Сегодня поговорим о “великом и ужасном” GDPR (General Data Protection Regulation) или Общем регламенте по защите персональных данных. Не смотря на то, что закон был принят еще в мае 2018 года, многие компании до сих пор не выполняют всех его требований.
Мы встретились с нашим DPO (Data Protection Officer), чтобы он простым языком рассказал что такое GDPR, а также что и как должны выполнить компании во избежании крупных штрафов.
В статье присутствуют сноски, цитирующие основные определения закона.
— Что такое GDPR?
— GDPR — это международный закон ?, распространяющийся на весь мир, хоть и был принят в ЕС. Это закон обеспечивающий защиту прав пользователей в интернете, регулирующий, в частности, передачу, обработку, хранение персональных данных каждого человека, который находится на территории ЕС, либо является гражданином ЕС.
? “This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not”.
— Даже если он пользуется услугами/сайтами компаний не входящих в состав ЕС?
— Да, международный статус позволяет распространять действие закона не только на территории ЕС. Если кто-то использует ресурсы доступные ему с территории ЕС или является гражданином ЕС, но находится на территории других государств он все равно попадает под действие этого закона.
— С чем было связано его принятие ?
— Принятию GDPR предшествовало много случаев злоупотребления данными, в том числе личными. Маркетологи стали “терроризировать” людей исследованиями различного рода. Стали изучать поведение и привычки человека и использовать эти знания, таким образом, делая его более беззащитным. Когда человек совершал какие-то действия на сайте, рекомендательные системы, например, провоцировали его на определенное поведение.
Facebook, в какой-то момент и вовсе стал легально продавать данные пользователей для исследований. Плюс ко всему, под защиту попали все биометрические данные, и это очень важно т.к. в ЕС введены электронные паспорта.
— Что делать компаниям из стран не входящих в ЕС для того, чтобы соответствовать требованиям этого закона?
— Необходимо соблюдать правила, которые определяет этот закон. В первую очередь, нужно уведомить пользователей о сборе информации. Это первое, с чем сталкивается посетитель ресурса. Компания должна абсолютно четко и доступно (в том числе и через дизайнерские решения) донести до пользователя чего от него хотят, какие его данные собирают, и зачем им это нужно. Если, к примеру, собираются параметры веса, то необходимо указать для чего они будут использоваться (если их реальная цель предложить препарат для похудения, так и должно быть написано).
— Данные необходимо хранить в обезличенном виде?
— Закон обязывает обезличивать данные и хранить их в разных местах. Но дело в том, что здесь две главные роли — процессор ? и контроллер ?.
Контроллер — тот, кто собирает и использует эти данные, его обязывают хранить их обезличенно и в разных местах, чтобы например злоумышленники, получив доступ к какой-то базе данных не имели возможности сопоставить эти данные с реальным человеком. Например ваши данные ФИО, адрес, номер банковской карты, рост, вес, семейное положение и т.д. Каждый пункт должен храниться в разных базах данных. В одной имя, во второй семейное положение, в третьей адрес и т.д.
Но у каждой компании есть алгоритмы которые позволяют связывать это все и использовать в своих целях. Таким образом, обеспечение хранения данных — это одно. А вот процессинг ? это уже совсем другое. Там должны быть протоколы доступа к данным. Если их нет, в случае утечки это будет выяснено комиссией, и если у вас не было протоколов, комиссия решит, что храните вы хорошо, а обрабатываете не очень, и примут меры.
? “‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller”;
? “‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law”;
? “‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction”.
— Как организуется процесс перевода уже действующего сайта/бизнеса к соответствию требованиям данного закона?
— В первую очередь нужно проанализировать в каком состоянии находится сбор и обработка данных в текущий момент. Соответственно, если на текущий момент используется только один сервер, нужно разделить на несколько, чтобы невозможно было взломать все базы данных из одного источника. Защита должна стоять на входе информации, а сервер постоянно мониторится антивирусом. Желательно обеспечить вторым каналом интернет, чтобы в случае утечки по какому-либо из каналов отключить его, и произвести работы по устранению всех неполадок по другому каналу. Доступ должен осуществляться только через защищенное VPN соединение. Сейчас все основные браузеры пишут предупреждения при попытке захода на страницы без https.
Если используется https, все хорошо. К слову, Google, который длительное время игнорировал некоторые требования данного закона, учитывает наличие ssl сертификата как один из факторов ранжирования в поиске.
— Чем грозит несоблюдение требований данного закона?
— Если мы говорим о резиденте ЕС, то конечно это будут штрафные санкции, предписания, которые будут выдавать контролирующие органы после проведенного анализа и расследования. В принципе, на макроуровне это все регулируется высоким штрафом в размере 20 млн. евро, либо 4% от годового оборота. Европейский суд, который будет рассматривать дело, скорее предпочтет 4% от оборота, а не 20 млн. евро.
Но это максимум. Прошел год с момента вступления закона в силу, и уже были практические кейсы. В случаях когда утечка была минимальной и никто не пострадал, злоумышленников поймали и компании было просто вынесено предупреждение. Если же по халатности что-то не было сделано, давали штраф, от пары до сотен тысяч евро. На сегодняшний день, самый крупный штраф был выписан Google в размере 50 млн евро за продолжительное игнорирование некоторых требований закона. Особенно жестоко наказывают за потерю биометрических данных, например медицинские учреждения, об этом предупреждали сразу.
— Кто обязан соблюдать данный закон, а на кого действие не распространяется?
— Тот кто не хранит персональные данные ? — те данные которые позволяют идентифицировать человека, либо определить его местоположение, например ip сюда тоже входит, но в данный момент комиссия не рассматривает ip как персональные данные. Имя и номер телефона являются персональными данными, если собираются с намерением не только связаться с человеком, но и использовать их как-то иначе. Если только для связи — данные не имеют силы и ограничений по срокам хранения т.к. эти цели не предполагают продажу товаров или прогнозирование поведения пользователя.
Еще стоит помнить, что почта, логин или пароль, в отдельности, не являются личными данными. Только конкретно те параметры, которые позволяют персонализировать человека или определить где он, например ip + mac адреса.
В постсоветском пространстве мы привыкли к тому, что “если не разрешено — значит запрещено”, в либеральных странах наоборот “что не запрещено — разрешено”. Это две совершенно разные парадигмы, и отношения к закону. И, соответственно, здесь действует презумпция невиновности — пока не доказали, ты не виновен.
? “ ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”;
— Сейчас на рассмотрение комиссии вынесен еще один закон о защите персональных данных, закон о cookies, расскажи поподробнее об этом.
— Это как раз к вопросу об ip адресах. Через ip можно определить где человек, всю конфигурацию оборудования. Но при этом надо как-то соблюдать данный закон. Сейчас ip вынесли за рамки этого закона. Но не оставляют, вопрос остается открытым, поскольку это все же требует регулирования. Уже было две его редакции, скоро будет третья. Их использование здорово подрежут. Великобритания уже начала движение в этом направлении.
Если закон примут в текущей версии, Google и ей подобные компании просто не смогут работать в ЕС. Сейчас все лоббируют смягчение этого закона. Но стоит отдать должное ЕС, они относятся с большим вниманием к людям, своим гражданам и резидентам, и они продвигают этот закон в пользу людей. Пока закон не принят, и даже не находится в последней фазе чтения. Но руководствуясь практикой, если даже его примут в 2019 году, 1-2 года обычно дается на приведение всех дел в порядок.
Сейчас весь вопрос состоит только в том, насколько глубоко компаниям позволят проникать в личную жизнь людей.
— Какой состав команды требуется для внедрения мер по соответствию сайта требованиям данного закона?
— Обычно это подразумевает частичную занятость, в редких случаях необходимо привлекать всю команду на полную ставку. Аналитик будет проводить аудит текущего положения дел в компании, а также генерировать спецификации для исполнения. Системный администратор или DevOps который будут отвечать за железо, каналы связи и другое, а программист, займется доработкой сайта.
— Что станет результатом работы команды и компании клиента?
— В первую очередь, будет изменена работа с персональными данными (процессинг): сбор, обработка, хранение будут приведены в соответствие с законом. С большой долей вероятности, в компании клиента появится новая должность — Data Protection Officer (DPO). Будет произведена работа над сайтом компании и документацией доступной пользователям (Положение о безопасности, Политика конфиденциальности, Политика обработки Cookie и т.д.). Появятся внутренние протоколы доступа и обработки персональных данных пользователей.
Узнать больше о GDPR можно перейдя по ссылке: https://www.gdpreu.org/ (ресурс доступен только на английском языке).
Комментарии (21)
olku
16.09.2019 16:08GDPR не закон, это регула. Ссылка на оригинал тут. Исполнение регул лежит на совести каждой страны. Например, в Германии на GDPR можно положить (см. сайты Axel Springer, например) ибо есть свое законодательство. Как выглядит соблюдение GDPR в цифрах, нижний график.
Kanut
16.09.2019 18:51В Германии BDSG. Просто немцы своих пока не особо штрафуют и больше предупреждают. То есть там где-то около сотни штрафов было и все ниже 100000€.
olku
16.09.2019 19:05BDSG не DSGVO, про которое статья.
Киньте пруфами на решения судов о нарушениях DSGVO, плиз. А то мужики не знают…Kanut
16.09.2019 19:18BDSG это считай немецкое "расширение"/"адаптирование" DSGVO.
А на тему штрафов по быстрому нагуглилось вот такое:
https://www.cmshs-bloggt.de/tmc/datenschutzrecht/100-bussgelder-dsgvo-deutschland-uebersicht/
https://www.heise.de/newsticker/meldung/DSGVO-Bislang-75-Bussgelder-wegen-Verstoessen-4420368.html
П.С. К сожалению всё на немецком, но на английском такое сложно найти.
П.П.С. Уже кто-то кидал в другой статье, но добавлю и сюда http://www.enforcementtracker.com/olku
16.09.2019 22:15Извините, юристы Axel Springer считают иначе. Спасибо за ссылки.
Статья heise выглядит как «С мая 2018 вступил в силу GDPR… С того момента были наказаны...». Аналогично можно утверждать, что все люди, которые едят картошку, умирают. :) Статья Tagesspiegel сообщает, что идет процесс об утечке данных в Китай. Две ссылки из enforcementtracker идут на твиты, в которых вовсе нет никакой конкретики. Статья блогера представляет нарушения BDSG как нарушение DSGVO.
Ну, такое себе.
Да, компании вполне себе нарушают BDSG, и их штафуют за это. И как бы нам ни хотелось иметь GDPR законом, он остается регулой. Но за enforcementtracker спасибо. Любопытно, что для Германии Quoted Art отсутствует. Если что, смело присылайте еще ссылок по теме, можно в личку.Kanut
16.09.2019 22:33Извините, юристы Axel Springer считают иначе.
Ссылочку можно? И если там юристы чем-то недовольны это не отменяет штрафов.
Статья heise выглядит как «С мая 2018 вступил в силу GDPR… С того момента были наказаны...». Аналогично можно утверждать, что все люди, которые едят картошку, умирают.
Эээ, они там не просто так наказаны, а именно по GDPR.
Статья блогера представляет нарушения BDSG как нарушение DSGVO.
Да, компании вполне себе нарушают BDSG, и их штафуют за это. И как бы нам ни хотелось иметь GDPR законом, он остается регулойЭто считай одно и тоже. Новый BDSG это всего лишь "локализация" GDPR. И свои собственные внутренние штрафы каждая страна прописывает в своей "локализации". GDPR именно так и задуман что он в каждой стране имеет "локализации" чтобы иметь возможность "подогнать" его под местные законы. Могу ещё раз ссылки с объяснением кинуть:
https://www.datenschutz.org/bdsg-neu/#dsgvo-und-bdsg-neu-in-welchem-verhaeltnis-stehen-sie
https://dsgvo-gesetz.de/themen/bussgelder-strafen/olku
17.09.2019 09:01Позвольте мне не считать Вашу теорию реальностью.
Итак. Тот, кто докажет немецкому суду, что BDSG это DSGVO, станет миллионером по версии bild.de. А spiegel.de сделает мультимиллионером — еще один нарушитель Article 6 GDPR.
Наличие плашки про куки на других немецких сайтах не препятствует их установке в браузер десятками. Как это посмотреть, Вы, вероятно, умеете.
За сим откланиваюсь. «Это наша точка. Мы здесь работаем, люди в курсе.» :)Kanut
17.09.2019 09:17Итак. Тот, кто докажет немецкому суду, что BDSG это DSGVO, станет миллионером по версии bild.de.
Версии это хорошо, но ещё лучше было бы если бы были хотя бы ссылочки на эти "версии". Ну чтобы знать о чём речь то идёт.
А то у нас Bild и Spiegel это журналы с картиночками и не то чтобы особо высокоинтеллектуальные...
Наличие плашки про куки на других немецких сайтах не препятствует их установке в браузер десятками. Как это посмотреть, Вы, вероятно, умеете.
Куки ставить не запрещено. Их даже в отдельных случаях не запрещено ставить не спрашивая разрешения. Это если вы не в курсе были.
Tangeman
17.09.2019 20:06Исполнение регул лежит на совести каждой страны.
Скорее всего, вы путаете их с директивами. Исполнение директив, действительно, лежит на совести каждой страны, а вот постановление, или регламент (а вовсе не «регула») — обязателен к исполнению для все членов союза, т.е. фактически это закон на уровне ЕС.
Статья 288 Договора о функционировании определяет это так:
A regulation shall have general application. It shall be binding in its entirety and directly applicable in all Member States.
A directive shall be binding, as to the result to be achieved, upon each Member State to which it is addressed, but shall leave to the national authorities the choice of form and methods.
Или в примерном переводе:
Постановление является нормативным документом общего применения. Оно имеет обязательную силу во всей своей полноте и непосредственно применяется во всех государствах-членах.
Директива является обязательной для исполнения каждым государством-членом, которому она адресована, но оставляет за национальными властями выбор формы и методов.
Как говорится, «почувствуйте разницу» — директиву можно выполнять «как удобно», а вот постановление — как есть и никак иначе, это практически закон для всех членов ЕС, его невыполнение — это явное нарушение условий договора, чтобы там не говорили воинствующие адвокаты.
BDSG в Германии, соответственно, является всего лишь реализацией GDPR (DSGVO). Здесь (нем.) чётко обозначены связь BSDG и DSGVO.
abar
16.09.2019 16:36+1Не хочу никого обидеть, но ваш DPO не очень хорошо работает. Работаю уже во второй европейской компании, для которой GDPR соблюдать надо обязательно, и на всех внутренних тренингах нам объясняли требования этого закона гораздо более простым языком, без каких-то собственных интерпретаций и при этом гораздо нагляднее. Например, вот этот абзац:
— Тот кто не хранит персональные данные ? — те данные которые позволяют идентифицировать человека, либо определить его местоположение, например ip сюда тоже входит, но в данный момент комиссия не рассматривает ip как персональные данные.
Есть чёткий список того, что определили как персональные данные, есть чёткий список того, что такое «sensitive data». Перечислить все примеры, задать пару контрольных вопростов, всё! А не эти «вот это входит, но не так, а это входит». Такое чувство, что «специалист» сам не особо понимает о чём говорит.
powerman
16.09.2019 17:33А ссылочку на эти "чёткие списки" можно?
AlePil
16.09.2019 19:30С "четкими" это немного перебор, но более-менее конкретные найти можно в трактовке местных Гарантов. Например вот у нас так — https://www.garanteprivacy.it/home/diritti/cosa-intendiamo-per-dati-personali
BalinTomsk
16.09.2019 16:47+1В постсоветском пространстве мы привыкли к тому, что “если не разрешено — значит запрещено”, в либеральных странах наоборот “что не запрещено — разрешено”. Это две совершенно разные парадигмы, и отношения к закону.
---И, соответственно, здесь действует презумпция невиновности — пока не доказали, ты не виновен.
Непонятно, как вы сделали логичение утверждениe из: «в либеральных странах наоборот».
Тем болле что в постсоветском пространстве как раз есть презумция невиновности.
А вот во многих, как вы думаете, либеральных странах ее нет.
В британском правосудии презумпции невиновности нет и даже не было.
justicemaker.ru/view-article.php?id=22&art=5870
AlePil
16.09.2019 17:09О GDPR в 2019 году знать надо то, что на него начинают забивать, особенно мелкий и средний бизнес. Соблюдать требования пытаются провайдеры, крупные международные компании и государственные структуры.
Что касается вашего DPO и его формулировок, то выше уже сказали немного, но могу дополнить: только регламент рассматривать как базу к действиям это глупо, есть ещё национальные законодательства по защите данных, которые местами адаптированы под Регламент, а местами не очень, но знать их надо и именно тут вся прелесть работы DPO — организовать работу в русле Регламента, опираясь на требования местных законов. Помогают в этом, как правило, рекомендации и разъяснения национальных компетентных органов (Гарантов)Kanut
16.09.2019 18:56С самого начала никто не скрывал что штрафовать начнут с крупных фирм и чем меньше фирма, тем больше времени ей по идее дадут на переход. Если конечно не попасться по горячему на чём-то очень нехорошем.
Но рано или поздно всем придётся более-менее соответствовать.
eyeofhell
18.09.2019 10:56Я правильно понимаю, что GDPR прописывает огромную ответственность за невыдачу персональных данных лицу по его первому требованию, но не описывает процедуру аутентификации и не прописывает ответственность за выдачу данных не тому лицу? И компании, которые соблюдают GDPR, отдают личные данные по любому запросу и фотошопу документов?
Kanut
18.09.2019 11:07Я правильно понимаю, что GDPR прописывает огромную ответственность за невыдачу персональных данных лицу по его первому требованию
Правильно, прописывает.
но не описывает процедуру аутентификации
Правильно, саму процедуру не прописывает. Но по идее и не может. Потому что нельзя такое в законах писать.
и не прописывает ответственность за выдачу данных не тому лицу?
А вот здесь нет, неправильно. Ответственность за выдачу данных не тому лицу(то есть считай банальную утечку данных) GDPR вполне себе прописывает.
usego
Ссылочку можно на пруф? Впервые сталкиваюсь с такой трактовкой.
AlexanderSivov Автор
gdpr-info.eu/art-5-gdpr — пункт 1f
Который обязует «обеспечить надлежащую безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер».
Но ставит вопрос: где та граница «достаточныой меры»?
Мы решили, что в нашем случае эти меры будут достаточными.
usego
Можно хоть каждую букву фамилии по разным базам разнести, но если эти базы физически на одном сервере и без раздельной аутентификации или вообще без неё, то никакой безопасности это не добавляет. Ваше дело, но я бы эту рекомендацию убрал в таком виде, так как к ней больше вопросов, чем ответов.
Kanut
В разных базах данных хранить совсем не обязательно. Даже в разных таблицах хранить не обязательно.
Это ваша личная, и на мой взгляд достаточно странная, интерпретация пункта закона.