Правовий поглядАналітика

GDPR: технічні особливості запровадження

03.09.2019 / 09:44
405
+A
-a

GDPR: технічні особливості запровадження

Про GDPR (Загальний регламент про захист даних) в професійних колах говорять уже тривалий час. Набрав чинності цей документ ще в 2016 році, однак почав застосовуватись лиш з травня минулого року.

«Українське право» неодноразово повідомляло про основні положення даних правил, робило їх аналітику та дослідження. Однак наразі, через півтора роки правозастосування, прийшов час поговорити про більш прикладні речі, які поєднують в собі не лише юридичні вимоги та положення самих правил, а й технічні моменти їх реалізації.

Нещодавно відбувся відповідний захід, організований юридичною компанією Legal IT group та IT Band, де київський юрист Олександр Голод та мінський ІТ-спеціаліст Денис Колошко поділились практичними порадами для власників бізнесу та розробників веб-сайтів, внутрішніх документів тощо, спрямованими на реалізацію GDPR та захист персональних даних і забезпечення прав суб‘єктів персональних даних.

ЯКИМ ПОВИНЕН БУТИ ПАКЕТ ДОКУМЕНТІВ GDPR?

До таких документів, які повинні бути у суб'єктів, на яких розповсюджуються Правила, можна віднести:

- Внутрішні політики по доступу і безпеці персональних даних;

- Правильний збір персональних даних і можливість реалізації суб‘єктом всіх своїх прав;

- Законна передача даних третім особам;

- Технічні заходи.

Загалом кількість документів і їх наповнення залежить від декількох факторів, зокрема, чи являється компанія контролером чи процесором даних, як саме збираються персональні дані, і яка саме система інформаційної безпеки існує в компанії. Взагалі сукупність документів на підприємстві повинна покривати всі існуючі статті GDPR.

Щоб зрозуміти чи є компанія контролером або процесором даних треба зважати на цілі та методи збору.

Є такі випадки, коли цілі визначає один суб‘єкт, а методи обробки визначає інший, тобто забезпечує не просто технічну можливість від імені компанії, яка забезпечує цілі, а й сама визначає, які саме будуть застосовуватись технічні заходи та процедури. В цьому випадку компанії стають суміжними контролерами, тобто разом контролюють обробку персональних даних.

LEGAL/TECH АСПЕКТИ ЗАБЕЗПЕЧЕННЯ ПРАВ СУБ'ЄКТІВ ПЕРСОНАЛЬНИХ ДАНИХ

По-перше, контролер повинен отримати відповідну згоду від суб‘єкта персональних даних на обробку даних.

Згода повинна бути інформативною, тобто такою, що несе в собі інформацію про особу контролера даних, цілі дій із зібраними даними (наприклад, якщо контролер планує в майбутньому передавати дані третім особам (процесорам), в тому числі для так званих маркетингових розсилок, то він повинен попереджати про це суб‘єкта перед отриманням згоди на обробку, щоб останній міг оцінити всі ризики такої передачі даних), зміст даних та їх об‘єм, право відмовитись від обробки даних в будь-який момент і право оскаржити обробку, і інформацію, чи відбувається автоматична обробка даних чи ні.

Вже після надання згоди на обробку даних і реєстрації на певному веб-ресурсі, суб‘єкт повинен мати право на експорт всіх своїх персональних даних, в тому числі для третіх осіб. Суб‘єкт також повинен мати явну можливість в будь-який момент видалити чи обмежити використання своїх даних.

Реалізація цих прав повинна бути такою ж легкою як і спосіб, в який суб‘єкт надавав згоду на обробку даних.

Наприклад, якщо суб‘єкт реєструвався через певний веб-ресурс і надавав згоду виключно засобами такого ресурсу, то у разі його бажання видалити чи обмежити доступ до персональних даних від нього будуть вимагати роздрукувати заяву, заповнити її і надіслати на мейл контролера даних, то це вже вважатиметься неналежним рівнем забезпечення реалізації суб‘єктом своїх прав.

ПОРАДИ ПО ТЕХНІЧНИХ ЗАХОДАХ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Основна робота по GDPR знаходиться всередині, на локальному рівні. Тобто це не тільки Privacy Policy, яке всім доступно, це методики навчання співробітників компанії, їх ознайомлення під підпис з тим, що компанія, в якій вони працюють є контролером чи процесором даних, що оскільки вони залучаються до обробки даних, то повинні виконувати певні обов‘язки при такій обробці тощо.

Серед організаційних заходів по захисту даних можна виділити Policies. Це як ми вже згадували вище Privacy Policy, а також Terms of Use, Personal Data Protection Policy Art. 24 (2) GDPR, Inventory of Processing Activities Art. 30 GDPR та Security incident response policy, Data retention Policy Art. 5(1)(e), 13(1), 17, 30.

Якщо ж стався витік персональних даних, компанія обов‘язково повинна повідомити про це протягом 72 годин свій контролюючий орган про такий витік (Data Breach Notification Form to the Supervisory Authority Art. 33 GDPR).

Також треба повідомити data subject-a (суб‘єкта персональних даних), що його дані було втрачено засобами електронного зв‘язку (по практиці у випадку якщо відбувся витік масивної кількості даних і невідомо, хто саме спричинив такий витік, компанії можуть зробити оголошення на веб-сайті із принесенням вибачень за витік персональних даних), хоча й при певних умовах це можна і не робити (Data Breach Notification Form to the Data Subjects Art. 34 GDPR). 

Варто також зазначити про «корисні», але необов‘язкові політики згідно GDPR, які повинна впроваджувати компанія щодо захисту персональних даних.

Це Backup policy (там зокрема повинно бути зазначено, в які дні та куди потрапляють дані після здійснення процедури backup та, що далі з ними відбувається), Data Disposal Policy, System access control Policy, Information Governance policy, SLA and escalation procedures, Cryptographic control policy, Disaster Recovery and business continuity, Coding standards and rollout procedure, Employment policy and processes. 

Також сам GDPR не передбачає певних обов’язкових технічних заходів по захисту даних, але знову ж таки компаніям їх буде корисно використовувати.

Серед них такі як Firewalls, VPN Access, Encryption for data at rest (whole disk, database encryption), Encryption for data in transit (HTTPS, IPSec, TLS, PPTP, SSH), Access control (physical and technical), Intrusion Detection/Prevention, Health Monitoring, Backups encryption, 2-factor authentication, Strict authorization, Antivirus та інші. Архітектура повинна бути побудована по принципу Data protection by design and by default (Art. 25 GDPR). 

Експерти також зазначили, що розробили власний IDS SDLC і кожна стадія розробки виробляє певні верифіковані security артефакти. Збір Security вимог починається разом із аналізом функціональних вимог. Зокрема в артефакті стадії архітектури - Architecture Design Document, визначені Data Retention вимоги та Backup Policies Compliances, алгоритми шифрування і розміри ключів, механізми аутентифікації та авторизації, моделювання загроз і оцінки ризиків, системи моніторингу інцидентів безпеки, правила файервола тощо.

Вже на стадії релізу потрібно обов‘язково провести повний власний Security Audit і тестування на проникнення (іншими словами треба спробувати самостійно зламати вже побудовану систему), щоб впевнитись, що персональні дані будуть дійсно захищеними. 

Підсумовуючи, експерти зазначили, що насамперед треба чітко визначити, в яких конкретних операціях з персональними даними компанія виступає контролером, а в яких процесором. Також треба розуміти, що не можна обійтись лише внутрішніми політиками без підкріплення їх технічними заходами, і безумовно варто потурбуватись про Data protection by design. І завжди на стадії реліза варто проводити Security Audit і Тестування на проникнення.

                                                                                                                                                                                                                                                                         Зозуля Наталія, «Українське право»

КОМЕНТАРІ  0 + Додати коментар
Чи потрібно стати на коліна: про цінність життя і право donum auctoris Чи потрібно стати на коліна: про цінність життя і право
Так співпало – трагічні події під Павлополем, загибель чотирьох українських захисників, які все, що бачили та відчу...
Україна рекомендувала до обрання суддею Європейського суду з прав людини найдостойніших кандидатів: інтерв’ю з Михайлом Буроменським Феміда Україна рекомендувала до обрання суддею Європейського суду з прав людини найдостойніших кандидатів: інтерв’ю з Михайлом Буроменським
26 липня завершила роботу Комісія для проведення конкурсу з добору кандидатів для обрання суддею Європейського суду...
Захист від непроханих гостей: чи існує межа необхідної оборони? Справа Захист від непроханих гостей: чи існує межа необхідної оборони?
Безпека передусім! Відомий і справедливий вислів. І тільки в наших силах зробити так, щоб наші рідні, і ми самі поч...
Вересень 2019
Пн Вт Ср Чт Пт Сб Нд
26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 1 2 3 4 5 6
ЗАХОДИ
20.09.2019 08:30:00 - VIII Податковий форум
Опитування
  • Як ви оцінюєте нове процесуальне законодавство?

Використання будь-яких матеріалів, розміщених на порталі "Українське право", дозволяється за умови посилання на ukrainеpravo.com. При копіюванні матеріалів порталу "Українське право" для інтернет-видань обов'язковим є пряме та відкрите для пошукових систем гіперпосилання в першому абзаці на цитовану статтю або новину.
Яндекс.Метрика