Статья опубликована 21 мая 2018 года
Первая часть статьи здесь. Если не читали её, пожалуйста, ознакомьтесь для контекста.
Разобравшись с самыми распространёнными заблуждениями о GDPR, давайте посмотрим на реальное влияние GDPR. Затем рассмотрим наиболее важные полезные советы для владельцев сайтов.
В любом законе кроме его буквального текста есть ещё дух закона, его предназначение. В данном случае предназначение GDPR состоит в том, чтобы обуздать корпорации, которые проявляют худшие практики ведения бизнеса в интернете с нарушением конфиденциальности пользователей. Законодатели стремятся вернуть контроль над данными обратно владельцам этих данных — частным лицам, которые здесь являются субъектами (отсюда термин «субъекты данных»). Есть бесчисленное множество примеров таких нарушений. Не собираюсь их здесь перечислять — на это просто не хватит времени. Но будьте уверены: положение дел таково, что регулирование не начнёт действовать быстро. Постоянные читатели моего блога знают, что тема конфиденциальности мне дорога, поэтому я приветствую GDPR и надеюсь, что закон приведёт к желаемому эффекту. Судя по количеству писем от компаний, которые почти умоляют меня разрешить им присылать спам и дальше — вероятно, это единственный закон, который явно положительно повлиял на мою жизнь ещё до того, как вступил в силу. (По иронии судьбы, эти компании нарушают закон, рассылая такие сообщения…).
Конфиденциальность (приватность) — важная вещь. Она настолько важна, что авторы Всеобщей декларации прав человека сочли нужным включить её в краткий список прав, которые должны быть у каждого человека на Земле. В то же время компании пытаются заработать деньги всеми возможными способами, и если нарушение приватности пользователя позволяет быстро заработать доллар, тем хуже для пользователя. Поэтому неудивительно, что законодатели сочли нужным разработать закон, защищающий это право на приватность. И неудивительно, что это законодательство принято сначала в Европе. В нашей европейской истории есть очень хорошие примеры того, что отсутствие приватности может сотворить с людьми.
В зависимости от типа данных, размера организации и объёма обрабатываемых данных, а также ваших отношений с владельцами данных, влияние GDPR может оказаться любым: от «нулевого» до «огромного» с соответствующими затратами. Попытаюсь составить примерное руководство, как новый закон ЕС повлияет на вашу компанию и насколько вы подвержены влиянию закона.
Прежде всего посмотрим, какие данные вы обрабатываете. Рассмотрим несколько различных сценариев, чтобы оценить влияние GDPR на каждый из них.
Данные бывают разных видов: есть данные, связанные с конкретным человеком (индивидуумом), а есть данные, не связанные с конкретным человеком. GDPR не затрагивает данные второго типа, пока их нельзя повторно связать с этим человеком. Это значит, что во всех намерениях и целях вы должны сосредоточиться на данных, связанных с конкретным человеком. В контексте большинства компаний в интернете эти данные хранятся в «профиле» — записи или серии записей, содержащих идентификатор, который может использоваться для присвоения записи конкретному лицу. Примерами данных профиля являются ваши публикации в социальных сетях, медицинская история, включая рентгеновские снимки, данные профиля рекламного агентства и так далее. GDPR просто разъясняет (и это разъяснение уже было в предыдущей директиве, которую все проигнорировали), что компания не является владельцем этих данных. Вы — просто их хранитель, а такое хранение возлагает ответственность на вашу компанию. Другими словами, данные являются активом для бизнеса только в том случае, если их стоимость превышает затраты, необходимые для надлежащего управления этими данными. И надлежащее хранение этих данных требует внедрения надлежащих процессов (которые у вас должны быть в любом случае!), в том числе возможности удаления данных по первому требованию пользователя, если только вы не обязаны хранить данные по закону, чтобы разрешить их исправление и предоставление «субъектам данных» (физическим лицам) доступ к данным, которые вы храните на них.
Если это звучит как бремя для вас, то вы правы — это действительно бремя. Но опять же, управление жизненным циклом данных в любом случае имеет смысл. В конце концов, чтобы действовать в интересах своих пользователей, вам и без GDPR следует исправлять неправильные данные и сообщать людям перечень собранных данных по их запросу. И это ключевой вопрос: законодательство ЕС написано с точки зрения граждан ЕС, а не с точки зрения бизнесменов, которые распоряжаются данными по этим субъектам. Их интересы законны, но вторичны.
Типы данных в распоряжении компании в значительной степени определяют бремя GDPR. Обычно чем критичнее данные, тем тяжелее бремя. Таким образом, если данные уже общедоступны, то бремя невелико или вообще отсутствует. Для конфиденциальных данных, такие как медицинские записи или финансовые операции, бремя значительно выше. Хорошая новость в том, что это соотношение было известно задолго до того, как GDPR вступил в силу. Поэтому банки обычно прилагают больше усилий для обеспечения конфиденциальности клиентов, чем магазин электронной коммерции, где вы купили пару носков на прошлой неделе. Конечно, не все банки одинаково заботятся об этом, и некоторым банкам предстоит усилить работу из-за GDPR. И одни больницы, вероятно, справляются с защитой информации лучше, чем другие. Всё то же самое относится к коммерческим предприятиям. Если они навели порядок, автоматизировали процедуры и в целом поставили себя в положение хранителей, а не владельцев данных, то они должны быть в лучшем положении, когда речь идёт о GDPR.
Таким образом, тип хранимых данных имеет большое значение.
Есть ещё данные особого типа PII, сокращение для личной идентифицируемой информации (Personally Identifiable Information). Это любая информация, которая помогает идентифицировать человека. Очевидные примеры PII — полные имена и номера социального страхования. Не очень очевидный пример — IP-адрес. Действительно не очевидный — факт наличия редкого заболевания в сочетании с названием маленького городка, места жительства. И ещё много подобных примеров. Самое просто решение — представить все данные о человеке, как будто это PII. Лучше предпринять излишние меры безопасности, чем потом сожалеть. Но если вам кажется, что к некоторым данным можно относиться проще, то тщательно взвесьте, какие из них следует рассматривать как PII, а какие нет.
Компании с тысячами записей (например, интернет-магазин, регистрирующий каждую продажу) менее подвержены действию нового закона, чем компания с миллионами или миллиардами записей о своих пользователей. Обычно это компании разного размера и им придётся тратить разное количество усилий и нести разное бремя совместимости с GDPR. Да, вышеупомянутое управление жизненным циклом реализуется у них одинаково, но если вы смогли автоматизировать сбор данных, то нет оправдания неспособности автоматизировать управление ими. Это просто издержки бизнеса. Но компании SaaS, которые обрабатывают большие объёмы данных о клиентах, захотят получить максимальную гарантию совместимости, потому что они гораздо более привлекательные цели для хакеров, а это увеличивает риски утечки данных. Обратите внимание, что есть исключения. Например, для хранения бухгалтерской информации у вашей налоговой службы могут быть собственные правила о сроках хранения. Но это бухгалтерия, которая, вероятно, практически не имеет отношения к вашим веб-сервисам, и касается только фактического движения денежных средств.
Бремя соблюдения требований для небольшой организации ниже, поскольку малому бизнесу не требуется отдельный сотрудник по защите данных (data protection officer, DPO) или директор по соблюдению требований (chief compliance officer, CCO), если у фирмы не очень большие объёмы данных или она имеет дело не с самыми конфиденциальными данными. В противном случае у компании, скорее всего, уже есть такой сотрудник, так что закон не вносит особой разницы.
Но очень маленькие компании (скажем, компания из одного человека), которые обрабатывают чрезвычайно конфиденциальные данные, могут рассмотреть наём человека со стороны хотя бы на некоторое время, чтобы убедиться, что они не подвергаются излишним рискам.
Так что если у вас маленькая компания и вы имеете дело с небольшим количеством некритических данных, то влияние GDPR весьма ограничено и с ним легко справиться. Для средней компании, скажем, с 20 сотрудниками в штате и очень важными данными, бремя пропорционально больше. А если вы управляете очень большой компанией, то у вас, скорее всего, уже есть специально обученные люди, которые занимаются вопросами соблюдения законодательства. Закон действительно влияет на всех по-разному, но учитывая важность вопроса, права субъектов данных перевешивают коммерческие интересы компаний. Если есть выгода в сборе данных, то можно приложить усилия для их защиты и правильного хранения. И эта разница в воздействии закона в основном относительная. В абсолютном смысле крупные компании, а также компании с большим количеством данных или критическими данными потратят больше для гарантии соблюдения закона. Просто для меньших компаний влияние GDPR окажется больше по отношению к их общему обороту. Это хорошо известное явление относится ко всем аспектам ведения бизнеса, оно называется «экономия на масштабировании» и является одной из причин, почему программное обеспечение и услуги на основе программного обеспечения настолько прибыльны: экономия на масштабировании просто огромна.
До сих пор правило по сроку хранения данных о конечных пользователях, похоже, было таким: «Хранить, пока у нас не закончится дисковое пространство». Но диски стали достаточно дешёвыми, чтобы перестать беспокоиться об этом вообще — и просто добавлять данные, ничего не удаляя. Да, вы правильно прочитали: до GDPR у компаний была привычка никогда ничего не удалять. Даже если вы попросили их удалить данные — на что они могут пусть неохотно, но среагировать — в итоге данные просто помечаются как удалённые, но остаются на месте. Теперь такое не пройдёт: если вы запросите удаление данных, его больше нельзя игнорировать — и данные действительно должны быть удалены. Единственное исключение, если по закону вы обязаны хранить данные. Но в этом случае я бы посоветовал хранить их только в архивном хранилище.
Ситуация с резервными копиями немного сложнее — это одна из тех областей, где есть много слухов и опасений, что невозможно обеспечить выполнение закона. Но на самом деле требования очень просты: вы храните ключи удалённых записей в отдельном логе. И если по какой-то причине восстанавливаете с резервной копии, то просто заново воспроизводите запросы на удаление по этому логу, начиная с последнего бэкапа. Таким образом, восстановление резервной копии не может привести к случайному восстановлению удалённых записей. Если есть какие-то опасения в связи с ненадёжностью ключей, то можно просто перезаписать соответствующие данные нулями, чтобы безвозвратно их удалить. Обратите внимание, что это похоже на псевдоанонимизацию, которой в случае с PII недостаточно для соблюдения закона, если удалённые данные можно восстановить при помощи сохранённых данных. Реальное удаление — безусловно наиболее безопасный способ решения проблемы. Это всё с учётом того, что ваши бэкапы правильно зашифрованы, а ключи невозможно восстановить без участия ответственного лица.
Бремя запросов на удаление, исправление или изучение данных от пользователей (или «субъектов данных») может оказаться довольно значительным. Здесь незаменима автоматизация: самообслуживание и единовременная затрата времени и сил многократно окупятся в последующие годы. Если игнорировать такие запросы, то расстроенный человек (возможно, я) рано или поздно свяжется со своим местным органом по защите данных, чтобы подать жалобу. В первый раз, когда это произойдёт, DPA может проигнорировать жалобу — мне кажется, в ближайшее время они будут очень заняты. Но они вероятно заведут дело. А если дело становится толще, потому что всё больше людей жалуются на вашу компанию, то рано или поздно кому-то поручат поговорить с вами.
Разговор будет примерно такой: «Мы получили несколько жалоб на то, что вы целенаправленно игнорируете законные запросы субъекта данных. Пожалуйста, объяснитесь». После чего вы — как всегда, нагло — объясните, закон слишком обременителен и пошли к чёрту все ваши DPA. Агентство ответит примерно так: «Очень жаль, что вы так считаете, но вы тоже обязаны соблюдать закон, иначе...», где после «иначе» будет предупреждением о том, какой штраф могут на вас наложить, если вы продолжите игнорировать закон. Затем пройдёт некоторое время. Новый пользователь подаёт жалобу. Это добавляют в дело. И при добавлении записи клерк делает пометку, что вы уже предупреждены. Здесь становится интересно. На этот раз DPA, скорее всего, выдаст «обязательное предупреждение» (binding warning) — директиву с предупреждением, что вы игнорируете её на свой страх и риск.
Третьего раза лучше избегать. Вас реально оштрафуют. Можете проигнорировать штраф, потому что ваша компания зарегистрирована за пределами ЕС. Но регуляторы это предусмотрели: для ведения бизнеса в ЕС у вас должен быть «назначенный представитель» (designated representative) в ЕС. Да, вы правильно прочитали. Вероятно, это самое агрессивное изменение, которое мог установить Евросоюз: вы действительно обязаны иметь законного представителя в ЕС. Если ваш бизнес уже там работает, то это будет ваш назначенный представитель. Если нет, то вам придётся его получить. Уже появились компании, которые предлагают такую платную услугу.
Так что как только вас оштрафуют, назначенный представитель будет об этом уведомлён. Скорее всего, у него с вами договор и у него тоже есть представитель в вашей стране. Согласно контракту вы возмещаете представителю в своей стране любые штрафы, собранные через представительство вашего юрлица в Евросоюзе. Таким образом, у вас выбор: бороться с собственным представителем в суде в родной стране или раскошелиться на штраф.
Люди обычно шокированы, когда узнают статистику по зарегистрированным взломам за последний год. Цифры просто страшные. Они пугают ещё до того, как приходит понимание, что о подавляющем большинстве утечек конфиденциальных данных никогда не сообщают, поэтому они не учитываются в статистике. Так происходит по двум причинам. Во-первых, много взломов не замечают. Во-вторых, даже об обнаруженных не всегда сообщают. По GDPR такое строго воспрещено. Не сообщить о нарушении — одна из худших вещей, что вы можете сделать. Это безответственно по отношению к пострадавшим людям. И это потенциально ухудшает последствия, потому что вы забираете у регуляторов важный инструмент: их способность понять масштаб проблемы, чтобы применить усилия там, где они наиболее эффективны.
Конечно, взлом — это плохой пиар. Но в этом случае есть смысл потратить ещё немного ресурсов на безопасность и уменьшить его последствия. Если вы сделали это, то хотя бы можете ответить чем-то позитивным на обвинения. Ответственное раскрытие информации в случае нарушения будет иметь большое значение для установления вашей добросовестности. Разобраться с проблемой втихаря может сработать, но если вас раскроют, то можете готовиться к наказанию по полной программе.
Данные, которые вы обрабатываете от имени пользователей, являются их данными. GDPR очень прямо это формулирует. Отсюда и части закона по согласию/удалению/исправлению/изучению (и переносимости данных). В лучшем случае вы — хранитель этих данных, а если пользователи соглашаются на конкретное использование данных, то вам разрешено их обрабатывать. Но это не ваши файлы. Если вы начнёте представлять их своими, то лишь вопрос времени, когда вы совершите какое-то правонарушение. Не делайте так.
У компаний довольно странное отношение к безопасности: она трактуется как чистые затраты с нулевой возможностью прибыли — и по возможности игнорируется. GDPR наконец-то даёт специалистам по безопасности реальный «финансовый» аргумент, если руководство игнорирует их доводы. Штрафы GDPR потенциально настолько велики, что обычно привлекают пристальное внимание директора. Большинство компаний не склонны так рисковать. Поэтому менеджеры скорее распорядятся привести в порядок безопасность, чем столкнутся с потенциально очень большим штрафом (даже если шансы на получение такого штрафа невелики). Пусть это и не самый сильный аргумент в пользу безопасности, но лучше, чем ничего. И похоже, что желаемый эффект есть: менеджеры больше не считают безопасность чем-то второстепенным, о чём компания позаботится, когда они уйдут на пенсию.
Как вы не можете продать чужой автомобиль или дом, нельзя просто взять и продать чужие данные, которые пользователи доверили вам на хранение (или которые вы собираете со своих устройств, в том числе информацию о местоположении и другие ценные вещи). Если хотите продать данные своего пользователя, то нужно получить его согласие. Оно должно быть свободным и даваться для конкретной сделки, то есть с конкретной целью использования этих данных.
Если хотите рискнуть, то можете попробовать получить одноразовый общий карт-бланш вроде «Продажа ваших данных неопределённым партнёрам». Но на месте пользователя я бы, вероятно, не дал такого согласия. Но если — чтобы помочь вашей организации оставаться на плаву — попросить согласия продать данные «компании Pathfinders Inc. для анализа пробок в городе», то я могу согласиться. Так что получите согласие на продажу данных и поищите баланс между многократными запросами с большим процентом согласий — и однократным запросом, на который согласятся немногие. И всегда помните: однажды данное согласие потом может быть отозвано, так что вам следует иметь процедуру, как вы с покупателем данных обработаете этот отзыв согласия.
Конечно, самый простой способ справиться со всем этим — просто никому не продавать данные.
Это одна из областей, где формулировки GDPR чрезвычайно точные и ясные: если хотите обрабатывать данные пользователей для какой-то новой цели, то следует получить согласие. Это почти комично, что многие компании внезапно осознали, что рассылают спам большому количеству народа без их разрешения, а теперь — застенчиво и довольно запоздало — выясняют, что наверное надо спросить разрешения, пока срок не вышел, потому что даже такое письмо, вероятно, будет рассматриваться как нарушение закона! (Так оно и будет рассматриваться, по моему мнению). Поэтому не поддавайтесь искушению и не используйте данные, которые у вас уже есть, для совершенно новых целей.
Как у всего остального, у информации тоже есть жизненный цикл. Бесконечное накапливание — не вариант. Вам нужно планировать, как получать данные, обрабатывать их, хранить, позволять владельцам данных вносить изменения и в конечном итоге — как их удалять. Чтобы быть справедливым к создателям GDPR: вы должны были раньше наладить такие процессы. Даже без всякого GDPR всё равно это должно быть. Просто здравый смысл требует грамотного управления жизненным циклом конфиденциальных данных, и для этого не нужно принимать закон. Подумайте вот о чём: в какой-то момент ваши субъекты данных умрут. Значит, существует по крайней мере одна веская причина, чтобы удалить информацию о конкретном человеке.
Звучит просто, но это может стать серьёзным объёмом работы для крупных компаний с большим количеством данных и плохими процессами. Если своевременно не начать, то вряд ли вы успеете в срок до начала действия GDPR [25 мая 2018 года — прим. пер.]. Для каждого набора данных следует определить следующее:
Повысьте защиту компьютерных систем, особенно которые экспонируются в веб. Почитайте статьи на эту тему, найдите в своей компании самого опытного специалиста по ИБ и попросите проанализировать системы с точки зрения безопасности. Реализуйте советы и сделайте безопасность неотъемлемой частью своей компании на всех уровнях.
Постарайтесь составить краткую, уместную и полную политику конфиденциальности. Если планируете что-то делать с данными, получите согласие и раскройте все варианты их использования в общедоступном документе. При внесении изменений в политику конфиденциальности публикуйте журнал изменений.
Абсолютно каждая фирма, которой вы передаёте данные для обработки, должна иметь специальный договор с вашей организацией, называемый DPA (Data Processing Agreement), без исключения. Если кто-то не хочет подписывать DPA, откажитесь от сотрудничества с такой фирмой. Если вы не чувствуете себя в безопасности, предоставляя фирме доступ к своим фамильным бриллиантам, не нужно с ней сотрудничать. Если чувствуете, что можно обойтись без этой конкретной службы, откажитесь от сделки. На сегодня самый простой способ справиться с рисками третьих лиц в отношении данных, которыми вы распоряжаетесь, — это обеспечить, чтобы данные никогда не покидали ваши помещения. Если этого не избежать, то убедитесь, что DPA выполняется должным образом. И что контрагент справится с отзывом согласия после передачи данных. И что он ни при каких обстоятельствах не передаст данные другим без вашего явного согласия (в письменной форме!).
Сообщите пользователям, какие компании обрабатывают данные от вашего имени. Уместно упомянуть это в политике конфиденциальности.
Прежде чем вы сможете использовать данные, предоставленные физическими лицами, вы должны получить их согласие. Это не просто хорошие манеры, это жёсткое требование. Это касается первоначального использования данных после сбора и всех последующих видов использования.
Поэтому если у вас есть блестящая новая идея, которая приведёт к новому использованию уже собранных данных, то придётся обновить политику конфиденциальности и повторно получить согласие.
Согласие может быть не только дано, но и отозвано. И этот вывод также влияет на отношения с субподрядчиками — теми, кто обрабатывает данные от вашего имени. Отозвать согласие должно быть не сложнее, чем дать его.
Если в системе есть нарушения, которые превышают порог значимости для отчётности (который очень низкий!), то немедленно сообщите об этом. У вас есть 72 часа. Для протокола реагирования гораздо безопаснее разглашать информацию в первый день, а не ждать до последнего момента, потому что любая помеха в процессе подготовки отчёта замедлит вас и приведёт к срыву дедлайна. Если вы имеете дело с очень конфиденциальными данными, то всегда сообщайте о взломе, даже о маленьком. Ущерб субъектам данных может быть существенным, что увеличивает вероятность обращения в местный орган по защите данных. А если орган не найдёт ваш отчёт об инциденте, то у вас возникнет довольно большая проблема.
Если вам не нужны данные прямо сейчас и в реальной системе (например, данные важны в исторической перспективе, но не являются частью текущего набора данных), то лучше переместить их в автономные системы. Таким образом, в случае взлома ущерб будет ограничен.
В последнее время мне встречалось много людей, которые пытались схитрить и найти лазейку в GDPR, чтобы продолжать бизнес как раньше. Некоторые лазейки ужасны и притянуты за уши, другие более разумны, но всё же явно противоречат духу закона. Если вы согласны на рассмотрение спорного вопроса в суде, то можно рискнуть. Но если ваш бюджет ограничен и вы не хотите получить штраф или ввязаться в дорогостоящий судебный процесс, пожалуйста, действуйте добросовестно. Иначе потом будет очень сложно убедить регуляторов, что вы не намеревались сделать ничего плохого.
Если вы ставите свои интересы выше интересов людей и используете их данные как свои, то поступаете неправильно. Представьте, что одолжили эти данные на время — и будьте для них хорошим хранителем. Если учитывать в первую очередь интересы пользователей, то проявляются дополнительные побочные эффекты. Например, пользователи будут счастливы. А это в конечном итоге хорошо для бизнеса.
Если у вас есть данные, которые больше не представляют интереса, не держите их «на всякий случай». Лучше избавиться от них. Это значительно ограничит ущерб. Взлом — это уже плохое событие, не нужно ухудшать ситуацию утечкой данных, которые вы не использовали. Газеты любят большие числа. Если вы потеряете много данных, то легко можете предстать в худшем виде на первых страницах новостей. Обрабатывайте данные как ядерные отходы: избавляйтесь от них как можно скорее.
Если десять компаний предлагают одну и ту же услугу, и только одна из них решила соблюдать GDPR и на самом деле относиться ко всем клиентам (и их данным) с надлежащей заботой и уважением, то в краткосрочной перспективе другие девять получат преимущество. Ведь они не понесли затраты на соблюдение закона — и могут потратить эти ресурсы на функциональность сервиса и маркетинг. Но я думаю, что в долгосрочной перспективе выиграет компания, которая поставила высокую планку. Она не будет подвергаться штрафам, сможет продать свой продукт еще 100 миллионам клиентов и сможет использовать свое соответствие GDPR в качестве простого конкурентного преимущества. Гораздо ниже вероятность утечки данных (что приводит к существенному ущербу для бренда), а доверие пользователей, соответственно, выше.
Хорошая практика — попросить посторонних испытать ваши системы на прочность, чтобы убедиться в их безопасности. Это относительно дорогостоящее мероприятие и, вероятно, недоступное для большинства маленьких компаний. Но если у вас достаточно большой бизнес, то это безусловно поможет вам хорошо спать по ночам. В конце концов, если ваши двери прочнее, чем у соседей, то воры скорее пройдут мимо. Поэтому не рассматривайте безопасность как абсолютную вещь (нет такого понятия, как идеальная безопасность), а относитесь к ней как к относительному понятию: необязательно быть быстрее тигра, нужно лишь обогнать парня, который бежит рядом.
Сертификация ISO27001 не гарантирует соответствия GDPR. Однако несоблюдение GDPR (на данный момент) — довольно хороший признак несоответствия ISO27001, потому что хотя ISO27001 не касается конфиденциальности напрямую, но требует наличия существенных процессов вокруг безопасности. А это, в свою очередь, значительно уменьшит шансы подвергнуться взлому и связанной с этим обязательной отчётностью. Компании с сертификатом ISO27001 обычно не испытывают проблем с соблюдением законодательства о конфиденциальности. Оно заставляет вас представлять данные как обязательство, а не актив, и конкретно такое мышление необходимо, когда вы имеете дело с данными конечных пользователей.
Чтение закона — это реальная работа. Если вы не юрист, то вам понадобится целый день, а то и больше. Это полезно, потому что в законе много полезной информации, чтобы сформировать целостную картину, что реально представляет собой закон, как он применяется к вашему бизнесу, а также к вам в качестве частного лица, чьи данные обрабатываются и хранятся другими компаниями. Если у вас нет времени на это (хотя лично я считаю, что каждый владелец бизнеса должен найти время, чтобы прочитать достаточно компактный документ, который может повлиять на их бизнес), то поручите задачу сотруднику или хотя бы прочитайте отличную статью в Википедии о GDPR, чтобы разбираться в условиях, намерении и общей области применения GDPR. Это поможет в обсуждениях и в определении влияния закона на ваш бизнес.
Чем больше участников получают данные ваших пользователей, тем выше вероятность сбоя. Здесь вдвойне важен принцип сведения ущерба к минимуму, который мы обсуждали в разделе об удалении ненужных данных. Примером может служить компания, которая обрабатывает медицинские данные о пациентах на стационарном лечении. Вы можете внедрить тег аналитики от сторонней компании на страницы, где происходит сбор данных. Но ваша потребность в аналитике никоим образом не перевешивает потребности пациентов в конфиденциальности данных. Поэтому лучше просто удалить этот тег. Это может представлять некоторое неудобство, но это гораздо предпочтительнее утечки данных.
Лучше всегда держать в голове минимальную модель влияния GDPR на ваш бизнес. Так гораздо проще определять, где и как бизнес должен адаптироваться к новому законодательству. В целом это хорошая практика — иметь такую модель в голове, когда начинает действовать какое-то новое важное законодательство. Если бизнес достаточно серьёзный, то можете воспользоваться услугами юриста с опытом работы в данной области (защита конфиденциальных данных), но даже в этом случае хорошо знать основы — и прочитать текст закона.
Игнорирование закона никогда не является хорошей защитой. Вы выглядите глупым и беспечным, выбирая самый простой способ защиты от каждого закона, который не хотите соблюдать. Притвориться, что не знаешь о нём — и проблема исчезнет. Как правило, так поступают маленькие дети, закрывая глаза: «Я тебя не вижу, поэтому ты не видишь меня». Это не работает у малышей и не будет работать у вас.
Есть исключения из правил. Вы можете прочитать о них и выяснить, применяется к вам закон или нет. Исследовав вопрос должным образом, вы можете выяснить, что закон на самом деле распространяется на вас, хотя вы думали, что не распространяется — или наоборот. В любом случае, знание — это сила. В одном случае вы будете предупреждены, а в другом будете знать, что находитесь в безопасности.
Я видел много таких случаев: люди не потрудились прочитать закон или ищут только одну строчку, которая поможет оправдать свою позицию. Это глупо и, скорее всего, приведёт к серьезному разочарованию. Если вы прочитаете закон и получите некоторое представление о нём, то увидите: он написан так, что даёт большую свободу для толкования. Это хорошо, даже если вы хотели, чтобы всё было конкретно прописано. Почему это хорошо? Потому что так регуляторы могут карать тех, кто пытается использовать максимально узкое толкование, игнорируя дух закона.
Такая стратегия узкого толкования работает в некоторых странах (в частности, в США), но в Европе она вообще не работает. Пожалуй, это самое серьёзное различие двух правовых систем, и очень важное. Если соблюдать дух закона, но нарушать букву, то почти всегда с вами всё будет в порядке. Если вы очень стараетесь соблюдать букву, в то же время игнорируя дух закона, то врежетесь в стену, и очень больно врежетесь.
Это очевидно, но я всё-таки напишу на всякий случай: не нарушайте закон сознательно. Если вы это сделаете, то настроите себя на будущий провал. Либо соблюдайте закон, либо закройте свой сервис для Евросоюза (если вы действительно можете это сделать, что, как я уже говорил, трудноосуществимо).
Если у вас действительно глубокие карманы и вы готовы обратиться в суд, а затем, в конечном итоге, в Верховный суд Евросоюза, чтобы оспорить закон или его отдельные аспекты, то вам придётся нарушить закон, чтобы сознательно бросить вызов регуляторам. Но для большинства обычных компаний это не вариант. Лучше оставить такие приключения гуглам и фейсбукам.
Обратите внимание, что это имеет смысл делать даже в отсутствие закона. Просто теперь, когда закон существует, эти принципы помогут вам улучшить свою систему безопасности и в далёкой перспективе покажут вашу приверженность интересам пользователей.
Ещё раз: это не юридическая консультация, хотя подозрительно похожа на неё. Если вы собираетесь реализовать на практике что-либо из прочитанного, представляйте мою интерпретацию закона как 80% того, что вам нужно знать, если хотите минимизировать свои риски. Любой совет стоит столько, сколько вы за него заплатили, а в данном случае вы абсолютно ничего не платите. Тем не менее я как мог постарался не нести чепуху. Покупатель, будь бдителен!
Это зависит от размера организации, типа данных и объёма имеющихся данных. Если обработка данных пользователей — ваш хлеб с маслом, а количество и вид данных указывают на существенный риск в случае утечки, и ваша организация достаточно велика, то скорее всего ответ «Да, нужен». Таким образом, медицинские, финансовые и рекламные компании любого размера почти наверняка потребуют наличия специального DPO. Если ваша компания обрабатывает очень мало данных (скажем, тысячи записей) и данные не являются сверхкритичными (скажем, вы продаёте одежду в интернете), то можно обойтись назначенным DPO, то есть нужно назначить роль DPO какому-нибудь сотруднику, который выполняет другие обязанности. Это не идеально, и придётся позаботиться, чтобы у DPO была достаточная независимость. Если вы вообще не обрабатываете данные пользователей, то вам не понадобится DPO.
Если вы ведёте бизнес в ЕС, но находитесь за пределами ЕС, то да, по GDPR вам понадобится назначенный представитель. Это, безусловно, бремя. И я искренне надеюсь, что свободный рынок доведёт стоимость этой услуги до такого уровня, что даже самые маленькие предприятия смогут позволить себе её без проблем.
Функции представителя:
Если считаете это несправедливым, то имейте в виду — норма всего лишь устанавливает равные правила игры для компаний из Евросоюза и из-за рубежа. Несправедливость в том, что компания из ЕС не несёт дополнительной нагрузки для наличия зарегистрированного представителя, ведь они представляют сами себя. Альтернативой может стать взаимное признание законодательства, примерно как с нарушениями ПДД в странах ЕС. Государства-члены согласились между собой признавать штрафы за превышение скорости и парковку и собирать эти штрафы для своих иностранных коллег. Но пока GDPR действует только в Евросоюзе, взаимное признание не вариант. Если со временем другие регионы примут аналогичное законодательство, то можно заключить соглашения о взаимном признании, и тогда отпадёт необходимость в местном представителе.
Это очень опасный вопрос. Последствия во многом зависят от вашей деловой практики. Если вы исключительно добросовестно обращаетесь с пользовательскими данными, а все или большинство необходимых процедур уже реализованы, но вы ничего не изменили после вступления в действие GDPR, то привлечёте некоторое внимание. Вероятно, регуляторы получат смутное понимание этого, если им потребуется с вами взаимодействовать. Если вы действительно маленькая компания (скажем, приватный форум с несколькими сотнями постоянных посетителей), то можете даже избежать последствий. Но я бы не советовал такую стратегию. Проблема может возникнуть всего из-за нескольких сердитых пользователей, которые сообщат о вас в своё агентство DPA, если вы не выполните законные запросы. И вам будет трудно объяснить, почему вы решили игнорировать закон. Вы можете затянуть время о понадеяться на удачу, но если я что-то и понял за многие годы работы с коммерческими компаниями, так это что отсутствие стратегии настолько же глупо, как недооценка конкурентов.
Бремя соблюдения закона определённо выше для более-менее серьёзной компании. Но опять же, это открывает дорогу к аудитории из 300+ миллионов человек. Не грех приложить некоторые усилия для такой цели. А что может служить лучшим сигналом о вашей надёжности, чем уважение персональных данных ваших клиентов?
Да, можно, но в некоторых случаях они относятся к PII, и хотя все программы по умолчанию регистрируют IP-адреса, но если они вам действительно не нужны, то лучше обойтись без них. Если же они нужны, то убедитесь в их удалении или обнулении последнего октета, когда необходимость в этих данных исчезнет. Как вариант, обновляйте логи достаточно быстро, чтобы данные не хранились там дольше положенного срока.
Да, можно, при условии получения соответствующего согласия. Но после 25 мая нельзя рассылать письма с просьбой дать такое согласие. Любые адреса, которые вы собрали без согласия пользователей, должны считаться утерянными. Как правило, такие сообщения, классифицируемые как «спам», запрещены к отправке частным лицам.
Нет, ни в коем случае.
Если можете себе это позволить, обязательно! Но обязательно получите рекомендации, прежде чем вступать в договорные отношения с кем-либо.
ISO27001 не имеет прямого отношения к GDPR. Тем не менее, эта сертификация затрагивает многие вопросы, которые возникнут в случае взлома: например, предприняли ли вы всё возможное для его предотвращения. Сертификация ISO27001 по сути является внешним контролёром, которые проверяет вашу домашнюю работу. Конечно, после этого всё равно возможна утечка данных, она может стать результатом работы инсайдера или оплошности. Но по крайней мере вы сделали всё возможное, чтобы её избежать.
Еще одно преимущество сертификации ISO27001 в том, что на данный момент она выступает как некий косвенный показатель (прокси) соответствия GDPR. Партнёры будут вести бизнес с вами в новом правовом климате, если вы получили этот сертификат, потому что они будут считать, что у вас всё в порядке.
Недостаток в том, что такой аудит не из дешёвых (его могут позволить себе только достаточно крупные организации), и что затраты будут регулярными (аудит проводится ежегодно).
Если кратко, то никак. Да, вы можете спросить, но пользователь может соврать. Есть библиотеки для геотаргетинга, но они не абсолютно надёжны: кто-то может использовать прокси-сервис, спутниковую связь и так далее. Это досадно, но вы не можете со 100% уверенностью определить, где находится человек.
Вы могли бы сделать это, но это слишком трудоёмкая задача. В конце концов, разве вы не хотите проявить вежливость ко всем остальным пользователям, кроме жителей Евросоюза? Кажется абсолютно пустой тратой ресурсов поддерживать две системы только ради того, чтобы лишить пользователей за пределами ЕС каких-то полезных возможностей. Лично я бы использовал этот случай для пиара: громко и ясно рекламировал, что пользователи со всего мира получают тот же уровень защиты и тот же уровень контроля над своими данными, что и граждане ЕС. Возможно, это поможет вам в конкурентной борьбе, если конкуренты не сделают так же. И наоборот, это может сработать против вас, если конкурент решит пойти по такому пути.
GDPR не различает хобби и бизнес, что мне кажется правильным. Не имеет никакого значения, воспринимаете вы свой проект как хобби или нет. Как только вы начнёте сбор данных о частных лицах из ЕС, директива начнёт действовать — и вам придется соблюдать законодательство.
Программное обеспечение с открытым исходным кодом — это не услуга, а программное обеспечение. Пока вы просто пишете программное обеспечение и распространяете его, не собирая данные о пользователях, ваши действия не входят в область действия GDPR. Как только вы запускаете онлайн-сервис, используя программное обеспечение, которое написали сами — даже с открытым кодом — ваш проект входит в область GDPR.
Есть много пограничных случаев, слишком много, чтобы перечислять их здесь, но давайте возьмем тот, который встречался мне несколько раз.
Если вас волнует, как среди пользователей выявлять резидентов ЕС, которые находятся за границей, то вы волнуетесь не о том, о чём нужно. Законодатели ЕС и агентства по защите данных не собираются выпрыгивать из кустов возле вашего дома, чтобы оштрафовать вас в таких ситуациях. Но вы всё равно должны рассматривать запросы на удаление, доступ и редактирование данных от этих пользователей (и, вероятно, от всех других), как будто это законные запросы. В конце концов, зачем их игнорировать?
Есть большая вероятность, что выйдет третья часть этой статьи, я пока не решил, статьи отнимают много времени.
Первая часть статьи здесь. Если не читали её, пожалуйста, ознакомьтесь для контекста.
Разобравшись с самыми распространёнными заблуждениями о GDPR, давайте посмотрим на реальное влияние GDPR. Затем рассмотрим наиболее важные полезные советы для владельцев сайтов.
В любом законе кроме его буквального текста есть ещё дух закона, его предназначение. В данном случае предназначение GDPR состоит в том, чтобы обуздать корпорации, которые проявляют худшие практики ведения бизнеса в интернете с нарушением конфиденциальности пользователей. Законодатели стремятся вернуть контроль над данными обратно владельцам этих данных — частным лицам, которые здесь являются субъектами (отсюда термин «субъекты данных»). Есть бесчисленное множество примеров таких нарушений. Не собираюсь их здесь перечислять — на это просто не хватит времени. Но будьте уверены: положение дел таково, что регулирование не начнёт действовать быстро. Постоянные читатели моего блога знают, что тема конфиденциальности мне дорога, поэтому я приветствую GDPR и надеюсь, что закон приведёт к желаемому эффекту. Судя по количеству писем от компаний, которые почти умоляют меня разрешить им присылать спам и дальше — вероятно, это единственный закон, который явно положительно повлиял на мою жизнь ещё до того, как вступил в силу. (По иронии судьбы, эти компании нарушают закон, рассылая такие сообщения…).
Конфиденциальность (приватность) — важная вещь. Она настолько важна, что авторы Всеобщей декларации прав человека сочли нужным включить её в краткий список прав, которые должны быть у каждого человека на Земле. В то же время компании пытаются заработать деньги всеми возможными способами, и если нарушение приватности пользователя позволяет быстро заработать доллар, тем хуже для пользователя. Поэтому неудивительно, что законодатели сочли нужным разработать закон, защищающий это право на приватность. И неудивительно, что это законодательство принято сначала в Европе. В нашей европейской истории есть очень хорошие примеры того, что отсутствие приватности может сотворить с людьми.
В зависимости от типа данных, размера организации и объёма обрабатываемых данных, а также ваших отношений с владельцами данных, влияние GDPR может оказаться любым: от «нулевого» до «огромного» с соответствующими затратами. Попытаюсь составить примерное руководство, как новый закон ЕС повлияет на вашу компанию и насколько вы подвержены влиянию закона.
Прежде всего посмотрим, какие данные вы обрабатываете. Рассмотрим несколько различных сценариев, чтобы оценить влияние GDPR на каждый из них.
Типы данных
Данные бывают разных видов: есть данные, связанные с конкретным человеком (индивидуумом), а есть данные, не связанные с конкретным человеком. GDPR не затрагивает данные второго типа, пока их нельзя повторно связать с этим человеком. Это значит, что во всех намерениях и целях вы должны сосредоточиться на данных, связанных с конкретным человеком. В контексте большинства компаний в интернете эти данные хранятся в «профиле» — записи или серии записей, содержащих идентификатор, который может использоваться для присвоения записи конкретному лицу. Примерами данных профиля являются ваши публикации в социальных сетях, медицинская история, включая рентгеновские снимки, данные профиля рекламного агентства и так далее. GDPR просто разъясняет (и это разъяснение уже было в предыдущей директиве, которую все проигнорировали), что компания не является владельцем этих данных. Вы — просто их хранитель, а такое хранение возлагает ответственность на вашу компанию. Другими словами, данные являются активом для бизнеса только в том случае, если их стоимость превышает затраты, необходимые для надлежащего управления этими данными. И надлежащее хранение этих данных требует внедрения надлежащих процессов (которые у вас должны быть в любом случае!), в том числе возможности удаления данных по первому требованию пользователя, если только вы не обязаны хранить данные по закону, чтобы разрешить их исправление и предоставление «субъектам данных» (физическим лицам) доступ к данным, которые вы храните на них.
Если это звучит как бремя для вас, то вы правы — это действительно бремя. Но опять же, управление жизненным циклом данных в любом случае имеет смысл. В конце концов, чтобы действовать в интересах своих пользователей, вам и без GDPR следует исправлять неправильные данные и сообщать людям перечень собранных данных по их запросу. И это ключевой вопрос: законодательство ЕС написано с точки зрения граждан ЕС, а не с точки зрения бизнесменов, которые распоряжаются данными по этим субъектам. Их интересы законны, но вторичны.
Типы данных в распоряжении компании в значительной степени определяют бремя GDPR. Обычно чем критичнее данные, тем тяжелее бремя. Таким образом, если данные уже общедоступны, то бремя невелико или вообще отсутствует. Для конфиденциальных данных, такие как медицинские записи или финансовые операции, бремя значительно выше. Хорошая новость в том, что это соотношение было известно задолго до того, как GDPR вступил в силу. Поэтому банки обычно прилагают больше усилий для обеспечения конфиденциальности клиентов, чем магазин электронной коммерции, где вы купили пару носков на прошлой неделе. Конечно, не все банки одинаково заботятся об этом, и некоторым банкам предстоит усилить работу из-за GDPR. И одни больницы, вероятно, справляются с защитой информации лучше, чем другие. Всё то же самое относится к коммерческим предприятиям. Если они навели порядок, автоматизировали процедуры и в целом поставили себя в положение хранителей, а не владельцев данных, то они должны быть в лучшем положении, когда речь идёт о GDPR.
Таким образом, тип хранимых данных имеет большое значение.
Есть ещё данные особого типа PII, сокращение для личной идентифицируемой информации (Personally Identifiable Information). Это любая информация, которая помогает идентифицировать человека. Очевидные примеры PII — полные имена и номера социального страхования. Не очень очевидный пример — IP-адрес. Действительно не очевидный — факт наличия редкого заболевания в сочетании с названием маленького городка, места жительства. И ещё много подобных примеров. Самое просто решение — представить все данные о человеке, как будто это PII. Лучше предпринять излишние меры безопасности, чем потом сожалеть. Но если вам кажется, что к некоторым данным можно относиться проще, то тщательно взвесьте, какие из них следует рассматривать как PII, а какие нет.
Объём данных
Компании с тысячами записей (например, интернет-магазин, регистрирующий каждую продажу) менее подвержены действию нового закона, чем компания с миллионами или миллиардами записей о своих пользователей. Обычно это компании разного размера и им придётся тратить разное количество усилий и нести разное бремя совместимости с GDPR. Да, вышеупомянутое управление жизненным циклом реализуется у них одинаково, но если вы смогли автоматизировать сбор данных, то нет оправдания неспособности автоматизировать управление ими. Это просто издержки бизнеса. Но компании SaaS, которые обрабатывают большие объёмы данных о клиентах, захотят получить максимальную гарантию совместимости, потому что они гораздо более привлекательные цели для хакеров, а это увеличивает риски утечки данных. Обратите внимание, что есть исключения. Например, для хранения бухгалтерской информации у вашей налоговой службы могут быть собственные правила о сроках хранения. Но это бухгалтерия, которая, вероятно, практически не имеет отношения к вашим веб-сервисам, и касается только фактического движения денежных средств.
Размер организации
Бремя соблюдения требований для небольшой организации ниже, поскольку малому бизнесу не требуется отдельный сотрудник по защите данных (data protection officer, DPO) или директор по соблюдению требований (chief compliance officer, CCO), если у фирмы не очень большие объёмы данных или она имеет дело не с самыми конфиденциальными данными. В противном случае у компании, скорее всего, уже есть такой сотрудник, так что закон не вносит особой разницы.
Но очень маленькие компании (скажем, компания из одного человека), которые обрабатывают чрезвычайно конфиденциальные данные, могут рассмотреть наём человека со стороны хотя бы на некоторое время, чтобы убедиться, что они не подвергаются излишним рискам.
Всё в совокупности
Так что если у вас маленькая компания и вы имеете дело с небольшим количеством некритических данных, то влияние GDPR весьма ограничено и с ним легко справиться. Для средней компании, скажем, с 20 сотрудниками в штате и очень важными данными, бремя пропорционально больше. А если вы управляете очень большой компанией, то у вас, скорее всего, уже есть специально обученные люди, которые занимаются вопросами соблюдения законодательства. Закон действительно влияет на всех по-разному, но учитывая важность вопроса, права субъектов данных перевешивают коммерческие интересы компаний. Если есть выгода в сборе данных, то можно приложить усилия для их защиты и правильного хранения. И эта разница в воздействии закона в основном относительная. В абсолютном смысле крупные компании, а также компании с большим количеством данных или критическими данными потратят больше для гарантии соблюдения закона. Просто для меньших компаний влияние GDPR окажется больше по отношению к их общему обороту. Это хорошо известное явление относится ко всем аспектам ведения бизнеса, оно называется «экономия на масштабировании» и является одной из причин, почему программное обеспечение и услуги на основе программного обеспечения настолько прибыльны: экономия на масштабировании просто огромна.
Что больше нельзя делать
- хранить вечно все полученные данные
До сих пор правило по сроку хранения данных о конечных пользователях, похоже, было таким: «Хранить, пока у нас не закончится дисковое пространство». Но диски стали достаточно дешёвыми, чтобы перестать беспокоиться об этом вообще — и просто добавлять данные, ничего не удаляя. Да, вы правильно прочитали: до GDPR у компаний была привычка никогда ничего не удалять. Даже если вы попросили их удалить данные — на что они могут пусть неохотно, но среагировать — в итоге данные просто помечаются как удалённые, но остаются на месте. Теперь такое не пройдёт: если вы запросите удаление данных, его больше нельзя игнорировать — и данные действительно должны быть удалены. Единственное исключение, если по закону вы обязаны хранить данные. Но в этом случае я бы посоветовал хранить их только в архивном хранилище.
Ситуация с резервными копиями немного сложнее — это одна из тех областей, где есть много слухов и опасений, что невозможно обеспечить выполнение закона. Но на самом деле требования очень просты: вы храните ключи удалённых записей в отдельном логе. И если по какой-то причине восстанавливаете с резервной копии, то просто заново воспроизводите запросы на удаление по этому логу, начиная с последнего бэкапа. Таким образом, восстановление резервной копии не может привести к случайному восстановлению удалённых записей. Если есть какие-то опасения в связи с ненадёжностью ключей, то можно просто перезаписать соответствующие данные нулями, чтобы безвозвратно их удалить. Обратите внимание, что это похоже на псевдоанонимизацию, которой в случае с PII недостаточно для соблюдения закона, если удалённые данные можно восстановить при помощи сохранённых данных. Реальное удаление — безусловно наиболее безопасный способ решения проблемы. Это всё с учётом того, что ваши бэкапы правильно зашифрованы, а ключи невозможно восстановить без участия ответственного лица.
- игнорировать запросы пользователей на удаление, исправление или изучение данных
Бремя запросов на удаление, исправление или изучение данных от пользователей (или «субъектов данных») может оказаться довольно значительным. Здесь незаменима автоматизация: самообслуживание и единовременная затрата времени и сил многократно окупятся в последующие годы. Если игнорировать такие запросы, то расстроенный человек (возможно, я) рано или поздно свяжется со своим местным органом по защите данных, чтобы подать жалобу. В первый раз, когда это произойдёт, DPA может проигнорировать жалобу — мне кажется, в ближайшее время они будут очень заняты. Но они вероятно заведут дело. А если дело становится толще, потому что всё больше людей жалуются на вашу компанию, то рано или поздно кому-то поручат поговорить с вами.
Разговор будет примерно такой: «Мы получили несколько жалоб на то, что вы целенаправленно игнорируете законные запросы субъекта данных. Пожалуйста, объяснитесь». После чего вы — как всегда, нагло — объясните, закон слишком обременителен и пошли к чёрту все ваши DPA. Агентство ответит примерно так: «Очень жаль, что вы так считаете, но вы тоже обязаны соблюдать закон, иначе...», где после «иначе» будет предупреждением о том, какой штраф могут на вас наложить, если вы продолжите игнорировать закон. Затем пройдёт некоторое время. Новый пользователь подаёт жалобу. Это добавляют в дело. И при добавлении записи клерк делает пометку, что вы уже предупреждены. Здесь становится интересно. На этот раз DPA, скорее всего, выдаст «обязательное предупреждение» (binding warning) — директиву с предупреждением, что вы игнорируете её на свой страх и риск.
Третьего раза лучше избегать. Вас реально оштрафуют. Можете проигнорировать штраф, потому что ваша компания зарегистрирована за пределами ЕС. Но регуляторы это предусмотрели: для ведения бизнеса в ЕС у вас должен быть «назначенный представитель» (designated representative) в ЕС. Да, вы правильно прочитали. Вероятно, это самое агрессивное изменение, которое мог установить Евросоюз: вы действительно обязаны иметь законного представителя в ЕС. Если ваш бизнес уже там работает, то это будет ваш назначенный представитель. Если нет, то вам придётся его получить. Уже появились компании, которые предлагают такую платную услугу.
Так что как только вас оштрафуют, назначенный представитель будет об этом уведомлён. Скорее всего, у него с вами договор и у него тоже есть представитель в вашей стране. Согласно контракту вы возмещаете представителю в своей стране любые штрафы, собранные через представительство вашего юрлица в Евросоюзе. Таким образом, у вас выбор: бороться с собственным представителем в суде в родной стране или раскошелиться на штраф.
- замалчивать взломы
Люди обычно шокированы, когда узнают статистику по зарегистрированным взломам за последний год. Цифры просто страшные. Они пугают ещё до того, как приходит понимание, что о подавляющем большинстве утечек конфиденциальных данных никогда не сообщают, поэтому они не учитываются в статистике. Так происходит по двум причинам. Во-первых, много взломов не замечают. Во-вторых, даже об обнаруженных не всегда сообщают. По GDPR такое строго воспрещено. Не сообщить о нарушении — одна из худших вещей, что вы можете сделать. Это безответственно по отношению к пострадавшим людям. И это потенциально ухудшает последствия, потому что вы забираете у регуляторов важный инструмент: их способность понять масштаб проблемы, чтобы применить усилия там, где они наиболее эффективны.
Конечно, взлом — это плохой пиар. Но в этом случае есть смысл потратить ещё немного ресурсов на безопасность и уменьшить его последствия. Если вы сделали это, то хотя бы можете ответить чем-то позитивным на обвинения. Ответственное раскрытие информации в случае нарушения будет иметь большое значение для установления вашей добросовестности. Разобраться с проблемой втихаря может сработать, но если вас раскроют, то можете готовиться к наказанию по полной программе.
- считать, что данные в вашем распоряжении принадлежат вам, а не конечным пользователям
Данные, которые вы обрабатываете от имени пользователей, являются их данными. GDPR очень прямо это формулирует. Отсюда и части закона по согласию/удалению/исправлению/изучению (и переносимости данных). В лучшем случае вы — хранитель этих данных, а если пользователи соглашаются на конкретное использование данных, то вам разрешено их обрабатывать. Но это не ваши файлы. Если вы начнёте представлять их своими, то лишь вопрос времени, когда вы совершите какое-то правонарушение. Не делайте так.
- относиться к защите данных как к необязательной процедуре
У компаний довольно странное отношение к безопасности: она трактуется как чистые затраты с нулевой возможностью прибыли — и по возможности игнорируется. GDPR наконец-то даёт специалистам по безопасности реальный «финансовый» аргумент, если руководство игнорирует их доводы. Штрафы GDPR потенциально настолько велики, что обычно привлекают пристальное внимание директора. Большинство компаний не склонны так рисковать. Поэтому менеджеры скорее распорядятся привести в порядок безопасность, чем столкнутся с потенциально очень большим штрафом (даже если шансы на получение такого штрафа невелики). Пусть это и не самый сильный аргумент в пользу безопасности, но лучше, чем ничего. И похоже, что желаемый эффект есть: менеджеры больше не считают безопасность чем-то второстепенным, о чём компания позаботится, когда они уйдут на пенсию.
- продавать данные с концами
Как вы не можете продать чужой автомобиль или дом, нельзя просто взять и продать чужие данные, которые пользователи доверили вам на хранение (или которые вы собираете со своих устройств, в том числе информацию о местоположении и другие ценные вещи). Если хотите продать данные своего пользователя, то нужно получить его согласие. Оно должно быть свободным и даваться для конкретной сделки, то есть с конкретной целью использования этих данных.
Если хотите рискнуть, то можете попробовать получить одноразовый общий карт-бланш вроде «Продажа ваших данных неопределённым партнёрам». Но на месте пользователя я бы, вероятно, не дал такого согласия. Но если — чтобы помочь вашей организации оставаться на плаву — попросить согласия продать данные «компании Pathfinders Inc. для анализа пробок в городе», то я могу согласиться. Так что получите согласие на продажу данных и поищите баланс между многократными запросами с большим процентом согласий — и однократным запросом, на который согласятся немногие. И всегда помните: однажды данное согласие потом может быть отозвано, так что вам следует иметь процедуру, как вы с покупателем данных обработаете этот отзыв согласия.
Конечно, самый простой способ справиться со всем этим — просто никому не продавать данные.
- не получать согласие
Это одна из областей, где формулировки GDPR чрезвычайно точные и ясные: если хотите обрабатывать данные пользователей для какой-то новой цели, то следует получить согласие. Это почти комично, что многие компании внезапно осознали, что рассылают спам большому количеству народа без их разрешения, а теперь — застенчиво и довольно запоздало — выясняют, что наверное надо спросить разрешения, пока срок не вышел, потому что даже такое письмо, вероятно, будет рассматриваться как нарушение закона! (Так оно и будет рассматриваться, по моему мнению). Поэтому не поддавайтесь искушению и не используйте данные, которые у вас уже есть, для совершенно новых целей.
Что придётся сделать
- наладить управление жизненным циклом данных
Как у всего остального, у информации тоже есть жизненный цикл. Бесконечное накапливание — не вариант. Вам нужно планировать, как получать данные, обрабатывать их, хранить, позволять владельцам данных вносить изменения и в конечном итоге — как их удалять. Чтобы быть справедливым к создателям GDPR: вы должны были раньше наладить такие процессы. Даже без всякого GDPR всё равно это должно быть. Просто здравый смысл требует грамотного управления жизненным циклом конфиденциальных данных, и для этого не нужно принимать закон. Подумайте вот о чём: в какой-то момент ваши субъекты данных умрут. Значит, существует по крайней мере одна веская причина, чтобы удалить информацию о конкретном человеке.
- выяснить, какие данные попадают под регулирование GDPR
Звучит просто, но это может стать серьёзным объёмом работы для крупных компаний с большим количеством данных и плохими процессами. Если своевременно не начать, то вряд ли вы успеете в срок до начала действия GDPR [25 мая 2018 года — прим. пер.]. Для каждого набора данных следует определить следующее:
- определить, что конкретно содержится в данных;
- определить соответствие GDPR;
- если данные попадают под GDPR, то принять решение: сохранить их или удалить;
- безопасным образом удалить данные, которые вы не хотите хранить (и обновить соответствующие программы в случае необходимости);
- как вариант, анонимизировать данные таким образом, что их нельзя использовать для идентификации лиц (это намного сложнее, чем может показаться на первый взгляд);
- задокументировать персональные данные, которые остались у вас хранении, и процедуры их обработки.
- убедитесь, что системы защищены
Повысьте защиту компьютерных систем, особенно которые экспонируются в веб. Почитайте статьи на эту тему, найдите в своей компании самого опытного специалиста по ИБ и попросите проанализировать системы с точки зрения безопасности. Реализуйте советы и сделайте безопасность неотъемлемой частью своей компании на всех уровнях.
- раскрыть в политике конфиденциальности все варианты использования собранных данных
Постарайтесь составить краткую, уместную и полную политику конфиденциальности. Если планируете что-то делать с данными, получите согласие и раскройте все варианты их использования в общедоступном документе. При внесении изменений в политику конфиденциальности публикуйте журнал изменений.
- заключайте DPA (соглашения об обработке данных) со всеми, кому передаёте данные для обработки
Абсолютно каждая фирма, которой вы передаёте данные для обработки, должна иметь специальный договор с вашей организацией, называемый DPA (Data Processing Agreement), без исключения. Если кто-то не хочет подписывать DPA, откажитесь от сотрудничества с такой фирмой. Если вы не чувствуете себя в безопасности, предоставляя фирме доступ к своим фамильным бриллиантам, не нужно с ней сотрудничать. Если чувствуете, что можно обойтись без этой конкретной службы, откажитесь от сделки. На сегодня самый простой способ справиться с рисками третьих лиц в отношении данных, которыми вы распоряжаетесь, — это обеспечить, чтобы данные никогда не покидали ваши помещения. Если этого не избежать, то убедитесь, что DPA выполняется должным образом. И что контрагент справится с отзывом согласия после передачи данных. И что он ни при каких обстоятельствах не передаст данные другим без вашего явного согласия (в письменной форме!).
- раскройте компании, с которыми у вас есть DPA
Сообщите пользователям, какие компании обрабатывают данные от вашего имени. Уместно упомянуть это в политике конфиденциальности.
- получить согласие пользователей на использование их данных
Прежде чем вы сможете использовать данные, предоставленные физическими лицами, вы должны получить их согласие. Это не просто хорошие манеры, это жёсткое требование. Это касается первоначального использования данных после сбора и всех последующих видов использования.
Поэтому если у вас есть блестящая новая идея, которая приведёт к новому использованию уже собранных данных, то придётся обновить политику конфиденциальности и повторно получить согласие.
- запланировать отзыв согласия
Согласие может быть не только дано, но и отозвано. И этот вывод также влияет на отношения с субподрядчиками — теми, кто обрабатывает данные от вашего имени. Отозвать согласие должно быть не сложнее, чем дать его.
- немедленно сообщать о взломах, превышающих порог значимости
Если в системе есть нарушения, которые превышают порог значимости для отчётности (который очень низкий!), то немедленно сообщите об этом. У вас есть 72 часа. Для протокола реагирования гораздо безопаснее разглашать информацию в первый день, а не ждать до последнего момента, потому что любая помеха в процессе подготовки отчёта замедлит вас и приведёт к срыву дедлайна. Если вы имеете дело с очень конфиденциальными данными, то всегда сообщайте о взломе, даже о маленьком. Ущерб субъектам данных может быть существенным, что увеличивает вероятность обращения в местный орган по защите данных. А если орган не найдёт ваш отчёт об инциденте, то у вас возникнет довольно большая проблема.
Что, вероятно, следует сделать
- хранить данные в офлайне, если они не нужны в онлайне
Если вам не нужны данные прямо сейчас и в реальной системе (например, данные важны в исторической перспективе, но не являются частью текущего набора данных), то лучше переместить их в автономные системы. Таким образом, в случае взлома ущерб будет ограничен.
- действуйте добросовестно, старайтесь уважать дух закона
В последнее время мне встречалось много людей, которые пытались схитрить и найти лазейку в GDPR, чтобы продолжать бизнес как раньше. Некоторые лазейки ужасны и притянуты за уши, другие более разумны, но всё же явно противоречат духу закона. Если вы согласны на рассмотрение спорного вопроса в суде, то можно рискнуть. Но если ваш бюджет ограничен и вы не хотите получить штраф или ввязаться в дорогостоящий судебный процесс, пожалуйста, действуйте добросовестно. Иначе потом будет очень сложно убедить регуляторов, что вы не намеревались сделать ничего плохого.
- в первую очередь учитывайте интересы своих пользователей («субъектов данных», «индивидуумов»)
Если вы ставите свои интересы выше интересов людей и используете их данные как свои, то поступаете неправильно. Представьте, что одолжили эти данные на время — и будьте для них хорошим хранителем. Если учитывать в первую очередь интересы пользователей, то проявляются дополнительные побочные эффекты. Например, пользователи будут счастливы. А это в конечном итоге хорошо для бизнеса.
- удалить данные, которые больше не используются
Если у вас есть данные, которые больше не представляют интереса, не держите их «на всякий случай». Лучше избавиться от них. Это значительно ограничит ущерб. Взлом — это уже плохое событие, не нужно ухудшать ситуацию утечкой данных, которые вы не использовали. Газеты любят большие числа. Если вы потеряете много данных, то легко можете предстать в худшем виде на первых страницах новостей. Обрабатывайте данные как ядерные отходы: избавляйтесь от них как можно скорее.
- используйте GDPR как возможность
Если десять компаний предлагают одну и ту же услугу, и только одна из них решила соблюдать GDPR и на самом деле относиться ко всем клиентам (и их данным) с надлежащей заботой и уважением, то в краткосрочной перспективе другие девять получат преимущество. Ведь они не понесли затраты на соблюдение закона — и могут потратить эти ресурсы на функциональность сервиса и маркетинг. Но я думаю, что в долгосрочной перспективе выиграет компания, которая поставила высокую планку. Она не будет подвергаться штрафам, сможет продать свой продукт еще 100 миллионам клиентов и сможет использовать свое соответствие GDPR в качестве простого конкурентного преимущества. Гораздо ниже вероятность утечки данных (что приводит к существенному ущербу для бренда), а доверие пользователей, соответственно, выше.
- ежегодные пентесты и аудит
Хорошая практика — попросить посторонних испытать ваши системы на прочность, чтобы убедиться в их безопасности. Это относительно дорогостоящее мероприятие и, вероятно, недоступное для большинства маленьких компаний. Но если у вас достаточно большой бизнес, то это безусловно поможет вам хорошо спать по ночам. В конце концов, если ваши двери прочнее, чем у соседей, то воры скорее пройдут мимо. Поэтому не рассматривайте безопасность как абсолютную вещь (нет такого понятия, как идеальная безопасность), а относитесь к ней как к относительному понятию: необязательно быть быстрее тигра, нужно лишь обогнать парня, который бежит рядом.
- если компания достаточно велика, есть смысл получить сертификат ISO27001
Сертификация ISO27001 не гарантирует соответствия GDPR. Однако несоблюдение GDPR (на данный момент) — довольно хороший признак несоответствия ISO27001, потому что хотя ISO27001 не касается конфиденциальности напрямую, но требует наличия существенных процессов вокруг безопасности. А это, в свою очередь, значительно уменьшит шансы подвергнуться взлому и связанной с этим обязательной отчётностью. Компании с сертификатом ISO27001 обычно не испытывают проблем с соблюдением законодательства о конфиденциальности. Оно заставляет вас представлять данные как обязательство, а не актив, и конкретно такое мышление необходимо, когда вы имеете дело с данными конечных пользователей.
- прочитайте закон хотя бы раз или попросите сделать это одного из сотрудников
Чтение закона — это реальная работа. Если вы не юрист, то вам понадобится целый день, а то и больше. Это полезно, потому что в законе много полезной информации, чтобы сформировать целостную картину, что реально представляет собой закон, как он применяется к вашему бизнесу, а также к вам в качестве частного лица, чьи данные обрабатываются и хранятся другими компаниями. Если у вас нет времени на это (хотя лично я считаю, что каждый владелец бизнеса должен найти время, чтобы прочитать достаточно компактный документ, который может повлиять на их бизнес), то поручите задачу сотруднику или хотя бы прочитайте отличную статью в Википедии о GDPR, чтобы разбираться в условиях, намерении и общей области применения GDPR. Это поможет в обсуждениях и в определении влияния закона на ваш бизнес.
- сократите количество участников, которым вы отправляете данные пользователей
Чем больше участников получают данные ваших пользователей, тем выше вероятность сбоя. Здесь вдвойне важен принцип сведения ущерба к минимуму, который мы обсуждали в разделе об удалении ненужных данных. Примером может служить компания, которая обрабатывает медицинские данные о пациентах на стационарном лечении. Вы можете внедрить тег аналитики от сторонней компании на страницы, где происходит сбор данных. Но ваша потребность в аналитике никоим образом не перевешивает потребности пациентов в конфиденциальности данных. Поэтому лучше просто удалить этот тег. Это может представлять некоторое неудобство, но это гораздо предпочтительнее утечки данных.
Лучше всегда держать в голове минимальную модель влияния GDPR на ваш бизнес. Так гораздо проще определять, где и как бизнес должен адаптироваться к новому законодательству. В целом это хорошая практика — иметь такую модель в голове, когда начинает действовать какое-то новое важное законодательство. Если бизнес достаточно серьёзный, то можете воспользоваться услугами юриста с опытом работы в данной области (защита конфиденциальных данных), но даже в этом случае хорошо знать основы — и прочитать текст закона.
Что, вероятно, не следует сделать
- притворяться, что не знаешь о законе и надеяться, что он исчезнет
Игнорирование закона никогда не является хорошей защитой. Вы выглядите глупым и беспечным, выбирая самый простой способ защиты от каждого закона, который не хотите соблюдать. Притвориться, что не знаешь о нём — и проблема исчезнет. Как правило, так поступают маленькие дети, закрывая глаза: «Я тебя не вижу, поэтому ты не видишь меня». Это не работает у малышей и не будет работать у вас.
- предположить, что закон не применяется к вам без надлежащего исследования
Есть исключения из правил. Вы можете прочитать о них и выяснить, применяется к вам закон или нет. Исследовав вопрос должным образом, вы можете выяснить, что закон на самом деле распространяется на вас, хотя вы думали, что не распространяется — или наоборот. В любом случае, знание — это сила. В одном случае вы будете предупреждены, а в другом будете знать, что находитесь в безопасности.
- изобразить из себя юриста и попытаться избежать соблюдения закона
Я видел много таких случаев: люди не потрудились прочитать закон или ищут только одну строчку, которая поможет оправдать свою позицию. Это глупо и, скорее всего, приведёт к серьезному разочарованию. Если вы прочитаете закон и получите некоторое представление о нём, то увидите: он написан так, что даёт большую свободу для толкования. Это хорошо, даже если вы хотели, чтобы всё было конкретно прописано. Почему это хорошо? Потому что так регуляторы могут карать тех, кто пытается использовать максимально узкое толкование, игнорируя дух закона.
Такая стратегия узкого толкования работает в некоторых странах (в частности, в США), но в Европе она вообще не работает. Пожалуй, это самое серьёзное различие двух правовых систем, и очень важное. Если соблюдать дух закона, но нарушать букву, то почти всегда с вами всё будет в порядке. Если вы очень стараетесь соблюдать букву, в то же время игнорируя дух закона, то врежетесь в стену, и очень больно врежетесь.
- сознательно нарушать закон
Это очевидно, но я всё-таки напишу на всякий случай: не нарушайте закон сознательно. Если вы это сделаете, то настроите себя на будущий провал. Либо соблюдайте закон, либо закройте свой сервис для Евросоюза (если вы действительно можете это сделать, что, как я уже говорил, трудноосуществимо).
Если у вас действительно глубокие карманы и вы готовы обратиться в суд, а затем, в конечном итоге, в Верховный суд Евросоюза, чтобы оспорить закон или его отдельные аспекты, то вам придётся нарушить закон, чтобы сознательно бросить вызов регуляторам. Но для большинства обычных компаний это не вариант. Лучше оставить такие приключения гуглам и фейсбукам.
Что упростит вашу жизнь
- применять принципы GDPR во всём мире
Обратите внимание, что это имеет смысл делать даже в отсутствие закона. Просто теперь, когда закон существует, эти принципы помогут вам улучшить свою систему безопасности и в далёкой перспективе покажут вашу приверженность интересам пользователей.
Часто задаваемые вопросы по GDPR
Ещё раз: это не юридическая консультация, хотя подозрительно похожа на неё. Если вы собираетесь реализовать на практике что-либо из прочитанного, представляйте мою интерпретацию закона как 80% того, что вам нужно знать, если хотите минимизировать свои риски. Любой совет стоит столько, сколько вы за него заплатили, а в данном случае вы абсолютно ничего не платите. Тем не менее я как мог постарался не нести чепуху. Покупатель, будь бдителен!
- Нужен ли мне (специальный) сотрудник по защите данных?
Это зависит от размера организации, типа данных и объёма имеющихся данных. Если обработка данных пользователей — ваш хлеб с маслом, а количество и вид данных указывают на существенный риск в случае утечки, и ваша организация достаточно велика, то скорее всего ответ «Да, нужен». Таким образом, медицинские, финансовые и рекламные компании любого размера почти наверняка потребуют наличия специального DPO. Если ваша компания обрабатывает очень мало данных (скажем, тысячи записей) и данные не являются сверхкритичными (скажем, вы продаёте одежду в интернете), то можно обойтись назначенным DPO, то есть нужно назначить роль DPO какому-нибудь сотруднику, который выполняет другие обязанности. Это не идеально, и придётся позаботиться, чтобы у DPO была достаточная независимость. Если вы вообще не обрабатываете данные пользователей, то вам не понадобится DPO.
- Нужен ли мне назначенный представитель ЕС?
Если вы ведёте бизнес в ЕС, но находитесь за пределами ЕС, то да, по GDPR вам понадобится назначенный представитель. Это, безусловно, бремя. И я искренне надеюсь, что свободный рынок доведёт стоимость этой услуги до такого уровня, что даже самые маленькие предприятия смогут позволить себе её без проблем.
Функции представителя:
- уполномоченный агент по получению юридических документов;
- субъект исполнительного производства в случае несоблюдения компанией требований;
- прямой контакт с властями
- прямой контакт с субъектами данных в связи с их обработкой.
Если считаете это несправедливым, то имейте в виду — норма всего лишь устанавливает равные правила игры для компаний из Евросоюза и из-за рубежа. Несправедливость в том, что компания из ЕС не несёт дополнительной нагрузки для наличия зарегистрированного представителя, ведь они представляют сами себя. Альтернативой может стать взаимное признание законодательства, примерно как с нарушениями ПДД в странах ЕС. Государства-члены согласились между собой признавать штрафы за превышение скорости и парковку и собирать эти штрафы для своих иностранных коллег. Но пока GDPR действует только в Евросоюзе, взаимное признание не вариант. Если со временем другие регионы примут аналогичное законодательство, то можно заключить соглашения о взаимном признании, и тогда отпадёт необходимость в местном представителе.
- Что будет, если я проигнорирую GDPR и просто продолжу бизнес как раньше?
Это очень опасный вопрос. Последствия во многом зависят от вашей деловой практики. Если вы исключительно добросовестно обращаетесь с пользовательскими данными, а все или большинство необходимых процедур уже реализованы, но вы ничего не изменили после вступления в действие GDPR, то привлечёте некоторое внимание. Вероятно, регуляторы получат смутное понимание этого, если им потребуется с вами взаимодействовать. Если вы действительно маленькая компания (скажем, приватный форум с несколькими сотнями постоянных посетителей), то можете даже избежать последствий. Но я бы не советовал такую стратегию. Проблема может возникнуть всего из-за нескольких сердитых пользователей, которые сообщат о вас в своё агентство DPA, если вы не выполните законные запросы. И вам будет трудно объяснить, почему вы решили игнорировать закон. Вы можете затянуть время о понадеяться на удачу, но если я что-то и понял за многие годы работы с коммерческими компаниями, так это что отсутствие стратегии настолько же глупо, как недооценка конкурентов.
Бремя соблюдения закона определённо выше для более-менее серьёзной компании. Но опять же, это открывает дорогу к аудитории из 300+ миллионов человек. Не грех приложить некоторые усилия для такой цели. А что может служить лучшим сигналом о вашей надёжности, чем уважение персональных данных ваших клиентов?
- Можно ли хранить IP-адреса?
Да, можно, но в некоторых случаях они относятся к PII, и хотя все программы по умолчанию регистрируют IP-адреса, но если они вам действительно не нужны, то лучше обойтись без них. Если же они нужны, то убедитесь в их удалении или обнулении последнего октета, когда необходимость в этих данных исчезнет. Как вариант, обновляйте логи достаточно быстро, чтобы данные не хранились там дольше положенного срока.
- Можно ли делать маркетинговые почтовые рассылки?
Да, можно, при условии получения соответствующего согласия. Но после 25 мая нельзя рассылать письма с просьбой дать такое согласие. Любые адреса, которые вы собрали без согласия пользователей, должны считаться утерянными. Как правило, такие сообщения, классифицируемые как «спам», запрещены к отправке частным лицам.
- Можно ли поставить флажок, позволяющий пользователям отказаться от своих прав по закону GDPR?
Нет, ни в коем случае.
- Следует ли нанять юриста?
Если можете себе это позволить, обязательно! Но обязательно получите рекомендации, прежде чем вступать в договорные отношения с кем-либо.
- Нужно ли проходить сертификацию ISO27001?
ISO27001 не имеет прямого отношения к GDPR. Тем не менее, эта сертификация затрагивает многие вопросы, которые возникнут в случае взлома: например, предприняли ли вы всё возможное для его предотвращения. Сертификация ISO27001 по сути является внешним контролёром, которые проверяет вашу домашнюю работу. Конечно, после этого всё равно возможна утечка данных, она может стать результатом работы инсайдера или оплошности. Но по крайней мере вы сделали всё возможное, чтобы её избежать.
Еще одно преимущество сертификации ISO27001 в том, что на данный момент она выступает как некий косвенный показатель (прокси) соответствия GDPR. Партнёры будут вести бизнес с вами в новом правовом климате, если вы получили этот сертификат, потому что они будут считать, что у вас всё в порядке.
Недостаток в том, что такой аудит не из дешёвых (его могут позволить себе только достаточно крупные организации), и что затраты будут регулярными (аудит проводится ежегодно).
- Как я могу достоверно определить, является ли пользователь резидентом ЕС?
Если кратко, то никак. Да, вы можете спросить, но пользователь может соврать. Есть библиотеки для геотаргетинга, но они не абсолютно надёжны: кто-то может использовать прокси-сервис, спутниковую связь и так далее. Это досадно, но вы не можете со 100% уверенностью определить, где находится человек.
- Следует ли внедрить на сайте отдельные системы для жителей ЕС и остального мира?
Вы могли бы сделать это, но это слишком трудоёмкая задача. В конце концов, разве вы не хотите проявить вежливость ко всем остальным пользователям, кроме жителей Евросоюза? Кажется абсолютно пустой тратой ресурсов поддерживать две системы только ради того, чтобы лишить пользователей за пределами ЕС каких-то полезных возможностей. Лично я бы использовал этот случай для пиара: громко и ясно рекламировал, что пользователи со всего мира получают тот же уровень защиты и тот же уровень контроля над своими данными, что и граждане ЕС. Возможно, это поможет вам в конкурентной борьбе, если конкуренты не сделают так же. И наоборот, это может сработать против вас, если конкурент решит пойти по такому пути.
- Что насчёт моего «любительского проекта»?
GDPR не различает хобби и бизнес, что мне кажется правильным. Не имеет никакого значения, воспринимаете вы свой проект как хобби или нет. Как только вы начнёте сбор данных о частных лицах из ЕС, директива начнёт действовать — и вам придется соблюдать законодательство.
- Что насчёт проекта с открытым исходным кодом?
Программное обеспечение с открытым исходным кодом — это не услуга, а программное обеспечение. Пока вы просто пишете программное обеспечение и распространяете его, не собирая данные о пользователях, ваши действия не входят в область действия GDPR. Как только вы запускаете онлайн-сервис, используя программное обеспечение, которое написали сами — даже с открытым кодом — ваш проект входит в область GDPR.
- Что насчёт… [вставьте сюда какую-то дикую пограничную ситуацию]?
Есть много пограничных случаев, слишком много, чтобы перечислять их здесь, но давайте возьмем тот, который встречался мне несколько раз.
Если вас волнует, как среди пользователей выявлять резидентов ЕС, которые находятся за границей, то вы волнуетесь не о том, о чём нужно. Законодатели ЕС и агентства по защите данных не собираются выпрыгивать из кустов возле вашего дома, чтобы оштрафовать вас в таких ситуациях. Но вы всё равно должны рассматривать запросы на удаление, доступ и редактирование данных от этих пользователей (и, вероятно, от всех других), как будто это законные запросы. В конце концов, зачем их игнорировать?
Есть большая вероятность, что выйдет третья часть этой статьи, я пока не решил, статьи отнимают много времени.
Комментарии (39)
maslyaev
23.05.2018 18:20GDPR создан безусловно с благими намерениями. Благими намерениями, как известно, выстлана дорога в ад. Вангую, что ад GDPR будет очень некомфортным для всех.
AlePil
24.05.2018 16:21Не надо ванговать. Все нормально проходит и будет проходить дальше нормально.
maslyaev
24.05.2018 17:42+2Защита данных — весьма хитрая задача. Информация обладает свойством сверхрекучести, и если в периметре есть хотя бы микроскопическая дырочка, данные через неё утекают почти мгновенно, и притом сразу все. Это факт, который можно отказываться принимать, но от факта принятия реально ничего не изменяется. Надёжные периметры создавать можно, но это очень затратно и очень неудобно. GDPR требует, чтобы были созданы миллионы надёжных периметров. Чтобы наш сильно информационно связный мир был расчерчен миллионами глухих заборов. Невзламываемых. По ходу дела, GDPR — один из тех законов, которые невозможно исполнить.
Мы здесь в России знаем, что бывает когда принимается закон, который невозможно исполнить. У нас половина законодательства такая. Ну ладно, не половина, но всё же существенная часть. А случается вот что: закон в силу объективных причин нарушается примерно всеми, и реально работает только как инструмент полицейского произвола. То есть нарушают все, а привлекаются к ответственности только те, кому не повезло быть слишком вкусными. Или кому просто не повезло оказаться в неправильном месте в неправильное время.
Ад с точки зрения бизнеса: теперь все становятся преступниками, и только молитва правильным богам (а также регулярно заносимые тортики) поможет избежать драконовских штрафов. Розовые сопли типа «будем паиньками и сделаем как положено по закону» — в пользу бедных. Полностью законопатить все дырки не удастся никому. У малых бизнесов на это нет ни специалистов, ни оборудования, ни банально денег, а у крупных бизнесов слишком велик периметр.
Ад с точки зрения нас, физиков: существенное снижение удобства при существенном возрастании стоимости. Если смотреть на динамику применения российского закона о персональных данных, то если раньше подписывать бумажку-согласие нужно было только в редких случаях (например, при оформлении кредитки), то теперь кипу бумаг нужно подписывать даже для того, чтобы ветеринар посмотрел, что за прыщик вскочил у собачки. Если дальше так дело пойдёт, скоро будем подписывать договор и согласие на обработку персональных данных чтобы купить жвачку в ларьке. Естественно, жвачка эта будет уже не полдоллара.
Кроме того, GDPR даст ложное ощущение защищённости. Мне кажется, лучше знать о своей беззащитности перед big data, чем быть беззащитным (см. выше про сверхтекучесть информации), но об этом не знать.
Ад с точки зрения властей: в условиях, когда есть закон, который охватывает всех, и который невозможно исполнить, ситуация быстро станет неуправляемой. Расцветёт коррупция. Начнёт перекидываться на другие сферы. Практика избирательного применения закона разъест саму основу знаменитого европейского законопослушания.
Несомненно, то, что творится с персональными данными — форменное безобразие. Но, ребята, нельзя же подходить к решению задач так тупо. Типа «а давайте законодательно запретим зиму, и не нужно будет покупать шубу». Прям как дети, ё моё…AlePil
25.05.2018 10:18Интересно почитать вашу точку зрения, но…
Я занимаюсь «проблемой» GDPR уже почти два года, я знаю людей, которые принимали непосредственное участиеЮ со стороны Италии, в разработке данного Регламента с самого начала. GDPR не говоорит о том, контроллер или процессор долже гарантировать на 100%, что данные клиента-физика никуда не убегут. Это глупо и все это понимают. Регламент говорит о процедурах хранения и обработки данных, о том, что контролллер обязан уведомлять физика как, почемуу, и кем будут обрабтываться его данные и кому и при каких условиях они будут переданы и зачем. Регламент обязывает принимать адекватные меры по защите данных физических лиц. Среди мер, которые регулятор называет оязательными — регулярные бэкапы, антивирус и файрвол. Этого не было ранее? Национальные законодательства стран ЕС уже имели схожие нормы, которые так или иначе действовали, Регалмент просто-напросто унифицирует законодательство и вводит некоторые дополнительные обязательства, главным из готорых является составление регистров обработки данных. Этои регистры делаются за пару человеко-часов, и они не для всех обязательны, что тоже стоит заметить.
<<<GDPR требует, чтобы были созданы миллионы надёжных периметров.
Я не знаю откуда вы это взяли. GDPR требует, что бы госучреждения и иные лица, занимающиеся обработкой персональных данных физических лиц, принимали минимальные меры по защите того, что они обрабатывают, а также имели четкую схему обработки и, что не мало важно, уничтожения этих данных, когда они больше не нужны. Большинство норм Регламента, я повторяюсь, уже были в действии и уже так или иначе выполнялись. Пройдет пару месяцев, отретушируются документы, которые подписывает физик, обновятся антивирусы и сетевые политики и все мягко забудут про весь этот хайп.
Не стоит нагнетать там, где надо просто пару раз вдумчиво и с карандашом почитать один документ.maslyaev
25.05.2018 14:00контроллер обязан уведомлять физика как, почему, и кем будут обрабатываться его данные и кому и при каких условиях они будут переданы и зачем
Обязан соврать в каждом пункте. Контролер не имеет сколь-либо приемлемо качественной информации по каждому из этих пунктов. Он может говорить о своих текущих намерениях, но насколько эти намерения соответствуют действительности и не поменяются ли они завтра, через месяц, год или десять, он не может иметь ни малейшего представления.
Все сервисы, на которые я подписан, дружно поприсылали мне изменения в Privacy Policy. Если честно, не читал ни одного, даже на свой интерес к этой теме. Мне слишком грустно смотреть на то, как люди под принуждением дают заведомо невыполнимые обещания.
… что не мало важно, уничтожения этих данных, когда они больше не нужны
Это вообще смешной пункт. Кажется, историю с «забыть Герострата» ещё в Древней Греции проходили, но народ, кажется, вообще ничему не учится. Информацию. Вообще. Никак. Невозможно. Уничтожить. Точка.
Если немножко зажмуриться, всё это, конечно, выглядит достаточно невинно. Мы, лягушки, сидим в кастрюле, и температура воды поднимается всего на пару градусов. Но что-то подсказывает, что самая правильная с точки зрения выживания стратегия — устраивать переполох на полную катушку при любом повышении температуры воды.Kanut79
25.05.2018 14:24Контролер не имеет сколь-либо приемлемо качественной информации по каждому из этих пунктов
Контролёр не знает кому и с какими целями лично он передаёт данные? Ну тогда правильно что такого контролёра оштрафуют.
Он может говорить о своих текущих намерениях, но насколько эти намерения соответствуют действительности и не поменяются ли они завтра, через месяц, год или десять, он не может иметь ни малейшего представления
Если он не знает свои текущие намерения, то опять же правильно что такого контролёра оштрафуют. А если в будущем у него намерения поменяются, то он должен заново сообщить об этом пользователю и спросить у пользователя разрешения использовать данные для своих новых намерений.
Это вообще смешной пункт. Кажется, историю с «забыть Герострата» ещё в Древней Греции проходили, но народ, кажется, вообще ничему не учится. Информацию. Вообще. Никак. Невозможно. Уничтожить. Точка.
Вы как сервис должны уничтожить те данные, которые хранятся у вас. Если вы данные давали кому-то ещё, то вы должны затребовать чтобы он тоже позаботился об их удалении. Если он этого не сделает, то оштрафуют его, а не вас. В чём проблема?
Если немножко зажмуриться, всё это, конечно, выглядит достаточно невинно. Мы, лягушки, сидим в кастрюле, и температура воды поднимается всего на пару градусов. Но что-то подсказывает, что самая правильная с точки зрения выживания стратегия — устраивать переполох на полную катушку при любом повышении температуры воды
Ну так и расскажите мне пожалуйста, какие конкретно минусы по вашему с этого закона получает «лягушка», читай средний обыватель.
Единственное что вижу я теоретически возможное повышение цен на услуги. Но на мой взгляд даже если такое и произойдёт то оно того стоит.
Возможно ещё что GDPR ускорит централизацию и консолидацию в сфере онлай-бизнеса. Ну так это всё равно происходит и от этого никуда не денешься. Да и само по себе ничего плохого это не несёт.
ZyXI
24.05.2018 00:40Надо просто принять закон, обязующий компании хранить все полученные данные о пользователях неограниченное время. Тогда все находящиеся в стране, принявшей закон, компании получат (частичную) защиту от GDPR (а сама страна получит ухудшение репутации и, может быть, что?то ещё похуже). Как думаете, кто?нибудь так сделает?
Kanut79
24.05.2018 15:25Ну для того чтобы это работало компания должна как минимум находится под юрисдикцией этой страны. И даже если такая страна вдруг найдётся, я всё же очень сомневаюсь что это будет одна из стран, куда фирмы захотят «переехать». И даже если какие фирмы и переедут, то я сомневаюсь что пользователи будут охотно работать с такими фирмами. Так что особой пользы в таком хаке я не вижу.
ZyXI
24.05.2018 23:37Туда можно отлично перетащить archive.org. И хостинги для всякой мелочи (блоги, сайты?визитки, …). Если результат будет удобнее, то пользователи будут вполне охотно работать.
Kanut79
24.05.2018 23:48Это гики может там будут охотно работать. А средний обыватель скорее всего побоится. Особенно если ему по телевизору покажут парочку страшных передач о защите персональных данных и нехороших странах, которые обходят европейские законы:)
numitus2
24.05.2018 03:05Получается что если ко мне(владельцу сайта) придёт полиция что бы я дал им данные злоумышленника(например постил детское порно), то у меня может не остаться этих данных?
ZolDoR
24.05.2018 15:10Данные можно (иногда нужно) хранить для соответсвия законодательству.*
*не юристnumitus2
24.05.2018 15:27Блин. Ну если я удаляю какие-то данные то я автоматически не могу представить их следствию и это например переписка, история авторизаций, ip. Если все это не будет удалятся то в чем смысл закона? Если я удаляю письмо с gmail то по GDRP он должен быть затёрт нулями, но потом следствие не получит эти данные.
Kanut79
24.05.2018 15:35Ну если я удаляю какие-то данные то я автоматически не могу представить их следствию
А вы обязаны по закону предоставлять их следствию? В течении неограниченного срока? Хотелось бы мне узнать что это за закон такой :)
А если вы обязаны предоставлять их скажем в течении трёх лет, а пользователь хочет их удалить, то вы храните их три года в соотвествии с законом и удаляете потом.
numitus2
24.05.2018 16:18Ну насколько я знаю не обязан но по факту обычно владельцы сайтов сотрудничают со следствием. К тому же гугл приходят письма из суда об передаче переписки определенных людей.
Kanut79
24.05.2018 16:37Ну никто вам и не мешает дальше сотрудничать. Но если вы данные стёрли не нарушая никаких законов, то и к вам никаких претензий со стороны следственных органов быть не может.
NeoCode
24.05.2018 08:16Как насчет децентрaлизованных пиринговых сетей, tor, i2p и т.п.?
Еще непонятно при чем тут форумы. Если форум хранит ники и хеши от паролей — это разве персональные данные?
Andrey_Epifantsev
24.05.2018 09:27В контексте этого закона, как лучше поступить:
- Включить резгистрацию пользователей в моём блоге, чтобы они могли оставлять комментарии.
- Запретить регистрацию и позволить оставлять анонимные комментарии.
- Или вообще запретить комментирование? Но это будет как-то совсем грустно.
T-362
24.05.2018 11:26- Встроить стороннюю систему комментариев, типа disqus (а дальше пусть они парятся).
- Сделать регистрацию, требующую только логин, пароль и почту (указать что почта используется «для уведомлений об ответах на ваши комментарии», если такой функционал вообще есть, отдельный бонус за необязательную почту).
- Анонимные комментарии с капчей.
Loki3000
24.05.2018 11:30Встроить стороннюю систему комментариев, типа disqus (а дальше пусть они парятся).
По итогу получается еще больший геморрой: ведь в этом случае твой сайт передает информацию о пользователе третьим лицам (сервису комментариев). Так что вместо упрощения придется еще больше обрасти всякими галочками и подтверждениями.T-362
24.05.2018 11:47Да в принципе нет — они сами об этом говорят —
In most all cases, unless a publisher integrates Disqus with their own user management system through Single Sign-On (SSO), users sign-up and login to comment through Disqus. This makes Disqus a controller and we are taking necessary steps to ensure we have lawful basis for the collection of personal data that is necessary for using Disqus to comment on publisher sites.
иPublishers may receive questions from visitors of their site about the data that Disqus may store about them. Publishers can refer these users to us at disqus.com/support/.
В любом случае у них наверняка уже есть боилерплейт со всеми подтверждениями с легкой интеграцией в сайт.
Andrey_Epifantsev
24.05.2018 11:48А логин, почта и пароль не являются персональными данными подпадающими под действие закона?
T-362
24.05.2018 12:17loki3000 neocode — главная проблема что логин, если его кто-то видит вообще, МОЖЕТ БЫТЬ персональными данными. Никто не остановит талантливых личностей от вписывания в логин своих имя-фамилию-паспортныеданные.
Так как нам можно использовать деперсонализированные данные то наиболее дуракостойкий подход видится таким —
- логин, для входа — храним от него соленый хеш, и, например первые-последние пару символов что-бы показывать в профиле пользователя только ему самому,
- дисплей нейм — имя, которое видят все, для этого нужно добавить «consent» что пользователь согласен, что оно будет показываться на комментарии, в профиле и прочих местах (количество коих лучше уменьшить),
- почта для восстановления пароля — аналогично — хеш и пару начальных-конечных символов,
- опционально — почта для контакта — опять-же описываем как она будет использоваться, можно просто сделать галочкой для предыдущего поля, и сохранять почту еще и текстом если пользователь подтверждает согласие,
- пароль — тут все стандартно, никто не хранит пароли плеинтекстом,
Loki3000
24.05.2018 11:23Мне вот непонятно: типичная регистрация на сайте содержит логин, пароль, email. Если я правильно трактую статью, то логин и email подпадают под действие этого закона. Так и есть? И что делать в этом случае? Спрашивать пользователя можно ли хранить его регистрационные данные?
NeoCode
24.05.2018 11:56Я бы тоже хотел знать является ли логин персональными данными. Это же просто рандомная строка, которую просто придумывают...
Kanut79
24.05.2018 13:32Исходите из такого принципа: к любым данным, которые теоретически могут представлять из себя персональные данные, стоит относится как к персональным. Логин и мыло теоретически могут содержать имя и фамилию человека. Следовательно они теоретически могут быть персональными данными.
NeoCode
24.05.2018 15:08Я могу на анонимный форум или доску выложить свои (или даже чужие) персональные данные. Получается что любая(!) информация, вводимая пользователями, должна рассматриваться как потенциально содержащая персональные данные?
Kanut79
24.05.2018 15:15Я конечно могу ошибаться, но насколько я понял GDPR, если вы знали что выкладываете данные в открытый доступ, то в таком случае это уже ваши личные проблемы.
GDPR же рассмартривает данные которые вы даёте(или с точки зрения GDPR «одалживаете») онлайн-сервису потому что сервис считает что эти данные нужны ему для работы.
П.С. Hо если вам хочется интересную головоломку, то можете подумать как быть с данными, которые люди пересылают друг-другу в различных мессенджерах и приватных чатах :)smiHT
24.05.2018 17:20По мессенджерам и чатам на первый взгляд все просто: все логи также являются собственностью пользователей, которые хранит компания-оператор средства общения. То есть, если кто-то потребует удаления своих данных, то и все логи должны быть удалены. Хотя моменты тоже есть. Например, является ли диалог собственностью двух пользователей, или каждого по отдельности? Если один будет настаивать на удалении лога, а второй захочет его сохранить, должен ли диалог удалиться полностью, или только реплики отдельного участника? Но обычно все же сервисы прописывают в соглашениях с клиентами возможность «отказа от предоставления услуг без объяснения причин», поэтому, наверное, лучше удалить лишнее, чем оставить что-то сомнительное. Впрочем, могу ошибаться, нюансов действительно много.
smiHT
24.05.2018 17:12Речь идет об информации, которая собирается СОЗНАТЕЛЬНО. Приведу примеры.
Ситуация 1. Если на сайте есть форма, где нужно заполнить имя, адрес, телефон, почту — то эти данные подпадают под GDPR без сомнения.
Ситуация 2. Кто-то ведет блог на вашем сайте, где упоминает данные неких третьих лиц. Логично, что и вам, и автору контента хочется, чтобы публикация была доступна всегда и в будущем на нее можно было бы ссылаться, поэтому настраивать автоматическое удаление публикаций (представим на секундочку, что это сделают на Хабре) — не вариант. Также логично, что формат блога не предусматривает обязательное появление в нем чьих-то персональных данных, но не может гарантировать, что там не будет, например, фотографий с третьими лицами или упоминаний их имен-фамилий. То есть, они все же могут там появиться.
В чем же разница между 1 и 2? Дело в том, что закон — о защите персональных данных. В том числе, от использования со злым умыслом. В случае 1 хакеры могут попытаться взломать базу, и они при этом уверены, что там хранится информация пользователей и они смогут ее использовать каким-то образом. В случае 2 информация и так доступна публично. Тем не менее, в случае 2 упомянутые в блоге лица также вправе требовать удаления данных с упоминаниями о себе, что вы, вероятно, должны сделать и без GDPR. Но вы не обязаны это делать автоматически, так как вы не могли предусмотреть их появления в этом месте.
robux
24.05.2018 18:10-1Можно ли поставить флажок, позволяющий пользователям отказаться от своих прав по закону GDPR?
Нет, ни в коем случае..
Да, пользователь может отказаться от этой филькиной грамоты GDPR.
Никто не смеет мне указывать, кому я хочу отправить МОИ ДАННЫЕ.
GDPR — тоталитарный закон от марионеток в европейских парламентах, служащий узурпации персональных данных Хозяином и удушению всех альтернативных свободных сервисов.
Не надо пытаться выдать GDPR как "заботу о вашей безопасности" — это не забота, а Власть Мордора и тоталитаризм.
avost
25.05.2018 09:59Никто не смеет мне указывать, кому я хочу отправить МОИ ДАННЫЕ
Прикольное передёргивание. А ведь ВАМ ни кто и не указывает как вам распоряжаться ВАШИМИ ДАННЫМИ. Наоборот, дают правовую возможность что-то сделать, если кто-то ДРУГОЙ решит воспользоваться ВАШИМИ данными не так, как вы этого хотели бы.
GDPR — тоталитарный закон от марионеток в европейских парламентах, служащий узурпации персональных данных Хозяином
Стоп. Строкой выше вы хотели сами распоряжаться вашими данными, а теперь себя называете узурпатором? Похвальная самокритичность! Да, по новому закону вы и ТОЛЬКО вы являетесь единственным Хозяином своих персональных данных и можете узурпировать их использование и удушать "альтернативные свободные" спам-сервисы.
а Власть Мордора и тоталитаризм.
Тоталитаристы из Мордора наступили мразям спамерам на яйтса и спамеры так прикольно визжат!
Kanut79
24.05.2018 20:37Да, пользователь может отказаться от этой филькиной грамоты GDPR.
Никто не смеет мне указывать, кому я хочу отправить МОИ ДАННЫЕ.
Нет, не может отказаться. Единственный способ это сделать это не ничем пользоваться. Если вы пользуетесь, то вы автоматом попадаете под GDPR.
Tочно так же вы не можете отказатся от защиты в виде УК: если над вами совершенно уголовное преступление, то государство будет его расследовать и наказывать преступника вне зависимости от того хотите вы этого или нет.
Vestild
Хм, интересно, а как там на счёт данных сотрудников?
Могут ли сотрудники/бывшие сотрудники компании потребовать удалить какие-то данные о себе?
Ну и могут быть забавные вещи, например у нас в России для прохода во многих местах требуют паспорт и переписывают с него данные.
Получается потом граждане ЕС могут с них требовать их удаления (понятно, что только чисто теоретически)? (или GDPR только про цифровые данные и сервисы)?
ollisso
Сотрудники — Да могут. И их данные нужно удалить.
При этом правда есть такое в законе, что часть данных вы обязаны хранить для обеспечения закона.
Те например данные как имя фамилия и данные об оплатах зарплаты должны храниться в архиве бухгалтерии и их удалить невозможно.
Иначе можно было бы направить запрос налоговики чтобы они забыли о вас :)
Kanut79
Или ещё лучше в полицию :)