Что нужно сделать ИТ-компаниям для соответствия новым правилам защиты данных в ЕС

16 комментариев
Что нужно сделать ИТ-компаниям для соответствия новым правилам защиты данных в ЕС

CEO стартапа по обнаружению внешнего воздействия на ИТ-системы Dhound.io Денис Колошко написал для dev.by колонку о том, как компаниям стоит подготовиться к вступлению в силу европейских правил по защите данных — и каким компаниям стоит это сделать.

Читать далее

Иллюстрация: Tinobusiness

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступает в силу 25 мая 2018 года. Как и любой официальный документ, он написан сухо и может трактоваться по-разному. Цель этой статьи — не разъяснить, что такое GDPR (об этом уже много написано), а дать практические советы техническим людям, что необходимо сделать в вашей системе, чтобы она соответствовала GDPR. Вся информация основана на анализе десятка различных веб-систем на соответствие новым правилам.

Интересные моменты в регламенте

  • Если у компании есть хотя бы один клиент из Европы, чьи персональные данные хранятся на серверах, она автоматически попадает под действие GDRP;
     
  • Регламент базируется на трёх основных идеях: защита персональных данных, защита прав и свобод людей в защите их данных, ограничение перемещения персональных данных в рамках Евросоюза;
     
  • Великобритания всё ещё входит в состав ЕС, поэтому подпадает под действие GDPR, после Brexit-а GDPR будет заменён на Data Protection Bill, который по своей сути очень схож с GDPR;
     
  • Серьезно ограничивается трансфер данных в третьи страны. Европейская комиссия определяет, в какие «третьи» страны или в какие сектора или организации в этих странах разрешён трансфер персональных данных (ст. 45). К примеру, Беларуси в списке нет;
     
  • Продемонстрировать насколько крута безопасность системы и процессов можно только «на бумаге». Если безопасность процессов, системы и персональных данных не задокументирована, значит компания не соответствует GDPR (ст. 24).

Реализация GDPR на практике

1. Публичные страницы на сайте

  • Privacy Policy — основной документ, который требует соответствия с GDPR
    • Должно быть четко прописано, какую Personal и Non-personal информацию система собирает;
    • Для каких целей собирается информация;
    • Какие права пользователь имеет (ст. 15-18);
    • Политика хранения данных (Data Retention Policy)
      • Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались (ст.5)
    • Трансфер данных в другие страны (ст.45);
    • Как данные будут защищены;
    • Контактная информация, включая юридический адрес, а также контакты Data Protection Officer, если он есть;
       
  • В условиях пользования необходимо добавить жирным шрифтом текст о возрастном ограничении «The Website is available only to individuals who are at least 16 years old», если система не работает целенаправленно с детьми или детским контентом. В противном случае, нужно добавлять в систему функциональность по определению возраста пользователя в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16 (ст.8);
     
  • Compliance & Security — опционально, но пользователи уже сейчас интересуются ситуацией с GDPR у компаний, поэтому лучше иметь раздел, где будет детально расписана организация защиты данных;
     
  • Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки использует система;

2. Страница регистрации:

  • Количество полей должно быть минимальным и обоснованным (ст.5);
     
  • Подробное согласие (Granular Consent) (ст.7)
    • Обязательный чекбокс, что пользователь согласен с Условиями использования и Политикой приватности;
    • Отдельный чекбокс, если компания хочет подписать пользователя на почтовую рассылку.

Иллюстрация: altalex.com

3. Страница профиля пользователя:

  • Пользователь должен иметь возможность изменить любое поле о себе (ст.16)
     
  • Кнопка Delete Account (ст.17). Пользователь должен иметь возможно удалить себя и всю свою информацию из системы;
     
  • Кнопка Restrict Processing Mode (ст.18). Если пользователь включил этот режим, персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Подход GDPR предполагает, что это является альтернативой полного удаления пользователя из системы;
     
  • Кнопка получения собстенной информации Export Personal Data (ст.20). Выгружать её можно в любом формате: XML, JSON, CSV;
     
  • Снова подробное согласие (ст.7)
    • Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)

4. Дополнительная функциональность

  • Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны (ст.17). Например, информация из уже обработанных заказов;
  • Автоматическое удаление персональных данных в других сервисах, с которыми интегрирована система (ст.19).

5. Организационные меры по защите данных

  • Разработка следующих политик и документов
    • Personal Data Protection Policy (ст.24(2));
    • Inventory of Processing Activities (ст.30);
    • Security incident response policy:  
      • В течение 72 часов необходимо уведомить надзорный орган об утечке информации (ст.33);
      • нужно уведомить субъекта данных, что его данные утекли. При определённых условиях этого можно и не делать. (ст.34);
    • Data Breach Notification Form to the Supervisory Authority (ст.33);
    • Data Breach Notification Form to the Data Subjects (ст.34);
    • Data Retention Policy
       
  • Документы, которые могут пригодиться
    • Data Disposal Policy
    • Backup policy
    • System access control Policy
    • SLA and escalation procedures
    • Cryptographic control policy
    • Disaster Recovery and business continuity
    • Coding standards and rollout procedure
    • Employment policy and processes
       
  • Чтобы не плодить кучу документов, можно объединить их в один — IG Policy (Information Governance Policy).

6. Технические меры по защите данных

  • В GDPR нет чётких предписаний, какие меры безопасности применять, но архитектура должна быть построена по принципу Data protection by design and by default (ст.25);
     
  • Фаерволы, доступ по VPN;
     
  • Шифрование для неиспользуемых данных;
     
  • Шифрования данных во время их передачи (HTTPS, IPSec, TLS, PPTP, SSH);
     
  • Контроль доступа (физический и технический);
     
  • Обнаружение и предотвращение вторжений, мониторинг состояния системы;
     
  • Шифрование бэкапов;
     
  • Двухфакторная аутентификация, жёсткая авторизация;
     
  • Антивирус;
     
  • И другие меры, в зависимости от системы

Несколько специфических моментов, при которых возможно потребуют привлечения юристов:

  • Обработка ‘special data’ (ст.4) по умолчанию запрещена. Сбор персональной информация относительно здоровья, сексуальной жизни и ориентации, биометрических и генетических данных, философских и религиозных верований также запрещён (ст.9), за исключением случаев, описанных в документе;
     
  • Если контроллер или процессор не зарегистрированы в зоне ЕС, то должен быть назначен официальный и документально подтвержденный представитель (ст.27);
     
  • Все субконтракторы, с которыми работает data controller — неважно, где они находятся — также должны соответствовать GDPR, а соответствующие изменения также должны быть внесены в контракты (ст.28);
     
  • Субконтрактор не в праве пользоваться услугами другого субконтрактора без письменного согласия data controller-а (ст.28);
     
  • Существуют серьёзные ограничения на трансфер данных, поэтому лучше ознакомиться со всеми условиями трансфера, если данные отсылаются или хранятся вне рамок ЕС (глава 5);
     
  • Data Protection Officer. Эта роль обязательна, если компания обрабатывает «особые категории информации» или обработка данных осуществляется государственным органом (ст.37)

Полезные ссылки:

Хотите сообщить важную новость?

Пишите в наш Телеграм

Горячие события

.NET Summit Belarus 2020  Online Edition Conference
7 августа — 8 августа

.NET Summit Belarus 2020 Online Edition Conference

Минск

Читайте также

Reuters: ЕС запустит антимонопольное расследование сделки Google и Fitbit
Reuters: ЕС запустит антимонопольное расследование сделки Google и Fitbit

Reuters: ЕС запустит антимонопольное расследование сделки Google и Fitbit

Международный холдинг ERC — официальный дистрибутор Veritas в Беларуси
Международный холдинг ERC — официальный дистрибутор Veritas в Беларуси

Международный холдинг ERC — официальный дистрибутор Veritas в Беларуси

Международный холдинг ERC начал работать в Беларуси и Украине с VERITAS TECHNOLOGIES LLC, крупной компанией в области разработки решений резервного копирования и аварийного восстановления данных, управления информацией, защиты и хранения данных.
Россия «давит»: хочет перевести Беларусь на свои цифровые платформы
Россия «давит»: хочет перевести Беларусь на свои цифровые платформы

Россия «давит»: хочет перевести Беларусь на свои цифровые платформы

33 комментария
Экс-глава «Белтелекома» получил 7 лет колонии за взятки
Экс-глава «Белтелекома» получил 7 лет колонии за взятки

Экс-глава «Белтелекома» получил 7 лет колонии за взятки

2 комментария

Обсуждение

Егор Павловец
Егор Павловец Project and engineering manager в ITS Partner
8

Спасибо за отличный материал!

Veronica  Yudina
Veronica Yudina Business Development Manager в IT Band Systems
1

Благодарим! В качестве системы обнаружения вторжений рекомендуем https://dhound.io/

3

Автор писал ранее и для habr.com. https://habr.com/post/353532/.

Veronica  Yudina
Veronica Yudina Business Development Manager в IT Band Systems
1

Спасибо за бдительность, но прошу обратить внимание на то, что автор статьи на https://habr.com/post/353532/ тоже Денис Колошко CEO at Dhound.io, эта информация размещена в конце статьи под ссылками на источники.

2

Прямо в тему. Только сегодня обсуждали. Спасибо!

j-l
j-l Ruby/Rails senior developer в Full Spectrum Systems
2

Так, добры матэрыял. У нас на праекце таскаў прыбавілася з-за гэтых зменаў, да 25-га траўня трэба паспець.

7

Это перепечатка?
Где то я это уже чуть ли не слово в слово читал уже, примерно неделю назад если не больше.

Veronica  Yudina
Veronica Yudina Business Development Manager в IT Band Systems
4

Автор статьи разместил ее на нескольких ресурсах, однако, модерация на dev.by проходила дольше всего.

2

А, понятно, спасибо!

5

Непонятно только что делать с мобильным приложением, если у него нет сайта, но есть аккаунты? O_o Это также могут быть запросы (на доступ) приложения к сайту где подобная информация хранится. В принципе если персональная информация не используется то и хранить ее не надо.

Veronica  Yudina
Veronica Yudina Business Development Manager в IT Band Systems
8

В любом случае, где-то должно быть опубликовано Privacy Policy и Terms of Use, с которыми пользователю нужно согласиться при регистрации. В Privacy Policy как раз должно быть расписано какие данные собираете, для каких целей, и как их защищаете.

5

Это понятно. Я думал о выгрузке данных.

Anonymous
Anonymous
2

Акаунты != персональные данные. От этого и пляшите.

Константин Конопко
Константин Конопко Android developer в ITRex Group
3

Какие данные есть персональная информация?

Константин Конопко
Константин Конопко Android developer в ITRex Group
0

А что делать с ПД в резервных копиях БД, если юзер закрывает доступ или удаляет аккаунт?

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже