Кібербезпека та технічні заходи за GDPR. Як гармонійно впровадити?
GDPR compliance та кібербезпека часто розглядаються як окремі сфери – одна юридична, інша технічна. Насправді ж вони сильно пов’язані одне з одним, а правильне поєднання обох є ключовим для побудови сучасних IT-систем, що водночас є захищеними та відповідально поводяться із даними своїх користувачів.
Чому однієї кібербезпеки недостатньо?
Кібербезпека не є остаточним рішенням – а частиною ширшої картини. Компанії інвестують значні ресурси у цифрову безпеку, однак часто недооцінюють іншу зростаючу вразливість – відсутність системного підходу до захисту персональних даних. Неналежне використання інформації, її неетичне поширення або надмірне зберігання можуть бути не менш шкідливими – як з юридичної, так і з репутаційної та стратегічної точки зору.
Важливо розуміти, що сучасні порушення приватності не завжди мають вигляд хакерської атаки.
Приклад – туристична компанія, зберігає копії паспортів клієнтів у зашифрованому вигляді, у захищеному сховищі, роками після завершення поїздки. З точки зору інформаційної безпеки – дані захищені. Однак з точки зору GDPR, факт їхнього надмірного зберігання створює невиправданий ризик для суб’єктів даних.
Тож під час проєктування та розробки сучасних IT-систем важливо інтегрувати як практики кібербезпеки, так і технічні заходи захисту персональних даних. Лише комплексний підхід дозволяє мінімізувати ризики та забезпечити довгострокову довіру користувачів.
Що спільного між кібербезпекою та заходами GDPR? В чому різниця?
Існують значні схожості між класичними практиками кібербезпеки та вимогами GDPR щодо впровадження “відповідних технічних та організаційних заходів”. Контроль доступу забезпечує конфіденційність. Шифрування зменшує наслідки у разі витоку даних. Логування підтримує підзвітність. Сегментація обмежує радіус ураження.
Ключові відмінності полягають у об’єктах захисту та меті.
Кібербезпека в основному стосується захисту технічної інфраструктури – систем, мереж, серверів і баз даних від таких загроз, як хакерство, шкідливе програмне забезпечення або атаки типу “відмова в обслуговуванні” (DoS). Ці атаки можуть завдати шкоди інфраструктурі компанії, порушити роботу та призвести до втрати даних. Мета полягає в тому, щоб підтримувати функціональність системи та забезпечити захист даних у цих системах від зовнішніх загроз.
З іншого боку, GDPR зосереджений на захисті персональних даних, включаючи будь-яку інформацію, яка може бути використана для ідентифікації особи, таку як імена, адреси, номери телефонів, адреси електронної пошти та іншу особисту інформацію.
Його основною метою є забезпечення того, щоб персональні дані збиралися, оброблялися та зберігалися у законний та прозорий спосіб. Це включає отримання згоди від осіб перед збором їхніх даних та забезпечення того, щоб ці дані використовувалися виключно за призначенням.
Простіше кажучи, кібербезпека захищає системи, тоді як GDPR зосереджений захисті користувачів цих систем і даних про інших осіб, що містяться в цій системі або до яких можна отримати доступ за допомогою цієх системи, навіть якщо вони не є безпосередніми користувачами (наприклад, список клієнтів).
Як правильно поєднати?
Щоб система була одночасно безпечною та відповідальною у поводженні з персональними даними, важливо визначити ключові рішення ще на етапі проєктування. Наприклад:
1. Імплементація мінімізації в архітектуру
Точки збору даних повинні за замовчуванням обмежувати необов’язкові поля, а налаштування систем – вимикати необов’язкове відстеження. Правила зберігання слід застосовувати на рівні бази даних або сховища, а не залишати на розсуд ручного перегляду.
Механізми безпечного видалення повинні бути оперативними, бажано автоматизованими. Мінімізація зменшує ризик невідповідності вимогам та знижує площу атаки: менша кількість збережених даних означає легші наслідки у разі компрометації.
2. Контроль доступу, орієнтований на мету
Логіка доступу повинна враховувати не лише роль користувача, а й контекст обробки. За можливості системи мають технічно розділяти набори даних за призначенням або принаймні обмежувати їхнє перехресне використання через визначену логіку ПЗ.
3. Використання псевдонімізації
Шари токенізації, розділені бази даних, незалежно керовані сховища ключів та контрольовані процеси повторної ідентифікації зменшують внутрішню експозицію, зберігаючи операційну функціональність.
4. Автоматизація виконання строків зберігання
Системи, які автоматично видаляють або архівують персональні дані після завершення встановленого терміну зберігання, забезпечують дотримання принципів мінімізації та обмеження строків зберігання. Це знижує ризики надмірної експозиції даних і робить процес відповідності GDPR більш операційним, а не декларативним.
5. Автоматизація обробки запитів суб’єктів даних (DSR, у тому числі DSAR)
Портали самообслуговування, структуроване картографування даних та відстежувані записи обробки дозволяють організаціям ефективно реагувати на запити щодо доступу, виправлення або видалення персональних даних. Такі можливості рідко пріоритетизуються у традиційних програмах безпеки, проте є технічною необхідністю згідно з GDPR.
Також, важливо розуміти, що побудова злагодженої системи неможлива без якісної співпраці на рівні управління. Архітектурні рішення щодо обсягу логування, строків зберігання, сегментації даних та моніторингу завжди перебувають на перетині відповідальності CISO та DPO. Без такої координації системи ризикують стати або занадто інтрузивними або нестабільними на практиці.
Чи можна отримати штраф за неналежну кібербезпеку за GDPR?
GDPR не карає за слабкі паролі чи відсутність брандмауера окремо, але порушення технічних вимог щодо інформаційної безпеки може стати причиною штрафу.
У таблиці наведено типові приклади порушень за статтею 32 GDPR та їх наслідки.
| Країна | Рік | Організація | Штраф (€) | Причина |
| FRA | 2026 | FREE MOBILE | 27,000,000 | “Insufficient technical and organisational measures to ensure information security” |
| UK | 2025 | 23andMe, Inc. | 2,700,000 | |
| UK | 2025 | LastPass UK Ltd | 1,400,000 | |
| IRE | 2024 | Meta Platforms Ireland Ltd. | 91,000,000 | |
| IT | 2024 | Illumia SPA | 678,897 | |
| HUN | 2023 | Digi Telecommunications and Services Ltd. | 205,000 |
Команда Legal IT Group допоможе вам упорядкувати документи, навчити команду та зробити GDPR compliance простим та зрозумілим. Звертайтеся до нас за консультацією – ми завжди на зв’язку!
