Data protection officer та GDPR compliance

Уявіть, що кожної миті, не дивлячись на державні кордони чи океани, відбувається пересування неймовірних обсягів інформації. Доки Ви читаєте цю статтю, в Інтернеті відкривається дві сотні нових веб-ресурсів та приєднується ще тисяча користувачів, а один дуже відомий сервіс встигає показати мільйон відео та обробити ще два мільйони пошукових запитів.

Виходячи зі статистики, наданої спеціалізованими веб-ресурсами, кожного дня сотні тисяч терабайтів даних мандрують мережею (деякі ресурси наводять значення у 120 терабайтів в секунду), а особиста інформація користувачів складає чималу частину цього потоку. До особистих даних відносять інформацію, яку можливо прямо або за допомогою певної методики (ID, псевдонім, номер телефону та ін.) віднести до конкретної реальної особи. Треба розуміти, що будь-яка діяльність у мережі залишає свої «відбитки», які також є особистою інформацією. Деякі ІТ-компанії будують свій бізнес виключно на збиранні та обробці цих даних. В результаті формується профіль із зазначенням конкретних вподобань у різних маркетингових категоріях. Тож прибуток такі компанії отримують на продажі баз даних, що складаються під потреби замовника. Але за відсутності належного регулювання немає гарантій, що дані будуть використані замовником правомірно.

Однак зазвичай ІТ-компанії обробляють та використовують особисту інформацію виключно з метою оптимізації, покращення взаємодії з клієнтами та для надання відповідних послуг. До них можемо віднести онлайн сервіси, мобільні додатки, інтернет-магазини, навіть державні онлайн портали. Проте зробити крок до неправомірного використання даних дуже просто, а іноді, навіть, не треба нічого робити й просто не дбати про інформаційну безпеку. Тож, як протидіяти протиправному використанню особистих даних та не допускати перетинання цієї межі?

Для розв’язання даного питання був створений GDPR (загальний регламент про захист даних).

Основним завданням регламенту є:
• Створення універсальних правил обороту інформації.
• Закріплення принципів взаємодії з особистими даними.
• Приведення законодавства країн ЄС до єдиної моделі та спрощення взаємодії між країнами та їх суб’єктами.
• Надати користувачам право повного контролю над своєю інформацією.
• Ініціювання спеціалізованих контролюючих органів та впровадження спеціалізованої посади data protection officer (DPO)

Хоча регламент націлений виключно на територію ЄС, його положення значно вплинули на тенденції галузі інформаційної безпеки та розпочали тренд на впровадження та вдосконалення подібних нормативних актів у всьому світі.

Хто такий DPO та для чого він потрібен?

Уявіть, що Ваша компанія вже 10 років надає послуги в ІТ, Ви маєте значну клієнтську базу, а Ваші програмні продукти досить популярні. Одного дня хтось із ділових партнерів прийшов до вас з «геніальною» ідеєю, як можна збільшити прибуток без значних додаткових витрат. Через місяць новий напрям дійсно почав приносити результати, однак не ті, на які Ви розраховували. Чомусь новий проєкт привернув увагу органу контролю за інформаційною безпекою. В результаті виявилось, що «перспективний напрямок» використовував вже наявну базу всупереч угод з клієнтами, а також без належного інформування або внесення змін до угоди. Можливо варіант і був би працездатним та правомірним за місцевим законодавством, проте є невелике але. У базі була значна кількість користувачів-резидентів ЄС, яким все це зовсім не сподобалось. В результаті адміністративна відповідальність за неправомірну обробку особистої інформації є, а прибуток залишився тільки у теорії.
Ще один приклад, де можливо було уникнути неприємностей.

З Вашого корпоративного сервера відбувся витік первинного коду додатків, внутрішньої документації, та особистої інформації клієнтів і співробітників. Ви провели внутрішнє розслідування та подбали про слабкі місця у безпеці. Співробітники змінили свої паролі, доступ до даних ускладнився новими засобами авторизації та всі продовжили працювати без змін. Через місяць викрадена інформація з’явилась у відкритому доступі в інтернеті, а Ви отримали неприємний сюрприз у вигляді штрафу за ігнорування необхідності інформувати користувачів та контролюючий орган.

З метою запобігання подібних ситуацій GDPR передбачає впровадження нової посади – DPO. Головна мета GDPR базується на ідеї повного контролю над власними даними та створення безпечного простору для пересування, обробки та використання особистої інформації.
DPO – особа, чиє завдання забезпечити дотримання положень регламенту обробниками та допомоги впроваджувати заходи необхідні для уникнення та протидії загрозам інформаційній безпеці.

Посада DPO officer обов’язково має бути присутня у компанії за таких умов:
• Обробка відбувається державним органом.
• Діяльність пов’язана з обробкою інформації, яка через свій об’єм або характер потребує постійного моніторингу.
• Діяльність пов’язана зі спеціальними категоріями інформації та у великих об’ємах.


Що повинен знати та вміти DPO?


Серед професійних якостей можливо умовно виділити правову та технічну складову. DPO повинен знати законодавство та практику в галузі захисту особистої інформації, проводити консультації, здійснювати моніторинг, надавати рекомендації та від імені компанії взаємодіяти з наглядовим органом. В самому регламенті відсутні згадки про набір технічних навичок або кваліфікацію, однак для якісного виконання своїх обов’язків DPO повинен володіти міцним підґрунтям в інформаційних технологіях.

Властивості інформації, спосіб зберігання, обробка, редагування, алгоритми виведення та видалення мають велику варіативність. В результаті кожний окремий випадок може відрізнятись один від одного, навіть за ідентичних обставин. Тому захисні заходи необхідно формувати в індивідуальному порядку. GDPR прямо вимагає у спеціаліста з інформаційної безпеки здатність проводити консультації та надавати рекомендації. Відповідно спеціаліст виключно у галузі права не буде здатний надати кваліфіковану допомогу та може не звернути увагу на особливості обігу інформації в межах компанії. У джерелах, присвячених інформаційній безпеці та GDPR Ви не знайдете детальних інструкцій, алгоритмів дії або посилань на конкретні технології та протоколи. Це обумовлено мінливістю та постійним оновленням ІТ – технологій. В результаті такої нестабільності, творці GDPR прийшли до оптимального рішення: спиратись на принципи. На основі цих положень експерти з інформаційної безпеки будуть використовувати актуальні, дієві технології та адаптувати їх під кожний окремий випадок.

Один із принципів GDPR – це достатність, або відповідність характеру інформації та її захисту. Спеціаліст з інформаційної безпеки повинен брати до уваги зміст, потенційну небезпеку у випадку видалення, витоку або пошкодження інформації, визначити вірогідність посягання, допомогти впровадити технічні засоби захисту та розробити інструкції для робітників компанії. В разі коли особиста інформація не становить значної загрози інтересам користувачів, або є неважливою за межами компанії та контексту конкретного сервісу, то і захист рівня швейцарського банку теж не буде потрібен.

Зворотна ситуація буде, наприклад, з платіжною інформацією. Кожного дня відбувається безліч транзакцій, а платіжні дані отримані в результаті, зберігаються на різноманітних сервісах. А тепер уявіть рівень небезпеки на простому прикладі: майже кожному п’ятому телефонували підставні робітники банків та запитували про CCV2 або іншу подібну інформацію. Типове шахрайство, але це означає, що у зловмисників вже наявна інша частина даних необхідних для доступу до рахунку. Злочинці оперують номером телефону, ім’ям, номером банківського рахунку, електронною поштою чи останніми транзакціями. Тобто, десь вже відбувся витік інформації, про який Вам не відомо. Саме на запобігання та протидію подібних ситуацій і націлений GDPR.
Після встановлення вимог до компанії починається визначення рівня інформаційного захисту. Першим чином визначається хто, коли та в якому ступені має доступ до інформації, як відбувається обробка та що відбувається у випадку непередбачуваних ситуацій. Створення схеми руху даних дозволяє виявити потенційні загрози чи слабкі місця та приділити їм додаткову увагу. В межах однієї невеликої компанії процес не потребує значних зусиль та ресурсів. Однак масивні ІТ проекти можуть об’єднувати декілька студій, ауторсингових спеціалістів та третіх зацікавлених осіб і всі вони можуть знаходитись у різних містах чи країнах.


Безпека – це не результат, а процес


Після приведення процесів у відповідність до регламенту – DPO офіцер має підтримувати належний стан інформаційної безпеки. Динаміка розвитку ІТ сфери призводить до регулярної появи нових та покращення наявних технічних засобів, однак одночасно з цим зловмисники, в протидію, розвивають інструменти для хакерських атак та методи обходу протоколів безпеки. Таким чином, будь-яка система, яка певний час не оновлюється та не відповідає актуальним стандартам в значно більшій мірі знаходиться в уразливому стані. З цього випливає вимога до обізнаності в актуальних технологіях та моніторинг змін та тенденцій у цій галузі.

 

Висновки


До особистої інформації відносять не тільки дані, які ідентифікують особу, а і будь-які відомості про діяльність в мережі та використані нею ресурси.
Не всі обробники особистої інформації використовують її для подальшого розповсюдження або продажу. Більшість потребує її для коректної роботи свого сервісу.
Характер інформації безпосередньо впливає на вимоги до її обробника.
GDPR покликаний надати користувачам повний контроль над власними даними та створити універсальні правила для безпечного обміну та обробки особистої інформації.
DPO – особа, що уповноважено взаємодіяти з обробниками особистої інформації для приведення їх у відповідність нормам регламенту та інформаційної безпеки.
GDPR не передбачає інструкції або стандартів забезпечення інформаційної безпеки, а надає базові принципи та положення.

Кожний випадок розглядається окремо. Вимоги до обробника встановлюються з урахуванням характеру інформації, обсягу, мети використання та періоду зберігання.
DPO повинен володіти знаннями у галузі правового регулювання інформаційної безпеки та розумітися у структурі даних, технічних особливостях обробки та захисту інформації.
DPO as service може не обмежуватись однією конкретною компанією. В межах одного масивного проекту дані можуть рухатись декількома філіями, студіями, до аутсорс спеціалістів та до інших компанії. Головна мета забезпечити збереження інформації в цілому, а не тільки в стінах конкретної будівлі.
Для успішного забезпечення інформаційної безпеки необхідно чітко встановити напрямки руху даних, порядок обробки, уповноважених осіб та потенційні слабкі місця.
Захист повинен бути направлений не тільки проти зовнішніх загроз. Має бути передбачена ситуація внутрішнього витоку чи технічної несправності.
Підтримання безпеки повинно відбуватись постійно, а засоби захисту мають бути спроможні протистояти актуальним загрозам.

 

 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)