Нет, нельзя. Максимум за затягивание банкротства, если фирма находится в юрисдикции ЕС и не может выплатить штрафы. Если вне юрисдикции — нет ни штрафов, ни ответственности.
Token2
15.04.2018 19:48А если при регистрации не запрашивается страна? То есть в если мы не в курсе что клиент из ЕС или нет, должны ли все равно соответствовать
mraidar
16.04.2018 08:11Поясните пожалуйста «гранулированное согласие»
testlnord
16.04.2018 09:52Пускай у нас есть интернет магазин. Тогда мы можем использовать данные человека для доставки ему товаров, рассылки ему писем о новых акциях и для составления маркетинговых профилей. Это означает, что на каждую такую активность мы должны спрашивать отдельное разрешение. При чем человек может сначала согласится, а потом запретить нам какие-то действия, которые являются необязательными для предоставления ему услуги.
aleks_raiden
18.04.2018 10:51+1А можно подробнее — Export Personal Data. Это выгрузка именно собранных данных (например, данных по аккаунту юзера) или же всей информации? То есть, если у меня в системе есть чаты и новости от юзеров, то мне надо выгружать все данные ассоциированные с юзером (все его сообения с чатов, все новости написанные им)?
dhound Автор
18.04.2018 13:42GDPR касается персональных данных (PII). Поэтому достаточно будет сделать выгрузку только этой информации (public Id, имэйл, имя, фамилия, телефон, ссылка на фотографию и т.д.).
ntimur
18.04.2018 17:10GDPR интересная тема для обсуждения. Но для начала нужно понять что у нас с 152 ФЗ РФ и как мы соответствуем требованиям законам РФ. Здесь мороки не меньше, да штрафы не так пугают но проблем получить можно не меньше в целом…
AndreyKas
18.04.2018 17:10Большое спасибо за статью. Вы не в курсе, относительно
Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
: предоставляет кто-либо подобные услуги?
barsuksergey
Я, может, наивен, но с какой стати эти законы и штрафы должны действовать на территории моей страны и в отношении моего ЮЛ?
Anexroid
Если вы работаете только на территории своей страны (не в ЕС) и ваши пользователи тоже только из вашей страны, то разумеется никакой GDPR вы исполнять не обязаны. Но если вы хотите работать на территории ЕС, с пользователями ЕС, то необходимо выполнять законы ЕС.
В принципе, аналогичные законы есть и в РФ.
biseptol
Тут возникает много вопросов. Что значит «работать на территории ЕС»? Почему вдруг если пользователь из ЕС приходит на мой вебсайт — это я работаю в ЕС? Верно ли, что компании из ЕС должны подчиняться законам, например, Саудовской Аравии и КНДР?
DistortNeo
Угу. Интернет глобален, и попытка его зарегулировать локально ни к чему хорошему не приводит.
Andrey_Kalugin
Если вы целеноправленно оказываете услуги жителям EC, то попадаете под действие GDPR. Не оказываете — не попадаете. Все просто.
nckma
А если не оказываешь услуги, но житель ЕС зарегистрировался на моем российском форуме и указал свое имя-фамилию?
Sioln
Если у вас ресурс только на русском языке, то норм.
А если он переведён на, например, немецкий, то, тем самым подразумевается ваш таргетинг на Германию (ЕС).
geher
А если он ориентирован на немцев, живущих в России и притом граждан России (такие есть, и их довольно много)?
Sioln
Не знаю точно, что если.
Но!
Не вникая в детали, одна компания огребла в ЕС именно от того, что сайт обслуживал немцев, будучи переведённым на немецкий.
Не было бы перевода, последствия были бы мягче.
sumanai
А если там модуль гугл-транслейса с автовыбором языка?
Andrey_Kalugin
А это уже будет суд решать :) К сожалению, в регламенте столько общих формулировок, что однозначные трактовки зачастую сложно дать.
nick7ikin
попадаются признаки оказания услуг гражданам ЕС:
Например в этом источнике
ukt
История была.
Закончился вклад в банке, забрал деньги, отозвал свои персональные данные, потребовал уведомить письменно об уничтожении моих ПД. Через некоторое время пришло уведомление. Через пол года пришел в другой банк, при оформлении договора мне сообщили, что я был клиентом такого то банка, который они купили…
fuCtor
Тут есть момент, из отчётности то они удалить ничего не могут. Следовательно в любом случае какие-то данные останутся. Аналогично как быть с бэкапами.
VolCh
Даже если что-то осталось, то использовать они это уже не имеют права.
Am0ralist
Это не означает, что они должны удалить ВСЕ данные по вам.
Более того, они часть данных обязаны хранить для гос.органов в любом случае.