Защита персональных данных (ПДн) — мировой тренд. Право на их защиту декларируется сегодня как неотъемлемая часть фундаментальных прав человека. Тема их безопасной обработки и хранения актуальна как в России, так и за рубежом.

Что же такое персональные данные и что именно нужно защищать?

Сбор, анализ и перемещение персональных данных приобретают во всем мире огромное экономическое значение. Персональные данные имеют в современной экономике значительную ценность. По сути, это любые сведения, относящиеся к прямо или косвенно определенному субъекту ПДн — физическому лицу.

В российском законодательстве ПДн — это общие персональные данные (ФИО, дата и место рождения, адрес, семейное, социальное и имущественное положение, профессия, доходы, расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости; биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони и иные сведения).

Что такое европейский регламент GDPR? Почему он так важен?

Принятие Общего регламента защиты данных (General Data Protection Regulation, GDPR) ЕС считается краеугольным событием: оно означает фундаментальные изменения в том, как именно обрабатываются персональные данные. GDPR был разработан, чтобы предоставить гражданам ЕС больше контроля над тем, как их личные данные собираются и используются.

Регламент GDPR 2018 нацелен на консолидацию и совершенствование разрозненных правил в сфере конфиденциальности данных, применяемых в Европе, и направлен на совершенствование защиты конфиденциальности данных всех жителей ЕС во все более цифровом мире.

Определение «персональные данные» в этом регламенте расширено: наряду с такими атрибутами, как имя, идентификационный номер и данные о местоположении, личные данные включают в себя онлайн-идентификаторы, например, IP-адреса и идентификаторы мобильных устройств.

Европейский регламент GDPR рассматривает «следы в Интернете» как персональные данные, если они применяются для профилирования пользователя. Если собирается массив информации, позволяющий определять предпочтения пользователей, то начинают обрабатываться их персональные данные.

Кого касается регламент GDPR и каковы санкции за его несоблюдение? Как это влияет на бизнес?

GDPR имеет обязательную силу не только для предприятий и организаций, находящихся в ЕС, но и всех компаний, которые желают, чтобы их товары или услуги были востребованы гражданами ЕС. Одной из ключевых причин, по которым GDPR получает в последнее время столько внимания, являются высокие штрафные санкции за его несоблюдение.

Европейский закон говорит, что оператор, вне зависимости от своего местонахождения, за несоблюдение процедур обработки персональных данных наказывается штрафом в размере 20 млн. евро или 4% глобального оборота компании (а зависимости от того, что больше). Даже если оператор, обрабатывающий персональные данные, находится за пределами Евросоюза, но работает с данными лиц, находящихся на территории Евросоюза (не обязательно европейских граждан), то он обязан выполнять европейский регламент.

То есть, действие регламента не ограничивается организациями, зарегистрированными в ЕС и имеет обязательную силу для всех организаций, присутствующих в любой точке мира, когда они обрабатывают личные данные гражданина ЕС. Правила касаются компаний, которые обрабатывают персональные данные в целях предложения товаров или услуг в ЕС или применяют технологии, которые позволяют использовать персональные данные, чтобы повлиять на выбор или определить предпочтения пользователей. Поэтому компании, находящиеся за пределами ЕС, но «влияющие на пользователей», находящихся в ЕС, попадают под действие правил.

Ключевые принципы, применяемые к обработке персональных данных в ЕС:

Прозрачность

Сбор персональных данных должен осуществляться с конкретной и явной целью.

Законные основания для обработки

Персональные данные могут обрабатываться только законным образом.

Ограничение заявленными целями обработки

Персональные данные могут обрабатываться только с указанной целью во время их сбора целью.

Любой человек должен иметь возможность затребовать персональную информацию у оператора данных, а также затребовать удаление своих данных.

GDPR требует от компаний расширенной отчетности в том, как они собирают, хранят, обрабатывают персональные данные и управляют ими.

Как сегодня соблюдается GDPR в ЕС?

По данным международной юридической фирмы DLA Piper на 19 января 2021 года, за широкий спектр нарушений европейских законов о защите данных было наложено 272,5 млн. евро штрафов. Италия возглавляет рейтинг по совокупным штрафам — более 69,3 млн. евро с мая 2018 года. Германия и Франция заняли второе и третье места с совокупными штрафами в 69,1 и 54,4 млн. евро соответственно.

Совокупный ежедневный объем уведомлений о нарушениях в Европе растет двузначными числами второй год подряд: 331 уведомлений в день с 28 января 2020 года, что на 19% больше по сравнению с 278 уведомлениями о нарушениях в день в предыдущем году.

Как отмечают в собравшей эту статистику компании DLA Piper: «Ежегодный рост штрафов и уведомлений о нарушениях продолжается, и европейские регулирующие органы продемонстрировали готовность использовать свои полномочия. В текущем году мы ожидаем первых принудительных мер, связанных с ограничениями GDPR на передачу персональных данных в США и другие „третьи страны“».

А что сейчас происходит с персональными данными в России, какие изменения появились в законодательстве РФ?

В России работа с ПДн регламентируется требованиями 152-ФЗ — закона «О персональных данных», в котором много правил, указывающих, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.

30 декабря 2020 года Президент подписал Федеральный закон № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Изменения вступают в силу в два этапа — с 1 марта и с 1 июля 2021 года. В законодательстве аннулировали понятие «общедоступные персональные данные» и ввели новый термин — персональные данные, которые субъект разрешил к распространению.

Согласно требованиям Роскомнадзора, сог­ла­сие пот­ре­буют офор­млять на русском язы­ке. Оно дол­жно со­дер­жать ФИО, но­мер те­лефо­на, ад­рес элек­трон­ной поч­ты или поч­то­вый ад­рес субъ­ек­та владельца персональных данных, а так­же наиме­нова­ние и ад­рес опе­рато­ра, по­лучаю­ще­го сог­ла­сие.

Также согласие должно включать срок, в течение которого оно действует, а также сведения об информационных ресурсах оператора, посредством которых он будет передавать доступ к данным неограниченному кругу лиц.

Как ожидается, детализированное согласие позволит отнестись к передаче данных более внимательно и осознанно, а требования к содержанию такого согласия позволяют подойти к нему гибко, предусмотрев условия и запреты для обработки данных. Однако новые требования сопряжены с затратами на дополнительное администрирование процедуры сбора и обработки ПДн, а также с возможными жалобами граждан в Роскомнадзор и с исками в судебные органы.

10 февраля 2021 года Госдума приняла в третьем (окончательном) чтении законопроект об увеличении вдвое штрафов за нарушение правил обработки персональных данных. Изменения будут внесены в статью 13.11 Кодекса об административных правонарушениях (КоАП) «Нарушение законодательства РФ в области персональных данных».

С 1 марта 2021 года вступил в силу Закон о запрете распространения персональных данных граждан России без их специального согласия. Операторы теперь обязаны удалять персональные данные по первому запросу их владельца. Граждане могут потребовать от любого ресурса в сети (сайт, соцсеть, мессенджер и так далее) прекратить распространять персональные данные. У администрации ресурса будет три дня на рассмотрение заявки и принятие решения по ней. Если через три дня ресурс продолжает распространять данные, гражданин вправе подать в суд.

Какие меры следует предпринять российскому бизнесу, чтобы соблюсти закон и избежать штрафов?

Для выполнения требований GDPR организации должны внедрить самые эффективные и строгие практики управления данными и политики безопасности. Важный первый шаг в этом направлении — понять, где и как компания собирает, использует и хранит персональные данные (на серверах организации или в облаке), какие системы используют эти данные и кто имеет к ним доступ. Некоторые CIO считают, что приложениями управлять относительно несложно, а основную проблему представляют неструктурированные данные, которые легко распространяются по внутренним системам и рабочим ноутбукам и поэтому часто «утекают» в чужие облака и клиентские устройства.

Казалось бы, с точки зрения выполнения требований GDPR легче управлять структурированными данными приложений, однако быстрое увеличение числа приложений на крупных предприятиях резко усложняет управление этими данными. К тому же крупные предприятия должны обеспечить соблюдение требований GDPR и для неструктурированных данных, хранящихся на серверах, в системах электронной почты и на клиентских устройствах. Это крайне сложная задача, поскольку почти 80% всех используемых в бизнесе данных приходится на неструктурированные. Возможно ли обеспечить соответствие требованиям GDPR в типичной современной компании, где для управления данными применяются различные, никак не интегрированные между собой продукты? Это трудная задача, но вполне осуществимая.

Единая платформа управления данными — эффективное решение проблемы

Многие организации выбрали стратегию консолидации на одной унифицированной платформе управления данными. Такая платформа дает четкую картину всех приложений и неструктурированных данных компании, помогает обеспечить соответствие ключевым принципам GDPR, а при необходимости — продемонстрировать соблюдение требований законодательства регулирующим органам.

Если платформа выполняет все процессы управления данными, то ИТ-отдел может создать контентный индекс всех данных компании, тогда как при использовании нескольких отдельных продуктов это зачастую сделать невозможно. Такой индекс создаст прочный фундамент для политик управления информацией и предоставит CIO общую картину данных и контроль над ними, которые нужны для выполнения самых строгих требований по защите персональных данных.

Интегрированный подход дает полное представление в масштабе организации о том, где находятся персональные данные, поэтому становится возможным оптимизировать контроль над доступом к данным, консолидировать усилия по обеспечению информационной безопасности и выделить среди них приоритетные. В то же время организация сможет предоставить информацию по соблюдению законодательства. Кроме того, автоматизируется применение политик сохранения информации для всего ландшафта данных, а значит, резко сокращаются риски, связанные с клиентскими устройствами.

Анализ данных гарантирует, что конфиденциальные данные получат необходимый уровень защиты, а если произойдет нарушение конфиденциальности, то удастся намного быстрее оценить последствия этого инцидента. Если данные будут испорчены, необходимо их быстрое восстановление внутри ИТ-инфраструктуры организации или в облаке, а также оперативное оповещение о нарушении конфиденциальности.

Использование существующих ИТ-процессов для консолидации данных

Может показаться, что для консолидации всех данных организации на одной унифицированной платформе потребуется большое количество изменений в существующем ИТ-ландшафте, создание новых процессов и подсистем и дополнительные инвестиции. Но это не совсем так. Дело в том, что в каждой организации уже присутствуют ИТ-процессы, которые работают со всеми или почти со всеми данными, — это процессы создания резервных копий и архивов. Они могут быть разрозненными или централизованными, использовать различные технологические решения, но они есть в том или ином виде. Для решения задач, описанных выше, достаточно посмотреть на эти процессы шире, добиться их унификации, использовать единые современные инструменты для их реализации. И создаваемый единый репозиторий архивов и резервных копий вполне будет выполнять задачи контроля, анализа и управления данными предприятия.

Новые угрозы. Что можно ожидать в будущем? Что намечается в области защиты персональных данных в 2021 году?

В связи с недавним ростом масштабных атак на цепочки поставок и атак программ-вымогателей органы по защите данных требуют более тщательного надзора за мерами безопасности, применяемыми организациями, обрабатывающими персональные данные.

Программы-вымогатели появились достаточно давно, но за последние годы стали намного опаснее, поскольку их механизмы и технологии значительно усовершенствовались. Ситуация особенно осложнилась после вступления в силу законодательства GDPR в 2018 году. Из-за этих сравнительно новых правил компании, в которых персональные данные клиентов в результате успешной кибератаки были зашифрованы программой-вымогателем, должны будут не только найти способ расшифровать или восстановить эти данные, но и заплатить крупный штраф за нарушение требований к хранению и защите персональных данных. В 2021 году следует ожидать ужесточения наказаний за нарушение правил работы с персональными данными. Также многие дела, связанные с крупными штрафами за нарушение этих правил, будут рассматриваться в суде, и это позволит количественно оценить юридические риски, связанные с обработкой данных. Компаниям следует тщательно отслеживать новые правила и инструкции по защите от программ-вымогателей, которые периодически публикуют регулирующие органы, отвечающие за защиту персональных данных и кибербезопасность.

Можно также предположить, что в новых странах будут приняты или усилены законы о конфиденциальности и защите ПДн, а также увеличится количество отраслевых законов о конфиденциальности, касающихся государственного сектора и сектора здравоохранения, финансов, поставщиков цифровых услуг и поставщиков решений для критически важной инфраструктуры. Таким образом, можно ожидать большего количества утечек данных, усиления правоприменения и более жесткого регулирования.

Иван Засохлин, глава представительства Commvault в России и СНГ