General Data Protection Regulation (GDPR). На сколько песец белый и полярный ли он?

Последнее время я не часто пишу о чем-то, помимо вопросов связанных с PCI DSS. Но вот столкнулся с General Data Protection Regulation, который становится все ближе с приближением мая 2018 года (с 25 числа).

Я начал знакомиться с данным стандартом более года назад (он вступил в силу в мае 2016, но обязателен для выполнения с 25 мая 2018). Лично мне он показался не конкретным, слишком объемным, не очень реальным в части реализации требований и абсолютно не реальным в части их контроля.

Но время шло, вопросы поднимались, статей появлялось больше, перспектива выполнять требования документа General Data Protection Regulation (GDPR) казалась все более реальной.
Упустим исторические справки какие предыдущие документы он заменит и перейдем сразу к реализации.
Что же удалось выяснить по GDPR.
      1.       Ознакомиться можно тут
      2.       Достаточно емкий отчет о влиянии данного закона на операторов персональных данных (РФ) и переводом на русский можно посмотреть тут.
      3.       Также доступны небольшие статьи по данной тематике – 1, 2, 3, 4, 5. Рекомендую ознакомиться.

Самые проблемные места, по моему мнению.
      1.       Размытые формулировки и множественность интерпретаций. Отсутствие детализированных требований для выполнения, конкретики при реализации и открытых рекомендаций по проверке выполнения оных.
      2.       72 часа на уведомление об утечке. Слишком мало времени. Зачастую компании даже не успеют выявить факт наступления инцидента. Уведомление органов, без согласования с руководством с учетом объема штрафных санкций выглядит не реальным.
      3.       До 10 млн или 2% глобального годового оборота при нарушении одних или 20 млн и 4% для других требований. Слишком большие суммы. Нет открытых принципов расчета штрафов. Высокая вероятность банкротства бизнеса или перевода на другое юридическое лицо.
      4.       Под действие закона попадают все компании, которые обрабатывают персональные данные граждан ЕС не зависимо от регистрации, места нахождения.
      5.       Абсолютно не понятный процесс проверок соответствия. На основе жалоб, по запросу граждан ЕС, избирательно? Есть упоминания о добровольной сертификации сроком на 3 года, но судя по всему она не делит ответственность в случае инцидента и не влияет на штрафы.

Рекомендации
      1.       Подготовить документацию определяющую политику компании в сфере обработки персональных данных и более низкоуровневые документы описывающие процессы реализации.
      2.       Начинать внедрять процессы безопасности в соответствии с требованиями GDRP в комплексе с требованиями других стандартов или лучших практик ИБ (СУИБ, внедрить PDCA, взять за основу требования ISO 27… или даже PCI DSS в части процессов и документации). Наличие процессов по любому из стандартов упрощает внедрение и позволяет показать аудиторам деятельность в данном направлении.
      3.       Максимально документировать внедряемые и работающие процессы. Готовить отчетность по событиям и инцидентам.
      4.       Готовить примеры реализации требований пунктов GDPR в части документации и реализации. Готовить компенсационные меры в случае невозможности применения требований или их частичной реализации.
      5.       Посмотреть рекомендации в статьях приведенных выше.

Дополнение к пункту 1.
««Персональные данные» (personal data) – означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо является лицом, которое может быть идентифицировано прямо или косвенно, в частности, на основе идентификационной информации, такой как имя, идентификационный номер, данные о местоположении, идентификатор в интернете (онлайн- идентификатор) или посредством одного или нескольких показателей, характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности данного физического лица;
«Обработка» (processing) означает любую операцию или набор операций, которые совершаются с персональными данными или набором персональных данных, с использованием автоматизированных средств и без таковых, в числе которых сбор, запись, организация, структурирование, хранение, переработка или изменение, поиск и выборка, экспертиза, использование, раскрытие посредством передачи, рассылка или иной способ предоставления для доступа, группировка или комбинирование, отбор, стирание или уничтожение (Статья 4 Регламента GDPR).
Персональные данные должны:
– быть обработаны правомерно, справедливо и прозрачно в отношении субъекта данных («принцип законности, справедливости и прозрачности»);
– быть собраны для определенных, четких и законных целей и в дальнейшем не обрабатываться способом, несовместимым с этими целями; дальнейшая обработка данных для архивных целей, в интересах общества, научных и исторических исследований или статистических целей, не рассматривается как несовместимая с первоначальным целям («принцип целевого сбора данных»);
– быть обработаны адекватно и ограничиваться целями, для которых они обрабатываются (принцип «минимизации данных»);
– быть обработаны точно и там, где это необходимо, а также должны обновляться; должны приниматься все разумные меры для гарантии того, что персональные данные, которые являются неточными, с учетом целей, для которых они обрабатываются, будут удалены или исправлены без задержки (принцип «точности»);
 – храниться в форме, позволяющей идентифицировать субъекта данных, не дольше, чем это необходимо для целей, для которых персональные данные обрабатываются; персональные данные могут храниться в течение более длительных периодов, т.к. персональные данные могут обрабатываться только для архивных целей в интересах общества, научных или исторических исследовательских целей или для целей статистики, с учетом осуществления соответствующих технических и организационных мер («принцип ограничения хранения данных»);
– быть обработаны таким образом, чтобы обеспечить надлежащую сохранность персональных данных, включая защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения, с использованием соответствующих технических или организационных мер («принцип целостности и конфиденциальности»).
Правомерность обработки данных оценивается исходя из следующих требований и условий:
– субъект данных дал согласие на обработку его персональных данных для одного или более конкретных целей;
– обработка необходима для исполнения договора, стороной которого субъект данных является стороной или для принятия мер по просьбе субъекта данных до заключения контракта;
– обработка необходима для соблюдения соответствующих обязательств контроллера;
– обработка необходима для защиты жизненных интересов субъекта данных или другого физического лица;
– обработка необходима для выполнения определенных задач и осуществляется в общественных интересах или для исполнении функций контроллера;
– обработка необходима для законных целей и интересов регулятора третьих лиц.»

Вместо выводов.
Последний месяц я общался с разными людьми, которые или готовятся выполнять требования или уже внедряют их. К сожалению, конкретики очень мало. Часть вопросов, на которые хотелось бы получить ответы блокирует NDA, кто-то передал данный вопрос юристам. Один из сотрудников «четверки» признался, что они пока не знают, как выполнять данные требования.
Скорее всего, постепенно будет появляться все больше рекомендаций, лучших практик и детализированных требований, на основе опыта, как это происходит при внедрении других стандартов.

Если вы сталкивались с детализированными матрицами рекомендаций, требований, более низкоуровневыми документами по данному вопросу (кроме тех, на которые ссылается стандарт GDPR) или просто готовы поделиться опытом работы с данным стандартом напишите в комментариях или на почту

P.S.Начав делать врезки из стандарта решил их не плодить, чтобы данная статья все же была подготовлена скорее для дискуссии и ознакомления, чем как руководство. Если тема вызовет интерес и будут получена полезная информация по реализации и внедрению, возможно будет подготовлена более объемная статья (цикл статей) непосредственно по самому стандарту и его требованиям. Сейчас же заниматься перепечатыванием многостраничного документа вижу не целесообразным.   



Оставьте вашу заявку и мы свяжемся с вами*

*Мы не предоставляем услуги рф и рб
Оставить заявку