GDPR
General Data Protection Regulation – документ, определяющий защиту персональных данных граждан Европейского союза, который начал свое действие в мае этого года. Данный документ сменил директиву, которая действовала с 1996 года. Новые правки, внесенные в регламент, дали данному документу экстерриториальный принцип, поэтому для отечественных компаний чрезвычайно важно разобраться с главными правилами и требованиями GDPR.
Если ваша компания работает на международном рынке и хоть один из ее клиентов является гражданином стран Европейского союза, то за невыполнение правил GDPR можно получить штраф размером 20 миллионов евро или 4% годового дохода. Для того чтобы не попасть в такую ситуацию, предлагаем информацию, в которой описаны все правила GDPR и как их применять в соответствии с особенностями наших бизнес реалий.
Итак, разбираться начнем с вопроса о том, что включают в понятие персональных данных, которые подвергаются защите.
Персданные – это любой вид информации, по которой можно распознать субъект данных. К такой информации относят: имя, фамилию, адрес, IP координаты, индикаторы устройств и другие физиологические, идеологические, генетические, экономические, культурные, социальные и умственные критерии.
В категорию компаний, которые должны придерживаться правил GDPR, попадают не только предприятия, зарегистрированные в странах ЕС, но и юридические лица, непосредственно сотрудничающие с гражданами стран Европейского союза.
К примеру, если у вас есть интернет магазин, услугами которого могут воспользоваться граждане стран Европы, то их персональные данные должны быть защищены в соответствии с новыми правилами GDPR.
В этот перечень также включаются компании, которые занимаются отслеживанием активности пользователей с помощью Cookie файлов и передачей полученной информации для рекламных агентств и аналитических компаний. Если в сферу вашего мониторинга попадают европейцы, то следовать регламенту GDPR обязательно.
Все компании, обрабатывающие персональные данные жителей Европейского союза, должны обязательно работать по регламенту GDPR. К таким компаниям относят:
v железнодорожные компании;
v авиакомпании;
v гостиницы;
v хостелы;
v интернет магазины;
v банки, клиентами, которых являются граждане ЕС или работающие контрагентами других финансовых организаций;
v турагентства;
v сайты, предлагающие платные или бесплатные услуги.
По каким критериям можно определить, относится ли ваша организация к данному перечню:
1. На страницах вашего сайта есть возможность изучения информации на различных европейских языках;
2. Оплата за услуги или товары может производиться не только в рублях, но и в европейской валюте;
3. Сайт или страница расположена на европейских доменах.
Таким образом, если сфера деятельности вашей организации прямо или косвенно связанна со странами Европы, необходимо чтить все правила регламента по защите персональных данных.
Структура регламента GDPR
Структура Регламента предусматривает два объекта data controller и data processor и владелец персональных данных, которым является непосредственно физическое лицо.
Контроллер – это организация, занимающаяся хранением и обработкой персональных данных.
Процессор – компания, которая занимается сбором и обработкой информации от другого юридического лица.
Таким образом controller - это собственник данных, а processor их распорядитель. Очень часто одна компания может совмещать в себе оба объекта GDPR.
Такая структура позволяет разделить ответственность, в случае если произошел инцидент, связанный с нарушением правил GDPR, удается легко найти виновника происшедшего: Data controller, который неправильно разработал стратегию или не написал нужные приказы или data processor, не выполнивший постановления.
Для того чтобы глубоко разобраться со всеми нюансами этого регламента, невозможно обойти стороной и основу – хранилище персональных данных.
Принцип работы хранилища персональных данных в большинстве случаев происходит по двум принципам:
1. Живое обращение к оператору, который вручную вводит все необходимые персональные данные в систему.
2. Использование Web технологий, с помощью которых пользователь самостоятельно вносит свои данные в базу.
В большинстве случаев все персональные данные уже практически защищены, с помощью авторизации или проверки доступа различными способами. Если информация вносится ручную оператором, то тут также предусмотрено использование специального программного обеспечения и процедуру авторизации.
GDPR на сегодняшний день внес в данную процедуру свои коррективы, предусматривающие увеличение ответственности для организаций, являющихся хранителями и распространителями персональных данных граждан Европейского Союза.
Периметр ответственности data controller и data processor расширяется до личностного общения сотрудников компаний, если в процессе может быть упомянута любая информация, касающаяся персональных данных пользователей или клиентов компании. Также данный регламент предусматривает жесткий контроль за потенциально возможным местом нахождения информации, даже если эти базы и сервера чисто гипотетически могут ее содержать, к таким относят временные хранилища, базы и другие.
Все эти предостережения направлены на предотвращение мошенничества, хакерских атак и нанесения вреда пользователю экономического, морального или физического типа, поэтому их соблюдение необходимо тщательно соблюдать.
Права и ответственность пользователя согласно регламенту GDPR
Согласно данному документу любой пользователь может прекратить сотрудничество с компанией, обрабатывающей его данные и удалить всю информацию о нем, содержащуюся в базе.
Понятия privacy by default и privacy by design предусматривают полную приватность личной информации без любых двузначных и необоснованных действий со стороны организации, хранящей или распространяющей персональные данные. Например, этот регламент воспрещает размещать на сайтах авторизацию и регистрацию, где нет необходимости вводить личную информацию. А также нельзя вводить дополнительные пункты, которые подтверждают согласие на обработку персданных.
С выходом обновленного регламента у пользователя появляется право передавать свои персональные данные в другие организации. То есть, если к вам обратился зарегистрированный пользователь с просьбой о передаче его личной информации в другую компанию, вы обязаны согласно GDPR выполнить его требования.
Также регламент GDPR предусматривает регулярное обновление соглашения обработки данных пользователей, по такому принципу уже работают мировые IТ гиганты, такие как Google и другие.
Роль компании, которую предусматривает регламент GDPR
General Data Protection Regulation предусматривает определение правил, норм и ответственности за обработку личной информации пользователей. К минусам обновленного регламента можно отнести отсутствие рекомендаций и конкретного плана действия, как достичь полной защищенности.
Задачи, которые ставятся перед компаниями, занимающимися хранением и распространением персональных данных:
1. Первичный аудит данных всех сотрудников и регулярная актуализация.
2. Надежная криптозащита всех данных, каналов, баз и хранилищ, где может содержаться информация, даже временных.
3. Наличие специально сотрудника DPO, который отвечает за безопасность всех данных.
4. Обучение техперсонала новым средствам и технологиям.
5. Соблюдение политики конфиденциальности.
Пути достижения всех правил GDPR
Все права и обязанности сторон регламента же определены, теперь следует разобраться со способами достижения данных задач. Для этого компании, у которой есть в базе данных персональные данные граждан Европы, необходимо придерживаться конкретного алгоритма действий.
Мы предлагаем для вас четкий план действий, соответствуя которому вы легко сможете себя обезопасить от штрафов.
1. Аудит всех данных сотрудников.
2. Жесткое разграничение доступа к персональным данным пользователей.
3. Криптозащита всех баз данных.
4. Использование инструментов автоматизированного категорирования eDiscovery.
5. Системы DLP позволяющие избежать утечку данных или расследовать случившиеся инциденты.
6. Контроль операторов, обрабатывающих личную информацию пользователей.
7. Анализ всех информационных потоков.
Проводя аудит необходимо учитывать все его аспекты, которые должны касаться инфраструктуры, персонала и персональных данных пользователей или клиентов.
Аудит инфраструктуры предусматривает регулярный мониторинг текущего состояния всех IT средств, операционных систем и ходов сети.
Аудит персонала предусматривает обеспечение полной конфиденциальности персональных данных клиентов, и проверку всех данных работников, во избежание утечки информации.
Аудит данных требует полное упорядочение всей информации, пользователей и ее категоризация для систематизации и упрощения обеспечения защиты.
После проведения качественного аудита, можно переходить к разрешению следующей задачи – составления матрицы разграничения доступа.
Этапы разграничения доступа, для оптимизации вашей работы предусматривают: физический, ролевой и контентный периоды.
Физическое ограничение доступа предусматривает защиту всех данных на уровне открытых Wi-fi сетей, которые не должны ни каким образом соединяться с инфраструктурой.
Ролевое разграничение предусматривает настройку IT серверов, баз даннях Web сервисов и других систем на мандатное распределение, предусматривающее узкий круг людей, которым доступна конкретная информация.
Контентное разграничение предусматривает наличие системы, которая будет информировать службу защиты о несанкционированном переносе информации на любой носитель. Если у вас установлена контентная защита, то удастся решить множество проблем, связанных с утечкой личной информации пользователей.
Такие меры предосторожности позволяют избежать инцидентов внутри компании, но не защищают внешних хакерских атак.
Для таких целей и обеспечения повышенного уровня безопасности необходимо использовать криптозащиту. Для этого можно использовать любые средства, которые соответствуют международным нормам и локальным требованиям вашей компании.
Автоматизированное категорирование инструментов eDiscovery позволяет мониторить все серверы и сервисы, где есть возможность сохранять данные. Таким образом, если ваши сотрудники будут переносить персональные данные на свой рабочий стол или другие места хранения, данная программа будет об этом оповещена, и таким образом можно получить максимальный контроль за утечкой любой информации.
Но данная программа не сможет воспрепятствовать передаче данных, ее цель уведомить службу безопасности о нарушении правил хранения. Поэтому для надежной защиты каналов передачи необходима установка DLP. Ее главной задачей является тотальный контроль всех каналов передачи.
Кроме контроля, DLP выполняет также роль анализатора данных. Анализ информации предусматривает:
v проработанные алгоритмы;
v развитую систему отчетности;
v гибкую систему оповещений.
Все данные шаги для обеспечения норм регламента GDPR внутри сети компании работают эффективно, но не менее важным является также и внесетевая активность сотрудников.
Контроль операторов, предусматривает применение следующих мер предосторожности:
v видеозапись;
v аудиозапись;
v категорирование работы;
v файловый надзор;
v запись web камер;
v онлайн контроль.
Весь перечень применяемых мер предосторожности должен гарантировать запрещение доступа для нового объекта, который не входит в рамки аудита и инвентаризации. Если все же внутри сетевому пользователю удается пробраться к базе данных, без наличия у него таких полномочий, то об этом в службу безопасности оповещается программой DLP, а система eDiscovery проводит расследование. Только комплекс данных мероприятий способен надежно защитить персональные данные от несанкционированного их использования.
Плюсы и минусы регламента GDPR
К преимуществам нового регламента GDPR можно с уверенностью отнести увеличенный контроль за всей работой внутри компании и за ее пределами. Все меры предосторожности в формате General Data Protection Regulation дают компаниям следующие преимущества:
1. Мониторинг персонала, которые могут попадать в «группу риска».
2. Изучение микроклимата коллектива и анализ его настроений.
3. Определять промышленный шпионаж.
4. Мониторинг занятости и проблем с разрешением бизнес-задач.
5. Определение любых финансовых махинаций внутри компании и за ее пределами.
6. Раскрытие любых сговоров с контрагентами или конкурентами.
7. Выявлять любые прецеденты нарушения закона (причастие к радикальным интересам, распространение наркотиков, определение девиантных интересов и другие)
Суть нового регламента General Data Protection Regulation заключается в стимулировании экономического возрастания, средствами уменьшения расходов и бюрократии для компаний, сотрудничающих со странами Европейского Союза. Данный документ упрощает сотрудничество с Европейскими странами, так как он является универсальным для всех 28 стран.
Использование правил GDPR уравнивает возможности даже небольших компаний и позволяет им добиваться успехов в своей сфере деятельности на международном уровне.
Данная программа повышает уровень доверия у пользователя или потребителя, таким образом, для компании является возможным участие в едином Европейском рынке персональных данных. Возможность передачи данных с разрешения клиента открывает большие экономические перспективы.
К недостаткам можно отнести дополнительные хлопоты и растраты на безопасность и возможные штрафные санкции в случае утечки персональных данных пользователя. Для полной защиты данных клиентов необходимо ввести дополнительную должность в штат, которая будет отвечать за безопасность всех данных. Кроме того, провести обучение команды в соответствии с регламентом правил GDPR.
Для того чтобы защитить свой интернет магазин от несанкционированной утечки персональных данных, рекомендуем:
1. Пользоваться только обновленными версиями системы управления сайтом.
2. Создать для каждого работника логин, и после его ухода из компании немедленно удалить его и запретить доступ к хранилищу.
3. Мониторить появление ненужных шаблонов, модулей и регулярно их уничтожать.
4. Осуществлять резервное копирование всех файлов
5. Экспорт и архив всех ваших заказов должен находиться в надежном месте, минимализировать по возможности количество персональных данных на сайте.
6. Продумайте уникальный пароль, который сложно взломать.
7. Провести четкое ограничение количества сотрудников к доступу баз данных.
Назад в раздел
Наверх