Откройте! Приватность!

Фото: Turn the page

Кратко: Тема приватности и охраны персональных данных набирает вес во всем мире. До сих пор в Беларуси эта проблема волновала лишь в единичных случаях. Мы живем без правил на этот счет. Однако началось движение на государственном уровне и в Беларуси. Закон о персональных данных скоро выйдет и у нас, хотя ему и будет далеко по уровню требовательности до европейских аналогов. Именно Европейский Общий регламент защиты персональных данных (General Data Protection Regulation) сильно затронет IT сектор Беларуси и всего мира. Работать с европейскими партнерами станет сложнее. Пора готовиться к изменениям уже сейчас.

 

В эпоху бумаги и дорогих компьютеров величиной с комнату автоматическая обработка персональных данных была доступна лишь богатым правительствам. Сейчас найти вас, собрать о вас информацию по “отпечаткам” в интернете может любой продвинутый пользователь, не говоря уже о среднего размера компаниях. День за днем мы слышим о новых скандалах и утечках персональных данных.

Нашумевшие скандалы с персональными данными.

После расследования американских властей в отношении компании Uber, а именно, ее обращения с персональными данными, компания была вынуждена согласиться на 20 лет аудита, а спустя несколько недель ограничила сбор данных о геолокации пользователей. Поводом для расследования послужило сообщение в UX, уведомляющее пользователей, что им надо отключить GPS, если они не хотят, чтобы компания собирала их гео-локацию. Таким образом, волей-неволей пользователи были вынуждены предоставлять данные Uber, если включенная функция GPS  была им необходима для других приложений.

Другой скандал сотряс в прошлом году Германию: обычное приложение World Of Trust (WOT) для браузера Google Chrome, продало плохо анонимизированные персональные данные миллионов своих пользователей журналистке, представившейся маркетологом. Несмотря на то, что база данных была якобы анонимизирована, то есть очищена от имен, IP-адресов и т.д., парочки знающих людей хватило, чтобы написать скрипт сопоставляющих базу с временем публикации постов в социальных сетях пользователей (информация открыта). Благодаря этому в руках журналистки оказалось досье о поведении в Интернет на несколько тысяч немцев, включая политиков, полицейских и др. Чтобы продемонстрировать публике ее уязвимость, телевизионщики сняли лишь несколько историй: видный немецкий политик социал-демократ ищет лекарство для мозговых дисфункций, другой политик (консерватор) смотрит тяжелое порно, кибер-полицейский переводит в google translate официальный запрос в рамках оперативного расследования. Расширение было удалено из маркета, но сколько еще подобных следит за вами, пока вы читаете эту статью?

Персональных данных больше, чем кажется, и они касаются каждого

Может быть на фоне повседневных проблем, большинство беларусов подобные опасности волнуют меньше, чем живущих в предсказуемости и достатке жителей Северной Америки и Европейского союза. Наши граждане живут в повседневных заботах и с трудом осознают новые риски цифровой эры.  Предлагаем взглянуть на инфографику с категориями персональных данных, и убедиться, что вопрос защиты персональных данных напрямую касается каждого.

 

Законы о приватности

Неудивительно, что страны по всему миру обновляют свое законодательство об информационной приватности, в частности:

  • ужесточают наказания,
  • вводят новые ограничения по использованию персональных данных,
  • накладывают запреты на передачу персональных данных в страны, не обеспечивающих их адекватную защиту,
  • закрепляют на бумаге права граждан вроде “права быть забытым”.

Так, 25 мая 2018 г. в Европейском союзе вступает в силу Общий регламент по защите персональных данных (GDPR), который отразится на бизнесе многих компаний по всему миру.

Беларуский закон

Беларусь тоже медленно, но верно движется в этом направлении. Сегодня в разработке Оперативного аналитического центра при Администрации Президента находится концепция закона о “Персональных данных”. Его принятие заявлено на следующий год, хотя и вероятна задержка до 2019 г.  Беларусь станет последней страной в регионе, принявшей законодательство о защите персональных данных (ПД).

В законе предполагается обязать операторов персональных данных соблюдать конкретность и обоснованность целей сбора ПД, обрабатывать их соразмерно с установленными целями (то есть в объеме не избыточным для установленных целей), принятие мер безопасности ПД от любых видов рисков, включая противозаконное использование ПД и их удаление. Скажем “привет” шифрованию и penetration testing! Наконец, появятся и санкции за нарушение этих правил. До сих пор большинство из действий, карающихся в соседних странах административно или уголовно, в Беларуси сходили с рук.  

Обработка ПД будет разрешаться при условии получения согласия физического лица в письменной или электронной форме. Такое согласие должно будет содержать ФИО субъекта данных, дату его рождения, наименование и адрес оператора данных, цель обработки ПД, перечень ПД, на обработку которых дается согласие, описание способов обработки, срок на который дается согласие и порядок отзыва согласия. Обязанность доказать, что такое согласие имеется, возлагается на компанию. При этом согласие не потребуется, если без обработки, оператор не может выполнить договорные обязательства. Еще строже будет порядок обработки чувствительных персональных данных (в законе - “специальные персональные данные”), вроде информации, касающейся здоровья или половой жизни, расовой принадлежности, политических, религиозных или других убеждений, судимости, биометрических характеристик человека. В таких случая согласие может быть дано только в письменной форме.

Традиционно закон закрепляет право граждан на отзыв своего согласия на обработку ПД, на ознакомление с собранными ПД, право требовать внесения изменений в обрабатываемые ПД и их удаления. Окончание срока действия договора автоматически влечет отзыв согласия на обработку ПД.

Беларуский закон не предусматривает ничего революционного, в нем содержатся стандартные нормы об информационной приватности, некоторые из них уже даже успели безнадежно устареть. В частности, это требование регистрации информационных систем, содержащих ПД. От него массово отказываются другие государства, поскольку провести через формальную регистрацию все информационные системы с ПД в современном обществе просто невозможно: их слишком много, они слишком сложны. В тех странах, где регистрация еще сохраняется, заявок на регистрацию накопилось столько, что надзорные органы просто физически не в состоянии их рассмотреть.  С введением GDPR, требование регистрировать информационные системы уйдет в прошлое во всех 28 странах Европейского союза, на смену придут более гибкие меры риск-менеджмента, в том числе DPIA (Data Protection Impact Assessment - Оценки воздействия защиты данных).

Другой устаревший подход - это встраивание надзорного органа (агентства) по защите персональных данных в существующую систему исполнительной власти. В результате получится, что мега-оператор персональных данных - исполнительная власть и ее органы - будет защищать субъектов данных … от самого себя. К сожалению, с зависимым агентством у Беларуси не останется шансов даже в перспективе быть признанной страной, обеспечивающей надлежащий уровень защиты ПД. Это значит, что трансграничная передача персональных данных граждан развитых стран на территорию Беларуси остается незаконной и будет грозить компаниям огромными штрафами.

Надеемся, разработчики закона смогут воспользоваться наработанным в других странах опытом и вовремя успеют поправить законопроект, чтобы не создавать препятствия в работе IT-сектора.

Как отразится GPDR на беларуском IT.

Вместе с тем изменения для беларуского IT-сектора наступят еще раньше, до принятия беларуского закона о “Персональных данных”. К сожалению, изменяющееся в 2018 г. европейское законодательство поставит крест на многих отечественных компаниях, стартапах и их продуктах, ориентированных на рынки Европы. Следовательно, айтишникам предстоит первыми в стране ощутить весь вкус “personal data” и приложить большие усилия, чтобы избежать следующих рисков:

Good bye, европейские заказчики!

Регламент (GDPR) обязывает контроллеров персональных данных (тех, кто определяет как и для каких целей обрабатывать собранную персональную информацию) подбирать только соответствующих GDPR процессоров (тех, кто занимается непосредственной обработкой ПД). Это правило распространяется также на разработчиков ПО в сколь угодно длинной цепочке поставщиков. Если ПО имеет отношение к обработке ПД, европейские компании станут требовать от беларуских аутсорсеров сертификации и доказательства соответствия Регламенту. При этом формальные заверения их не устроят, так как риски для европейских контроллеров слишком высоки - штраф 2-4% от глобального годового оборота, даже если только один из многих поставщиков окажется несоответствующим требованиям GDPR.

Good bye, европейские пользователи приложений под iPhone и Android!

Компании, незарегистрированные в ЕС, но выпустившие приложения, в которых используются ПД европейских пользователей, обязаны соблюдать все требования европейского Регламента, плюс назначить своего представителя в ЕС. Последствия неисполнения для иностранных компаний - те же что и для европейских.

К тому же, это лишь вопрос времени, когда магазины приложений iPhone и Android начнут блокировать в ЕС мобильные приложения, не предоставившие доказательств своего соответствия GDPR. Видимо, это произойдет не сразу после 25 мая 2018 г.. Вначале будет предписание от агентства по защите персональных данных и последующее длительное судебное обжалование со стороны корпораций. Тем не менее, нужно будет быть готовыми и становиться GDPR-compliant не дожидаясь самого худшего.

Good bye, локальные сети между офисами в разных странах.

Как отмечалось выше, европейские данные могут беспрепятственно течь только в страны, обеспечивающие адекватный уровень их защиты. Беларусь, не обладающая строгим законом и независимым агентством по защите персональных данных, в список таких безопасных стран не попадет. Но, предположим, у беларуской компании есть “дочка” в ЕС. Для нее получение личной информации из Европы не будет проблемой. Правда, простое наличие доступа к ресурсу по локальной сети у разработчика, тестировщика, системного администратора из “небезопасной” страны подпадает под понятие обработки персональных данных. Следовательно, европейская “дочка” совершает трансграничную передачу персональных данных в страну, не обеспечивающую надлежащий уровень защиты ПД. Если такая передача надлежащим образом не оформлена с помощью corporate binding rules, standard contract clauses,  то это еще один состав нарушения GPDR.

Выводы

В сети уже опубликована масса статей, в том числе и на русском языке, на тему “что делать”, но хотелось бы обратить внимание на меру, которая особенно будет актуальна для беларуского бизнеса, в силу специфики нашей ситуации: подготовка кадров.

Если в России или Украине законы о персональных данных за десятилетие успели создать прослойку профессионалов, работающих в этой сфере, то существующий в Беларуси правовой вакуум привел к тому что, всех специалистов в стране можно пересчитать по пальцам, бизнес-среда находится в опасном неведении, а руководители многих IT-компаний, работающих на международный рынок, не знают, занимается ли вообще кто-то у них защитой персональных данных, а если и занимается, то в каком отделе сидит этот человек. А между тем, без подготовленных специалистов реализовать сложные требования Регламента просто нереально.

Давно пришла пора отправлять на обучение и сертификацию сотрудников IT, юридического, кадрового отделов и др., чтобы потом составить из них межфункциональную команду для анализа бизнес-процессов организации, выявления персональных данных, создание системы их защиты и др.. При больших объемах персональных данных также придется готовить инспектора по защите персональных данных (тоже норма GDPR). Следует поспешить, потому что до 25 мая 2018 г. времени почти не осталось.  

 Автор:

Сергей Воронкевич - специалист в области защиты персональных данных, юрист, корпоративный тренер. Получил степень MBA по специальности “Global Management” в Германии. Работал в ТНК Allianz SE (Мюнхен), исследовал воздействие GDPR на систему менеджмента информационной безопасности глобальных страховых компаний, ведет курс “Защита персональных данных” в Школе Бизнеса “TopSkills” (Минск).
Версия для печатиВерсия для печати
  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 2
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Читайте также

Комментарии

Страницы

Аватар пользователя mike
Никто так не запутывает мозги, как юристы.

mike пишет:

Никто так не запутывает мозги, как юристы.


А патентоведы? - Там вообще особый язык описания патента. (С)

Аватар пользователя savely

> А патентоведы?

О, точно! ;)

Аватар пользователя mike

Смотря, какие патентоведы. В советские времена описания изобретений были строго алгоритмизированы. Понятие "существенная новизна" было достаточно определённым. А в США -- нет. И тогда, и сейчас. По меркам США все должны платить штрафы за использование микропроцессора практически в любом изделии -- от двигателя до детской куклы -- они, видите ли, "запатентовали".

Европа противопоставила американцам то, что явилось предметом обсуждаемой статьи. Кстати, не прозвучало.

Не люблю юристов и журналистов. За услужливость сильным мира сего.

Аватар пользователя mental

Вот и тут... Точно навязчивая идея. Как бы такой не пришёл редакцию крушить. 

Аватар пользователя mike
>>Как бы такой не пришёл редакцию крушить. <<Не дождётесь!

Если в России или Украине законы о персональных данных за десятилетие успели создать прослойку профессионалов, работающих в этой сфере, то существующий в Беларуси правовой вакуум привел к тому что, всех специалистов в стране можно пересчитать по пальцам, бизнес-среда находится в опасном неведении, а руководители многих IT-компаний, работающих на международный рынок, не знают, занимается ли вообще кто-то у них защитой персональных данных, а если и занимается, то в каком отделе сидит этот человек.

Вообще-то руководители в курсе, кто занимается. Тот же, кто защищает все прочие данные.

mike пишет:

Не люблю юристов и журналистов. За услужливость сильным мира сего.

Был один юрист известный. Пытался защищать простых людей. Неудачно в судах. - Но нельзя сказать что он вообще плохо кончил - Лежит на Красной Площади в мавзолее сейчас.

Аватар пользователя mike

Вот автор писал-писал, а что предлагает? Какие, например, софт-фильтры? Нейронные сети? ИИ? Есть ли какой-нибудь защитник, который бы, пропустив через себя софт, выдал вердикт: "там-то и там-то возможна утечка персональных данных"? И как согласуется защита персональных данных с борьбой против анонимности?

Голословие одно, сорри за прямоту. Голословие и страшилка. Имхо публикации ради.

Страницы

Добавить комментарий