GDPR. Практические советы

Volcano

5 years ago

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступает в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному. За последние полгода провел анализ десятка различных веб-систем на соответствие GDPR, и везде встречались одни и те же проблемы. В связи с этим цель этой статьи не разъяснить, что такое GDPR (об этом уже много написано), а дать практические советы техническим людям, что необходимо сделать в вашей системе, чтобы она соответствовала GDPR.

Пару интересных моментов по регламенту:

Если есть хоть один клиент из Европы, чьи персональные данные вы храните, вы автоматически попадаете под GDPR
Регламент базируется на трёх основных идеях: защита персональных данных, защита прав и свобод людей в защите их данных, ограничение перемещения персональных данных в рамках Евросоюза (Art. 1 GDPR)
UK всё ещё в EU, поэтому подпадает под действие GDPR, после Brexit-а GDPR будет заменён на Data Protection Bill, который по своей сути очень схож с GDPR (https://ico.org.uk/for-organisations/data-protection-bill/)
Серьезно ограничивается трансфер данных в третьи страны. Европейская комиссия определяет, в какие “третьи” страны или в какие сектора или организации в этих странах разрешён трансфер персональных данных Art. 45 GDPR. Вот список разрешённых стран.
Понятно, что внутрь системы просто так надзорный орган никто не пустит, а это значит, что продемонстрировать насколько крута безопасность системы и процессов можно только “на бумаге”. Если безопасность процессов, системы и персональных данных не задокументирована, значит компания не соответствует GDPR. “The controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation.” (Art. 24 GDPR)

Реализация GDPR на практике

Публичные страницы на сайте

Privacy Policy — основной документ, который требует соответствия с GDPR
Должно быть четко прописано, какую Personal и Non-personal информацию система собирает
Для каких целей информация собирается
Какие права пользователь имеет (Art. 15 — 18 GDPR)
Политика хранения данных (Data Retention Policy)
Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались (Art. 5 GDPR)
Трансфер данных в другие страны (International transfers of your personal data) Art. 45 GDPR
Как данные будут защищены
Контактная информация, включая юридический адрес; контакты Data Protection Officer, если он есть
Terms of Use — необходимо добавить жирным текст “The Website is available only to individuals who are at least 16 years old.”, если система не работает целенаправленно с детьми или детским контентом, в противном случае, нужно добавлять в систему функциональность по Age Checks в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16. Art. 8 GDPR
Compliance & Security — опционально, но пользователи уже сейчас спрашивают, что у вас с GDPR, поэтому лучше иметь ресурс, где детально будет расписано, как вы организуете защиту данных
Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки система использует

Страница регистрации

Количество полей должно быть минимальным и обоснованным (’data minimisation‘) Art. 5 GDPR
Гранулированное согласие (Granular Consent) Art. 7 GDPR
Обязательный чекбокс, что согласны с Terms of Use и Privacy Policy
Отдельный чекбокс, если хотите подписать пользователя на почтовую рассылку

Страница профиля пользователя

Пользователь должен иметь возможность изменить любое поле о себе Art. 16 GDPR
Кнопка Delete Account (Art. 17 GDPR). Пользователь должен иметь возможно удалить себя и всю свою информацию из системы.
Кнопка Restrict Processing Mode (Art. 18 GDPR). Если пользователь включил этот режим, то персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV
Снова гранулированное согласие (Granular Consent) Art. 7 GDPR
Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)

Дополнительная функциональность

Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны Art. 5 GDPR. Например, информация в заказах, которые обработаны.
Автоматическое удаление персональных данных в других сервисах, которыми система интегрирована Art. 19 GDPR

Организационные меры по защите данных

Разработка следующих политик и документов

Personal Data Protection Policy Art. 24 (2) GDPR
Inventory of Processing Activities Art. 30 GDPR
Security incident response policy: В течение 72 часов необходимо уведомить свой надзорный орган об утечке (Art. 33 GDPR), нужно уведомить data subject-а, что его данные утекли (но при определённых условиях можно и не делать этого) (Art. 34 GDPR)
Data Breach Notification Form to the Supervisory Authority Art. 33 GDPR
Data Breach Notification Form to the Data Subjects Art. 34 GDPR
Data Retention Policy Articles 5(1)(e), 13(1), 17, 30

“Nice to have“ политики

Data Disposal Policy
Backup policy
System access control Policy
SLA and escalation procedures
Cryptographic control policy
Disaster Recovery and business continuity
Coding standards and rollout procedure
Employment policy and processes
Чтобы не плодить кучу документов, можно объединить их в один IG Policy (Information Governance Policy)

Технические меры по защите данных

Нет в GDPR четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR)

Firewalls, VPN Access
Encryption for data at rest (whole disk, database encryption)
Encryption for data in transit (HTTPS, IPSec, TLS, PPTP, SSH)
Access control (physical and technical)
Intrusion Detection/Prevention, Health Monitoring
Backups encryption
2-factor authentication, Strict authorization
Antivirus
И другие, в зависимости от системы

Несколько специфических моментов, при которых, возможно, потребуется привлечение юристов:

Обработка ‘special data’ (Art. 4 GDPR) по умолчанию запрещена. Сбор персональной информация относительно здоровья, сексуальной жизни и ориентации, биометрических и генетических данных, философских и религиозных верований запрещена (Art. 9 GDPR), за исключением случаев, описанных здесь (Art. 9 GDPR)
Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
Все субконтракторы, с которыми работает data controller, неважно где они находятся, также должны соответствовать GDPR, соответствующие изменения также должны быть внесены в контракты (Art. 28 GDPR)
Субконтрактор не в праве пользоваться услугами другого субконтрактора без письменного согласия data controller-а (Art. 28 GDPR)
Серьёзные ограничения на трансфер данных, поэтому лучше ознакомиться со всеми условиями трансфера, если данные отсылаются или хранятся вне рамок EU (Chapter 5 GDRP)
Data Protection Officer. Эта роль обязательна, если обрабатывается ‘special category of data’ или обработка данных осуществляется государственным органом (Art. 37 GDRP)
United Kingdom. Information Commissioner’s Officer (ICO) registration
Рядовые пользователи также сюда могут направлять свои вопросы и жалобы относительно защиты их данных в той или иной компании, после чего начнутся разбирательства (https://ico.org.uk/for-the-public/raising-concerns/)
Сообщать о взломах и утечках персональных данных тоже компаниями необходимо сюда
Не для всех организаций обязательна регистрация и оплата ежегодных fee в ICO, только для тех, кто попадает под определённые условия (https://ico.org.uk/for-organisations/register/self-assessment/)

Ссылки

Регламент
Чеклист на соответствие GDPR
Гайдлайн для контрактных изменений
Реальный пример штрафа, когда компании сделали рассылку без согласия пользователей

Vziato: https://habr.com/ru/post/353532/