Новые требования ЕС к защите персональных данных с мая 2018

Защита персональных данных - проблема, которая уже достаточно давно является актуальной не только для украинских компаний. Но в текущем году этот вопрос должен стать настоящим вызовом для украинских игроков, которые в своей экономической деятельности используют персональные данные граждан и жителей Европейского Союза. Дело в том, что начиная с 25 мая 2018 года в юридическом поле Европейского Союза вступает в силу новый нормативный акт - Общий Регламент защиты данных, более известный как GDPR (General Data Protection Regulation). Евросоюз переходит на новые правила обращения с персональными данными, а Регламент касается любой работы с персональными данными, в том числе сбора, хранения, передачи.

За пределами ЕС выполнять EU GDPR должны будут в первую очередь:

  1. Приложения, облачные решения, работающие с европейскими персональными данными.
  2. Аутсорcингови компании в ИТ-отрасли.
  3. Интернет-магазины, социальные сети.
  4. Банки, медицинские компании, организаторы публичных мероприятий.

В случае несоблюдения требований GDPR - потеря европейских клиентов, рынков и риск штрафов за нарушение нормы в 20 млн евро или 2-4% от годового оборота нарушителя.

Что имеется в виду под персональными данными в GDPR?

Персональные данные - это любая информация, относящаяся к идентифицированной физического лица (субъект данных), по которой прямо или косвенно можно ее определить. К такой информации можно отнести имя, данные о местонахождении, онлайн идентификатор, один или несколько факторов, характерных для физической, генетической, умственной, экономической, культурной и социальной идентичности этого физического лица. Определение широкое и достаточно четко дает понять, что даже IP-адреса пользователей также могут быть персональными данными.

Важно отметить, что существуют некоторые типы данных, относящихся к категории особых или конфиденциальных персональных данных. Это информация, содержащая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические и биометрические данные, которые могут быть использованы для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или ориентации.

Что делать?

Если ваша компания попадает под действие нового европейского регламента о защите данных, или планирует поставку товаров или услуг в страны ЕС, то рекомендуется провести комплексную оценку методов и средств обработки персональных данных, используемых в компании, и привести их в соответствие с новыми правилами GDPR. Также нужно пересмотреть политику конфиденциальности и положения рамочных соглашений с пользователями по обработке их персональных данных. Для соответствия требованиям GDPR необходимо разработать внутренние политики защиты данных, обучить персонал, провести проверку деятельности по обработке данных, наладить процесс документирования процессов обработки, принять меры по организации системы конфиденциальности, а также назначить сотрудника, ответственного за обработку персональных данных.

Хотя новые требования к обработке персональных данных достаточно серьезные и жесткие, в них есть и положительные стороны для украинских компаний: проще придерживаться единого набора правил защиты и обработки данных, чем учитывать национальные нюансы обработки персональных данных каждой отдельной европейской страны, как это приходилось делать до введения GDPR. Более того, реформа направлена ​​на стимулирование экономического роста путем сокращения расходов и бюрократии для компаний, работающих в ЕС. Соблюдение одного правила вместо 28 (количество стран-членов ЕС) поможет маленьким компаниям развивающихся выйти на новые рынки. Согласно закону, в некоторых случаях обязательства изменяются в зависимости от размера бизнеса, природы данных, обрабатываемых и других факторов.

Также полезным будет заранее продумать механизмы реагирования на запросы европейских регуляторов и субъектов персональных данных, возможные в рамках GDPR, например об уточнении данных, их удаление, прекращение обработки или передачи другой компании в рамках права на перемещение данных.

Основные принципы обработки данных по GDPR

Общий подход европейцев к обработке персональных данных изложен в виде 6 основных принципов:

  1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о цели, методы и объемы обработки персональных данных имеется выкладывать максимально доступно и просто.
  2. Ограничение применения. Персональные данные должны собираться и использоваться исключительно в целях, была заявлена ​​компанией (или онлайн-сервисом).
  3. Минимизация данных. Запрещается собирать личные данные в большем объеме, чем тот, что нужен для достижения цели обработки.
  4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
  5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для достижения цели обработки
  6. Целостность и конфиденциальность. При обработке данных пользователей компания обязана обеспечить защиту персональных данных от несанкционированного или незаконной обработки, уничтожения и повреждения.

Технические средства реализации соблюдение норм GDPR

Здесь нужно признать, что ни одно отдельное решение не обеспечит соответствие организации положением о защите данных. Требования слишком широкие и покрывают все аспекты - от управления до обязательств по контракту. Однако набор решений Gemalto's SafeNet поможет вашей организации достичь соответствии с обязательствами по обеспечению безопасности данных.

Компания Gemalto - всемирно-известный лидер в области решений по информационной безопасности - предлагает единственное полное портфолио продуктов для защиты данных, работающих совместно для обеспечения устойчивого защиты и управления конфиденциальными данными, и соответствуют нормам GDPR.

Ядром системы для защиты данных является программно-аппаратный комплекс Keysecure, предназначенный для создания, хранения и управления жизненным циклом криптографических ключей для шифрования данных.

Ядром системы для защиты данных является программно-аппаратный комплекс Keysecure, предназначенный для создания, хранения и управления жизненным циклом криптографических ключей для шифрования данных

Вокруг Keysecure, в зависимости от типа данных, должны защищаться, архитектуры системы хранения данных и сервисов, принимающих участие в обработке, могут быть применены следующие программные продукты Gemalto:

ProtectV - для шифрования дисков виртуальных машин VMWare, AWS, Azure.

ProtectDB - для шифрования баз данных Oracle, MS SQL, IBM DB2, Teradata.

ProtectFile - для выборочного шифрования папок и файлов на рабочих станциях пользователей и файловых серверах Windows или Linux.

Также Gemalto предлагает широкий выбор продуктов для обеспечения надежной аутентификации пользователей, состоящий из автентификаторив на основе личного сертификата пользователя (eToken 5110, Smartcard MD Prime), генераторов одноразовых паролей (eToken 3000, Mobile PASS), систем для управления процессами аутентификации (SAC, SAM , SAS, Network Logon).

Основные требования GDPR

Требования GDPR можно рассортировать по следующим основным темам:

  • контроль данных

GDPR ожидает, что организации смогут контролировать свои данные, чтобы обеспечить доступ к ним и обработку их авторизованными пользователями только при необходимости. Требования к контролю приведены в статьях 5, 25 и 32 GDPR.

В соответствии с требованиями GDPR организации должны:

- передавать данные только авторизованным лицам

- обеспечить точность и целостность данных

- минимизировать раскрытие личности субъекта

- применять меры по обеспечению безопасности данных

Шифрование - это именно тот метод, при котором данные находятся в нечитабельном виде, если только пользователь, или процесс не предоставит соответствующий ключ. Согласно GDPR, этот простой метод может обеспечить доступ к персональным данным только авторизованным пользователям, а также контролировать время, в течение которого этот доступ может быть осуществлен.

Многофакторная аутентификация - еще один метод, обеспечивающий надежную авторизацию объекта, который осуществляет обработку конфиденциальных данных, а также значительно уменьшает риски доступа неавторизованных пользователей к персональным данным.

  • Безопасность данных

GDPR гарантирует конфиденциальность. Обязанности по защите информации регулируются статьями 6, 25, 28 и 32. Для сохранения приватности субъекта организациям необходимо:

- применить защиту данных по проекту и по умолчанию

- включить безопасность обязательствам по контракту с партнерами и поставщиками услуг

- использовать шифрование или псевдонимизацию

- принять меры безопасности, касающиеся оценки рисков

- принять меры, если они сохраняют данные для дальнейшей обработки

GDPR специально указывает на шифрование, как на основное требование безопасности данных. Кроме того, организациям нужно провести оценку рисков, а затем принять меры, смягчающие риски, которые они обнаружат. Поскольку ни одна организация не может полностью определить или предсказать все риски для своих данных, и ни один подход к периметру безопасности не является надежным, организации должны шифровать свои данные, чтобы обеспечить соответствие с GDPR. С помощью шифрования неважно, есть нарушения - данные будут должным образом защищены.

  • право удаления

Даже после того, как данные уже собраны, субъекты данных все равно имеют определенный контроль над этими данными. «Право на удаление» рассматривается в статьях 17 и 28 GDPR требует от организаций полностью удалить данные из всех хранилищ в случае, если:

- пользователь отзывает свои данные

- партнерская организация требует удаления персональных данных своих пользователей, были предоставлены для обработки

- срок действия соглашения об использовании персональных данных кончился

Согласно этой нормы, предусматриваются случаи, когда организация должна будет обеспечить полное удаление персональных данных своих пользователей. Это очень сложная требование том, что даже после удаления, данные все равно сохраняются на магнитных носителях информации. Но чтобы полностью ответить норме, организации могут шифровать данные, а затем удалить только ключ шифрования. Этот метод преобразует данные в полностью и навсегда нечитабельный массив информации.

  • Профилактика рисков и комплексная проверка

Организации должны самостоятельно оценивать риски, связанные с конфиденциальностью и безопасностью данных, а также демонстрировать, что они принимают все соответствующие меры с учетом сделанных ими выводов. Эти обязанности изложены в статьях 2, 24 и 28. С целью уменьшения рисков и выполнения комплексной проверки организация обязана:

- выполнить полную оценку рисков

- принять меры для обеспечения и демонстрации соответствия

- активно содействовать партнерам и клиентам в достижении соответствия

- продемонстрировать полный контроль над данными

Когда организация заключает контракты с партнером или сторонним сервисом, они не отказываются от ответственности за безопасность данных. Фактически, организациям будет положен договорное обязательство помогать друг другу по безопасности данных и минимизации рисков. Поскольку шифрование обеспечивает безопасность непосредственно к данным, то организации-партнеры остаются соответствующими данному требованию, поскольку защита гарантируется независимо от того, на чьей стороне сейчас находятся персональные данные.

  • Сообщение об утечке данных

Когда нарушения безопасности угрожает правам и конфиденциальности субъекта данных, организациям необходимо сообщить клиентов и их надзорный орган. Обязанности по уведомлению о нарушении изложенные в статьях 33 и 34. В рамках GDPR организации обязаны:

- сообщить свой надзорный орган в течение 72 часов

- описать последствия нарушения безопасности данных

- сообщить о нарушении непосредственно субъектов данных

Если в результате утечки раскрываются незащищенные данные, организация обязана уведомить местный орган надзора и клиента пострадавшим. Однако в случае, если данные зашифрованы и используются лучшие методы управления ключами шифрования, организация избавляется потребности в таких сообщениях.

Будь готов к Общих положений о защите данных

От физического и виртуального дата центра в облачных решений, Gemalto помогает организации оставаться защищенным, соответствовать стандартам и сохранять контроль. Продукты шифрования и криптографической управления ключами шифрования от Gemalto позволяют вашей организации защитить конфиденциальную информацию в базах данных, приложениях, системах хранения, на виртуальных платформах и в облачной среде.

Автор:

Владимир Нужный,

консультант по информационной безопасности

Если вы нашли ошибку, пожалуйста, выделить фрагмент текста и нажмите Ctrl + Enter.

Что имеется в виду под персональными данными в GDPR?
Что делать?