Откройте! Приватность!

Фото: Turn the page

Кратко: Тема приватности и охраны персональных данных набирает вес во всем мире. До сих пор в Беларуси эта проблема волновала лишь в единичных случаях. Мы живем без правил на этот счет. Однако началось движение на государственном уровне и в Беларуси. Закон о персональных данных скоро выйдет и у нас, хотя ему и будет далеко по уровню требовательности до европейских аналогов. Именно Европейский Общий регламент защиты персональных данных (General Data Protection Regulation) сильно затронет IT сектор Беларуси и всего мира. Работать с европейскими партнерами станет сложнее. Пора готовиться к изменениям уже сейчас.

 

В эпоху бумаги и дорогих компьютеров величиной с комнату автоматическая обработка персональных данных была доступна лишь богатым правительствам. Сейчас найти вас, собрать о вас информацию по “отпечаткам” в интернете может любой продвинутый пользователь, не говоря уже о среднего размера компаниях. День за днем мы слышим о новых скандалах и утечках персональных данных.

 

Нашумевшие скандалы с персональными данными.

После расследования американских властей в отношении компании Uber, а именно, ее обращения с персональными данными, компания была вынуждена согласиться на 20 лет аудита, а спустя несколько недель ограничила сбор данных о геолокации пользователей. Поводом для расследования послужило сообщение в UX, уведомляющее пользователей, что им надо отключить GPS, если они не хотят, чтобы компания собирала их гео-локацию. Таким образом, волей-неволей пользователи были вынуждены предоставлять данные Uber, если включенная функция GPS  была им необходима для других приложений.

Другой скандал сотряс в прошлом году Германию: обычное приложение World Of Trust (WOT) для браузера Google Chrome, продало плохо анонимизированные персональные данные миллионов своих пользователей журналистке, представившейся маркетологом. Несмотря на то, что база данных была якобы анонимизирована, то есть очищена от имен, IP-адресов и т.д., парочки знающих людей хватило, чтобы написать скрипт сопоставляющих базу с временем публикации постов в социальных сетях пользователей (информация открыта). Благодаря этому в руках журналистки оказалось досье о поведении в Интернет на несколько тысяч немцев, включая политиков, полицейских и др. Чтобы продемонстрировать публике ее уязвимость, телевизионщики сняли лишь несколько историй: видный немецкий политик социал-демократ ищет лекарство для мозговых дисфункций, другой политик (консерватор) смотрит тяжелое порно, кибер-полицейский переводит в google translate официальный запрос в рамках оперативного расследования. Расширение было удалено из маркета, но сколько еще подобных следит за вами, пока вы читаете эту статью?

Персональных данных больше, чем кажется, и они касаются каждого

Может быть на фоне повседневных проблем, большинство беларусов подобные опасности волнуют меньше, чем живущих в предсказуемости и достатке жителей Северной Америки и Европейского союза. Наши граждане живут в повседневных заботах и с трудом осознают новые риски цифровой эры.  Предлагаем взглянуть на инфографику с категориями персональных данных, и убедиться, что вопрос защиты персональных данных напрямую касается каждого.

 

Законы о приватности

Неудивительно, что страны по всему миру обновляют свое законодательство об информационной приватности, в частности:

  • ужесточают наказания,
  • вводят новые ограничения по использованию персональных данных,
  • накладывают запреты на передачу персональных данных в страны, не обеспечивающих их адекватную защиту,
  • закрепляют на бумаге права граждан вроде “права быть забытым”.

Так, 25 мая 2018 г. в Европейском союзе вступает в силу Общий регламент по защите персональных данных (GDPR), который отразится на бизнесе многих компаний по всему миру.

Беларуский закон

Беларусь тоже медленно, но верно движется в этом направлении. Сегодня в разработке Оперативного аналитического центра при Администрации Президента находится концепция закона о “Персональных данных”. Его принятие заявлено на следующий год, хотя и вероятна задержка до 2019 г.  Беларусь станет последней страной в регионе, принявшей законодательство о защите персональных данных (ПД).

В законе предполагается обязать операторов персональных данных соблюдать конкретность и обоснованность целей сбора ПД, обрабатывать их соразмерно с установленными целями (то есть в объеме не избыточным для установленных целей), принятие мер безопасности ПД от любых видов рисков, включая противозаконное использование ПД и их удаление. Скажем “привет” шифрованию и penetration testing! Наконец, появятся и санкции за нарушение этих правил. До сих пор большинство из действий, карающихся в соседних странах административно или уголовно, в Беларуси сходили с рук.  

Обработка ПД будет разрешаться при условии получения согласия физического лица в письменной или электронной форме. Такое согласие должно будет содержать ФИО субъекта данных, дату его рождения, наименование и адрес оператора данных, цель обработки ПД, перечень ПД, на обработку которых дается согласие, описание способов обработки, срок на который дается согласие и порядок отзыва согласия. Обязанность доказать, что такое согласие имеется, возлагается на компанию. При этом согласие не потребуется, если без обработки, оператор не может выполнить договорные обязательства. Еще строже будет порядок обработки чувствительных персональных данных (в законе - “специальные персональные данные”), вроде информации, касающейся здоровья или половой жизни, расовой принадлежности, политических, религиозных или других убеждений, судимости, биометрических характеристик человека. В таких случая согласие может быть дано только в письменной форме.

Традиционно закон закрепляет право граждан на отзыв своего согласия на обработку ПД, на ознакомление с собранными ПД, право требовать внесения изменений в обрабатываемые ПД и их удаления. Окончание срока действия договора автоматически влечет отзыв согласия на обработку ПД.

Беларуский закон не предусматривает ничего революционного, в нем содержатся стандартные нормы об информационной приватности, некоторые из них уже даже успели безнадежно устареть. В частности, это требование регистрации информационных систем, содержащих ПД. От него массово отказываются другие государства, поскольку провести через формальную регистрацию все информационные системы с ПД в современном обществе просто невозможно: их слишком много, они слишком сложны. В тех странах, где регистрация еще сохраняется, заявок на регистрацию накопилось столько, что надзорные органы просто физически не в состоянии их рассмотреть.  С введением GDPR, требование регистрировать информационные системы уйдет в прошлое во всех 28 странах Европейского союза, на смену придут более гибкие меры риск-менеджмента, в том числе DPIA (Data Protection Impact Assessment - Оценки воздействия защиты данных).

Другой устаревший подход - это встраивание надзорного органа (агентства) по защите персональных данных в существующую систему исполнительной власти. В результате получится, что мега-оператор персональных данных - исполнительная власть и ее органы - будет защищать субъектов данных … от самого себя. К сожалению, с зависимым агентством у Беларуси не останется шансов даже в перспективе быть признанной страной, обеспечивающей надлежащий уровень защиты ПД. Это значит, что трансграничная передача персональных данных граждан развитых стран на территорию Беларуси остается незаконной и будет грозить компаниям огромными штрафами.

Надеемся, разработчики закона смогут воспользоваться наработанным в других странах опытом и вовремя успеют поправить законопроект, чтобы не создавать препятствия в работе IT-сектора.

Как отразится GPDR на беларуском IT.

Вместе с тем изменения для беларуского IT-сектора наступят еще раньше, до принятия беларуского закона о “Персональных данных”. К сожалению, изменяющееся в 2018 г. европейское законодательство поставит крест на многих отечественных компаниях, стартапах и их продуктах, ориентированных на рынки Европы. Следовательно, айтишникам предстоит первыми в стране ощутить весь вкус “personal data” и приложить большие усилия, чтобы избежать следующих рисков:

Good bye, европейские заказчики!

Регламент (GDPR) обязывает контроллеров персональных данных (тех, кто определяет как и для каких целей обрабатывать собранную персональную информацию) подбирать только соответствующих GDPR процессоров (тех, кто занимается непосредственной обработкой ПД). Это правило распространяется также на разработчиков ПО в сколь угодно длинной цепочке поставщиков. Если ПО имеет отношение к обработке ПД, европейские компании станут требовать от беларуских аутсорсеров сертификации и доказательства соответствия Регламенту. При этом формальные заверения их не устроят, так как риски для европейских контроллеров слишком высоки - штраф 2-4% от глобального годового оборота, даже если только один из многих поставщиков окажется несоответствующим требованиям GDPR.

Good bye, европейские пользователи приложений под iPhone и Android!

Компании, незарегистрированные в ЕС, но выпустившие приложения, в которых используются ПД европейских пользователей, обязаны соблюдать все требования европейского Регламента, плюс назначить своего представителя в ЕС. Последствия неисполнения для иностранных компаний - те же что и для европейских.

К тому же, это лишь вопрос времени, когда магазины приложений iPhone и Android начнут блокировать в ЕС мобильные приложения, не предоставившие доказательств своего соответствия GDPR. Видимо, это произойдет не сразу после 25 мая 2018 г.. Вначале будет предписание от агентства по защите персональных данных и последующее длительное судебное обжалование со стороны корпораций. Тем не менее, нужно будет быть готовыми и становиться GDPR-compliant не дожидаясь самого худшего.

Good bye, локальные сети между офисами в разных странах.

Как отмечалось выше, европейские данные могут беспрепятственно течь только в страны, обеспечивающие адекватный уровень их защиты. Беларусь, не обладающая строгим законом и независимым агентством по защите персональных данных, в список таких безопасных стран не попадет. Но, предположим, у беларуской компании есть “дочка” в ЕС. Для нее получение личной информации из Европы не будет проблемой. Правда, простое наличие доступа к ресурсу по локальной сети у разработчика, тестировщика, системного администратора из “небезопасной” страны подпадает под понятие обработки персональных данных. Следовательно, европейская “дочка” совершает трансграничную передачу персональных данных в страну, не обеспечивающую надлежащий уровень защиты ПД. Если такая передача надлежащим образом не оформлена с помощью corporate binding rules, standard contract clauses,  то это еще один состав нарушения GPDR.

Выводы

В сети уже опубликована масса статей, в том числе и на русском языке, на тему “что делать”, но хотелось бы обратить внимание на меру, которая особенно будет актуальна для беларуского бизнеса, в силу специфики нашей ситуации: подготовка кадров.

Если в России или Украине законы о персональных данных за десятилетие успели создать прослойку профессионалов, работающих в этой сфере, то существующий в Беларуси правовой вакуум привел к тому что, всех специалистов в стране можно пересчитать по пальцам, бизнес-среда находится в опасном неведении, а руководители многих IT-компаний, работающих на международный рынок, не знают, занимается ли вообще кто-то у них защитой персональных данных, а если и занимается, то в каком отделе сидит этот человек. А между тем, без подготовленных специалистов реализовать сложные требования Регламента просто нереально.

Давно пришла пора отправлять на обучение и сертификацию сотрудников IT, юридического, кадрового отделов и др., чтобы потом составить из них межфункциональную команду для анализа бизнес-процессов организации, выявления персональных данных, создание системы их защиты и др.. При больших объемах персональных данных также придется готовить инспектора по защите персональных данных (тоже норма GDPR). Следует поспешить, потому что до 25 мая 2018 г. времени почти не осталось.  

 Автор:

Сергей Воронкевич - специалист в области защиты персональных данных, юрист, корпоративный тренер. Получил степень MBA по специальности “Global Management” в Германии. Работал в ТНК Allianz SE (Мюнхен), исследовал воздействие GDPR на систему менеджмента информационной безопасности глобальных страховых компаний, ведет курс “Защита персональных данных” в Школе Бизнеса “TopSkills” (Минск).
Версия для печатиВерсия для печати
  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 2
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Читайте также

 

Комментарии

Страницы

Эдуард пишет:

Если в России или Украине законы о персональных данных за десятилетие успели создать прослойку профессионалов, работающих в этой сфере, то существующий в Беларуси правовой вакуум привел к тому что, всех специалистов в стране можно пересчитать по пальцам, бизнес-среда находится в опасном неведении, а руководители многих IT-компаний, работающих на международный рынок, не знают, занимается ли вообще кто-то у них защитой персональных данных, а если и занимается, то в каком отделе сидит этот человек.

Вообще-то руководители в курсе, кто занимается. Тот же, кто защищает все прочие данные.

Эдуард, спасибо, за комментарий по существу! 

Здесь идет речь не о всех руководителях, а о некоторых. Не могу говорить за ВСЕХ, так как не имел возможности поговорить со всеми. 

Их тех, с кем я общался, лишь один директор имел понятие о защите персональных данных, хотя и признал что у него в компании этим НИКТО не занимается. 

Другие топ-менеджеры (таких было большинство) называли, что у них в в компании защитой персональных данных "серьезно занимаются", но в процессе беседы выявлялось, что они либо 
1) под защитой персональных данных имели ввиду IT-безопасность (две разные, хотя и взаимосвязанные вещи), либо 
2) защиту персональных данных путали с защитой авторских прав (совершенно разные вещи), либо 
3) питали иллюзии, что персональные данные защищаются незаметно для руководства, потому что их "сотрудники, наверное, это предусмотрели" (без подключения всей верхушки компании выполнить требования регламента GDPR просто нереально - в своей статье на dev.by я привожу примеры таких требований). 

Очевидно, что они не знали, где же у них в компании находится реальный инспектор по защите персональных данных (его просто нету!). 

К сожалению, формат статьи не позволял уходить в такие детали, но, надеюсь, что вы теперь понимаете, почему я написал "руководители многих IT-компаний, работающих на международный рынок, не знают, занимается ли вообще кто-то у них защитой персональных данных, а если и занимается, то в каком отделе сидит этот человек."

Вместе с тем, наиболее чуткие к изменениям обстановки руководители уловили ситуацию и начали действовать. Они уже задают правильные вопросы: "Какие проекты и процессы подпадают под действие GDPR?", "Кто в моей компании займется внедрением защиты персональных данных?" Это не может не радовать. У таких компаний есть шанс не только сохранить клиентов и избежать штрафов, но и забрать часть рынка у менее поворотливых конкурентов. 

mike пишет:

Вот автор писал-писал, а что предлагает? Какие, например, софт-фильтры? Нейронные сети? ИИ? Есть ли какой-нибудь защитник, который бы, пропустив через себя софт, выдал вердикт: "там-то и там-то возможна утечка персональных данных"? И как согласуется защита персональных данных с борьбой против анонимности?

Голословие одно, сорри за прямоту. Голословие и страшилка. Имхо публикации ради.

Mike, жаль, что вы не вчитались в первый абзац, который говорит о чем статья. Он специально написан, чтобы вы не искали в ней софт-фильтры, нейронные сети, ИИ и прочие магические пилюли. 

Статья о том, как информационная приватность приходит в Беларусь (Закон о персональных данных) и в беларуский IT-сектор (Общий регламент защиты данных GDPR). В ней также также говорится, что беларуские власти рискуют принять устаревшие нормы (зависимое агентство по защите персональных данных и государственная регистрация информационных систем) и тем самым обрекут страну на статус "небезопасной для персональных данных". Также указывается на проблему кадрового голода в области защиты персональных данных.

Найдите все же время прочесть статью целиком! Если не хотите, то не советую вам читать мою статью про 7 шагов на пути подготовки к GDPR и гуглить материалы других авторов, так как и там магического рецепта тоже не найдете. Вместо этого: много рутины и комплексных изменений в проектах, процессах, организациях.

Аватар пользователя mike

Жаль, что вы не вчитались...

Даже дважды читал. :) Что такое утечка персональных данных, знал и до Вашей статьи. Вы не ответили на мой вопрос: как согласуются эта утечка и борьба с анонимностью? (Если будете отвечать, то, пожалуйста, без пространной тавтологии.)

 

Также указывается на проблему кадрового голода в области защиты персональных данных.

Покажите объявления с поиском о найме на работу. Расскажите, кому из белорусских производителей ПО и ИТ-компаний требуется защищать персональные данные? Проблема высосана из пальца. Персональные данные в большинстве организаций - это данные отдела кадров, которые защищаются совместно с прочими коммерческими данными. Единичные организации, вроде Минтруда и соцзащиты.

Аватар пользователя savely

> как согласуются эта утечка и борьба с анонимностью?

Никак. В компетентные органы (каковые борются с анонимностью) ПД не "утекают", они добровольно предоставляются операторами. 

+1
Аватар пользователя VladB

Проблема защиты персональных данных куда как шире обычной ИТ-безопасности. Причем очень часто руководство реально не понимает какие данные являются персональными, а какие нет. 

Вопрос. Телефонный справочник сотрудников, в котором указаны мобильные телефоны сотрудников, защищать нужно или нет?

В больнице регистратура? Список я могу продолжить. Кстати, говорившему что персональные данные это только отдел кадров. Это не так. Совсем не так. Бюро пропусков. В котором хранятся ваши фотографии и ФИО. Это персональные данные?

Влад, проблема надумана. Если номера телефонов принадлежат компании, то компания решает, как с ними поступать, вплоть до публикации в открытых источниках. Если телефон мой личный, то решаю я.

Вся внутренняя документация не подлежит распространению. Документы выходят за пределы предприятия только за подписью руководителя.

Аватар пользователя VladB

Увы, проблема не надумана. Совсем! 

VladB пишет:

Увы, проблема не надумана. Совсем! 

 

Аргументируете?

Страницы