Персональных данных больше, чем кажется, и они касаются каждого

Может быть на фоне повседневных проблем, большинство беларусов подобные опасности волнуют меньше, чем живущих в предсказуемости и достатке жителей Северной Америки и Европейского союза. Наши граждане живут в повседневных заботах и с трудом осознают новые риски цифровой эры.  Предлагаем взглянуть на инфографику с категориями персональных данных, и убедиться, что вопрос защиты персональных данных напрямую касается каждого.

Законы о приватности

Неудивительно, что страны по всему миру обновляют свое законодательство об информационной приватности, в частности:

• ужесточают наказания,
• вводят новые ограничения по использованию персональных данных,
• накладывают запреты на передачу персональных данных в страны, не обеспечивающих их адекватную защиту,
• закрепляют на бумаге права граждан вроде “права быть забытым”.

Так, 25 мая 2018 г. в Европейском союзе вступает в силу Общий регламент по защите персональных данных (GDPR), который отразится на бизнесе многих компаний по всему миру.

Беларуский закон

Беларусь тоже медленно, но верно движется в этом направлении. Сегодня в разработке Оперативного аналитического центра при Администрации Президента находится концепция закона о “Персональных данных”. Его принятие заявлено на следующий год, хотя и вероятна задержка до 2019 г.  Беларусь станет последней страной в регионе, принявшей законодательство о защите персональных данных (ПД).

В законе предполагается обязать операторов персональных данных соблюдать конкретность и обоснованность целей сбора ПД, обрабатывать их соразмерно с установленными целями (то есть в объеме не избыточным для установленных целей), принятие мер безопасности ПД от любых видов рисков, включая противозаконное использование ПД и их удаление. Скажем “привет” шифрованию и penetration testing! Наконец, появятся и санкции за нарушение этих правил. До сих пор большинство из действий, карающихся в соседних странах административно или уголовно, в Беларуси сходили с рук.  

Обработка ПД будет разрешаться при условии получения согласия физического лица в письменной или электронной форме. Такое согласие должно будет содержать ФИО субъекта данных, дату его рождения, наименование и адрес оператора данных, цель обработки ПД, перечень ПД, на обработку которых дается согласие, описание способов обработки, срок на который дается согласие и порядок отзыва согласия. Обязанность доказать, что такое согласие имеется, возлагается на компанию. При этом согласие не потребуется, если без обработки, оператор не может выполнить договорные обязательства. Еще строже будет порядок обработки чувствительных персональных данных (в законе - “специальные персональные данные”), вроде информации, касающейся здоровья или половой жизни, расовой принадлежности, политических, религиозных или других убеждений, судимости, биометрических характеристик человека. В таких случая согласие может быть дано только в письменной форме.

Традиционно закон закрепляет право граждан на отзыв своего согласия на обработку ПД, на ознакомление с собранными ПД, право требовать внесения изменений в обрабатываемые ПД и их удаления. Окончание срока действия договора автоматически влечет отзыв согласия на обработку ПД.

Беларуский закон не предусматривает ничего революционного, в нем содержатся стандартные нормы об информационной приватности, некоторые из них уже даже успели безнадежно устареть. В частности, это требование регистрации информационных систем, содержащих ПД. От него массово отказываются другие государства, поскольку провести через формальную регистрацию все информационные системы с ПД в современном обществе просто невозможно: их слишком много, они слишком сложны. В тех странах, где регистрация еще сохраняется, заявок на регистрацию накопилось столько, что надзорные органы просто физически не в состоянии их рассмотреть.  С введением GDPR, требование регистрировать информационные системы уйдет в прошлое во всех 28 странах Европейского союза, на смену придут более гибкие меры риск-менеджмента, в том числе DPIA (Data Protection Impact Assessment - Оценки воздействия защиты данных).

Другой устаревший подход - это встраивание надзорного органа (агентства) по защите персональных данных в существующую систему исполнительной власти. В результате получится, что мега-оператор персональных данных - исполнительная власть и ее органы - будет защищать субъектов данных … от самого себя. К сожалению, с зависимым агентством у Беларуси не останется шансов даже в перспективе быть признанной страной, обеспечивающей надлежащий уровень защиты ПД. Это значит, что трансграничная передача персональных данных граждан развитых стран на территорию Беларуси остается незаконной и будет грозить компаниям огромными штрафами.

Надеемся, разработчики закона смогут воспользоваться наработанным в других странах опытом и вовремя успеют поправить законопроект, чтобы не создавать препятствия в работе IT-сектора.

Как отразится GPDR на беларуском IT.

Вместе с тем изменения для беларуского IT-сектора наступят еще раньше, до принятия беларуского закона о “Персональных данных”. К сожалению, изменяющееся в 2018 г. европейское законодательство поставит крест на многих отечественных компаниях, стартапах и их продуктах, ориентированных на рынки Европы. Следовательно, айтишникам предстоит первыми в стране ощутить весь вкус “personal data” и приложить большие усилия, чтобы избежать следующих рисков:

Good bye, европейские заказчики!

Регламент (GDPR) обязывает контроллеров персональных данных (тех, кто определяет как и для каких целей обрабатывать собранную персональную информацию) подбирать только соответствующих GDPR процессоров (тех, кто занимается непосредственной обработкой ПД). Это правило распространяется также на разработчиков ПО в сколь угодно длинной цепочке поставщиков. Если ПО имеет отношение к обработке ПД, европейские компании станут требовать от беларуских аутсорсеров сертификации и доказательства соответствия Регламенту. При этом формальные заверения их не устроят, так как риски для европейских контроллеров слишком высоки - штраф 2-4% от глобального годового оборота, даже если только один из многих поставщиков окажется несоответствующим требованиям GDPR.

Good bye, европейские пользователи приложений под iPhone и Android!

Компании, незарегистрированные в ЕС, но выпустившие приложения, в которых используются ПД европейских пользователей, обязаны соблюдать все требования европейского Регламента, плюс назначить своего представителя в ЕС. Последствия неисполнения для иностранных компаний - те же что и для европейских.

К тому же, это лишь вопрос времени, когда магазины приложений iPhone и Android начнут блокировать в ЕС мобильные приложения, не предоставившие доказательств своего соответствия GDPR. Видимо, это произойдет не сразу после 25 мая 2018 г.. Вначале будет предписание от агентства по защите персональных данных и последующее длительное судебное обжалование со стороны корпораций. Тем не менее, нужно будет быть готовыми и становиться GDPR-compliant не дожидаясь самого худшего.

Good bye, локальные сети между офисами в разных странах.

Как отмечалось выше, европейские данные могут беспрепятственно течь только в страны, обеспечивающие адекватный уровень их защиты. Беларусь, не обладающая строгим законом и независимым агентством по защите персональных данных, в список таких безопасных стран не попадет. Но, предположим, у беларуской компании есть “дочка” в ЕС. Для нее получение личной информации из Европы не будет проблемой. Правда, простое наличие доступа к ресурсу по локальной сети у разработчика, тестировщика, системного администратора из “небезопасной” страны подпадает под понятие обработки персональных данных. Следовательно, европейская “дочка” совершает трансграничную передачу персональных данных в страну, не обеспечивающую надлежащий уровень защиты ПД. Если такая передача надлежащим образом не оформлена с помощью corporate binding rules, standard contract clauses,  то это еще один состав нарушения GPDR.

Выводы

В сети уже опубликована масса статей, в том числе и на русском языке, на тему “что делать”, но хотелось бы обратить внимание на меру, которая особенно будет актуальна для беларуского бизнеса, в силу специфики нашей ситуации: подготовка кадров.

Если в России или Украине законы о персональных данных за десятилетие успели создать прослойку профессионалов, работающих в этой сфере, то существующий в Беларуси правовой вакуум привел к тому что, всех специалистов в стране можно пересчитать по пальцам, бизнес-среда находится в опасном неведении, а руководители многих IT-компаний, работающих на международный рынок, не знают, занимается ли вообще кто-то у них защитой персональных данных, а если и занимается, то в каком отделе сидит этот человек. А между тем, без подготовленных специалистов реализовать сложные требования Регламента просто нереально.

Давно пришла пора отправлять на обучение и сертификацию сотрудников IT, юридического, кадрового отделов и др., чтобы потом составить из них межфункциональную команду для анализа бизнес-процессов организации, выявления персональных данных, создание системы их защиты и др.. При больших объемах персональных данных также придется готовить инспектора по защите персональных данных (тоже норма GDPR). Следует поспешить, потому что до 25 мая 2018 г. времени почти не осталось.