За кордонами ЄС виконувати EU GDPR повинні будуть в першу чергу:
- Додатки, хмарні рішення, що працюють з європейськими персональними даними.
- Аутсорcингові компанії в ІТ-галузі.
- Інтернет-магазини, соціальні мережі.
- Банки, медичні компанії, організатори публічних заходів.
В разі недотримання вимог GDPR – втрата європейських клієнтів, ринків та ризик штрафів за порушення норми до 20 млн євро або 2-4% від річного обороту порушника.
Що мається на увазі під персональними даними в GDPR?
Персональні дані – це будь-яка інформація, що відноситься до ідентифікованої фізичної особи (суб’єкт даних), по якій прямо або опосередковано можна її визначити. До такої інформації можна віднести ім’я, дані про місцезнаходження, онлайн ідентифікатор, один або декілька факторів, характерних для фізичної, генетичної, розумової, економічної, культурної і соціальної ідентичності цієї фізичної особи. Визначення широке і достатньо чітко дає зрозуміти, що навіть IP-адреси користувачів також можуть бути персональними даними.
Важливо відмітити, що існують деякі типи даних, що відносяться до категорії особливих або конфіденційних персональних даних. Це інформація, що містить: расове або етнічне походження, політичні погляди, релігійні або філософські переконання та членство в профспілках. Окрім того, до цієї групи відносяться генетичні та біометричні дані, що можуть бути використані для ідентифікації фізичної особи, дані про стан здоров’я, відомості, що стосуються сексуального життя або орієнтації.
Що робити?
Якщо ваша компанія попадає під дію нового європейського регламенту про захист даних, або планує поставку товарів чи послуг в країни ЄС, то рекомендується провести комплексну оцінку методів і засобів обробки персональних даних, що використовуються в компанії, та привести їх у відповідність до нових правил GDPR. Також потрібно переглянути політику конфіденційності та положення рамкових угод з користувачами по обробці їх персональних даних. Для відповідності вимогам GDPR необхідно розробити внутрішні політики захисту даних, навчити персонал, провести перевірку діяльності по обробці даних, налагодити процес документування процесів обробки, впровадити заходи по організації системи конфіденційності, а також призначити співробітника, відповідального за обробку персональних даних.
Хоча нові вимоги до обробки персональних даних достатньо серйозні та жорсткі, в них є і позитивні сторони для українських компаній: простіше дотримуватися єдиного набору правил захисту і обробки даних, ніж враховувати національні нюанси обробки персональних даних кожної окремої європейської країни, як це доводилося робити до введення GDPR. Більш того, реформа направлена на стимулювання економічного росту шляхом скорочення витрат та бюрократії для компаній, що працюють в ЄС. Дотримання одного правила замість 28 (кількість країн-членів ЄС) допоможе маленьким компаніям, що розвиваються, вийти на нові ринки. Згідно закону, в деяких випадках зобов’язання змінюються в залежності від розміру бізнесу, природи даних, що оброблюються, та інших факторів.
Також корисним буде заздалегідь продумати механізми реагування на запити європейських регуляторів і суб’єктів персональних даних, що можливі в рамках GDPR, наприклад про уточнення даних, їх видалення, припинення обробки чи передачі іншій компанії в рамках права на переміщення даних.
Основні принципи обробки даних по GDPR
Загальний підхід європейців до обробки персональних даних викладений у вигляді 6 основних принципів:
- Законність, справедливість та прозорість. Персональні дані повинні оброблятися законно, справедливо та прозоро. Будь-яку інформацію про мету, методи та обсяги обробки персональних даних мається викладати максимально доступно та просто.
- Обмеження застосування. Персональні дані повинні збиратися та використовуватись виключно з метою, що була заявлена компанією (або онлайн-сервісом).
- Мінімізація даних. Забороняється збирати особисті дані в більшому обсязі, ніж той, що потрібен для досягнення мети обробки.
- Точність. Особисті дані, які являються неточними, повинні бути видалені або виправлені (за вимогою користувача).
- Обмеження зберігання. Особисті дані повинні зберігатися у формі, яка дозволяє ідентифікувати суб’єкти даних на строк не більше, ніж це необхідно для досягнення мети обробки
- Цілісність та конфіденційність. При обробці даних користувачів компанія зобов’язана забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.
Технічні засоби реалізації дотримання норм GDPR
Тут потрібно визнати, що жодне окреме рішення не забезпечить відповідність організації положенням про захист даних. Вимоги надто широкі і покривають усі аспекти – від управління до зобов’язань за контрактом. Проте набір рішень Gemalto’s SafeNet допоможе вашій організації досягти відповідності до зобов’язань із убезпечення даних.
Компанія Gemalto – всесвітньо-відомий лідер в області рішень з інформаційної безпеки – пропонує єдине повне портфоліо продуктів для захисту даних, що працюють спільно для забезпечення стійкого захисту і управління конфіденційними даними, та відповідають нормам GDPR.
Ядром системи для захисту даних являється програмно-апаратний комплекс Keysecure, що призначений для створення, зберігання та управління життєвим циклом криптографічних ключів для шифрування даних.
Навколо Keysecure, в залежності від типу даних, що мають захищатися, архітектури системи зберігання даних та сервісів, що приймають участь в обробці, можуть бути застосовані наступні програмні продукти Gemalto:
ProtectV – для шифрування дисків віртуальних машин VMWare, AWS, Azure.
ProtectDB – для шифрування баз даних Oracle, MS SQL, IBM DB2, Teradata.
ProtectFile – для вибіркового шифрування папок та файлів на робочих станціях користувачів та файлових серверах Windows або Linux.
Також Gemalto пропонує широкий вибір продуктів для забезпечення надійної автентифікації користувачів, що складається з автентифікаторів на основі особистого сертифікату користувача (eToken 5110, Smartcard MD Prime), генераторів одноразових паролів (eToken 3000, Mobile PASS), систем для управління процесами автентифікації (SAC, SAM, SAS, Network Logon).
Основні вимоги GDPR
Вимоги GDPR можна розсортувати за такими основними темами:
- Контроль даних
GDPR очікує, що організації зможуть контролювати свої дані, щоб забезпечити доступ до них та обробку їх авторизованими користувачами лише за необхідності. Вимоги до контролю наведені у статтях 5, 25 та 32 GDPR.
Відповідно до вимог GDPR організації повинні:
– передавати дані тільки авторизованим особам
– забезпечити точність та цілісність даних
– мінімізувати розкриття особистості суб’єкта
– застосовувати заходи із убезпечення даних
Шифрування – це саме той метод, при якому дані знаходяться в нечитабельному вигляді, якщо тільки користувач, або процес не надасть відповідний ключ. Відповідно до GDPR, цей простий метод може забезпечити доступ до персональних даних тільки авторизованим користувачам, а також контролювати час, протягом якого цей доступ може бути здійснений.
Багатофакторна автентифікація – ще один метод, що забезпечує надійну авторизацію об’єкта, який здійснює обробку конфіденційних даних, а також значно зменшує ризики доступу неавторизованих користувачів до персональних даних.
- Безпека даних
GDPR гарантує конфіденційність. Обов’язки з захисту інформації регулюються статтями 6, 25, 28 та 32. Для збереження приватності суб’єкта організаціям необхідно:
– застосувати захист даних за проектом та за замовчуванням
– включити безпеку до зобов’язань за контрактом з партнерами та постачальниками послуг
– використовувати шифрування або псевдонімізацію
– застосувати заходи безпеки, що стосуються оцінки ризиків
– вжити заходів, якщо вони зберігають дані для подальшої обробки
GDPR спеціально вказує на шифрування, як на основну вимогу безпеки даних. Крім того, організаціям потрібно провести оцінку ризиків, а потім прийняти заходи, що пом’якшують ризики, які вони виявлять. Оскільки жодна організація не може повністю визначити або передбачити всі ризики для своїх даних, і жоден підхід до периметра безпеки не є надійним, організації повинні шифрувати свої дані, щоб забезпечити відповідність до GDPR. За допомогою шифрування неважливо, чи є порушення – дані будуть належно захищені.
- Право видалення
Навіть після того, як дані вже зібрані, суб’єкти даних все одно мають певний контроль над цими даними. “Право на видалення” розглядається у статтях 17 та 28. GDPR вимагає від організацій повністю видалити дані з усіх сховищ в разі, якщо:
– користувач відкликає свої дані
– партнерська організація вимагає видалення персональних даних своїх користувачів, що були наданні для обробки
– термін дії угоди про використання персональних даних скінчився
Згідно цієї норми, передбачаються випадки, коли організація повинна буде забезпечити повне видалення персональних даних своїх користувачів. Це дуже складна вимога тому, що навіть після видалення, дані все-одно зберігаються на магнітних носіях інформації. Але щоб повністю відповісти нормі, організації можуть шифрувати дані, а потім видалити тільки ключ шифрування. Цей метод перетворює дані в повністю і назавжди нечитабельний масив інформації.
- Профілактика ризиків та комплексна перевірка
Організації повинні самостійно оцінювати ризики, що пов’язані з конфіденційністю та безпекою даних, а також демонструвати, що вони вживають всіх відповідних заходів з урахуванням зроблених ними висновків. Ці обов’язки викладені у статтях 2, 24 та 28. З метою зменшення ризиків та виконання комплексної перевірки організація зобов’язана:
– виконати повну оцінку ризиків
– застосувати заходи для забезпечення та демонстрації відповідності
– активно сприяти партнерам та клієнтам у досягненні відповідності
– продемонструвати повний контроль над даними
Коли організація укладає контракти з партнером чи стороннім сервісом, вони не відмовляються від відповідальності за безпеку даних. Фактично, організаціям буде покладено договірне зобов’язання допомагати один одному стосовно безпеки даних та мінімізації ризиків. Оскільки шифрування забезпечує безпеку безпосередньо до даних, то організації-партнери залишаються відповідними даній вимозі, оскільки захист гарантується незалежно від того на чиїй стороні зараз знаходяться персональні дані.
- Повідомлення про витік даних
Коли порушення безпеки загрожує правам та конфіденційності суб’єкта даних, організаціям необхідно повідомити клієнтів та їх наглядовий орган. Обов’язки щодо повідомлення про порушення викладені у статтях 33 та 34. В рамках GDPR організації зобов’язані:
– повідомити свій наглядовий орган протягом 72 годин
– описати наслідки порушення безпеки даних
– повідомити про порушення безпосередньо суб’єктів даних
Якщо у результаті витоку розкриваються незахищені дані, організація зобов’язана повідомити місцевий орган нагляду та клієнта, що постраждав. Проте у випадку, якщо дані зашифровані та використовуються найкращі методи управління ключами шифрування, організація позбувається потреби у таких повідомленнях.
Будь готовим до Загальних положень про захист даних
Від фізичного та віртуального дата центру до хмарних рішень, Gemalto допомагає організації залишатись захищеною, відповідати стандартам та зберігати контроль. Продукти шифрування та криптографічного управління ключами шифрування від Gemalto дозволяють вашій організації захистити конфіденційну інформацію у базах даних, додатках, системах зберігання, на віртуальних платформах та у хмарному середовищі.