DPO офицер или же Data protection officer и GDPR compliance

Представьте, что в любой момент, несмотря на государственные границы или океаны, происходит передвижение невероятных объемов информации. Пока Вы читаете эту статью, в Интернете открывается две сотни новых веб-ресурсов и присоединяется еще тысяча пользователей, а один очень известный сервис успевает показать миллион видео и обработать еще два миллиона поисковых запросов.
Исходя из статистики, предоставленной специализированными веб-ресурсами, каждый день сотни тысяч терабайтов данных путешествуют по сети (некоторые ресурсы приводят значение в 120 терабайт в секунду), а личная информация пользователей составляет большую часть этого потока. К личным данным относят информацию, которую можно прямо или с помощью определенной методики (ID, псевдоним, номер телефона и пр.) соотнести к конкретной реальной личности. Надо понимать, что любое действие в сети Интернет оставляет свои «следы», которые также являются личной информацией. Некоторые ИТ-компании строят свой бизнес исключительно на сборе и обработке этих данных. В результате формируется профиль с указанием конкретных предпочтений в различных маркетинговых категориях. Поэтому прибыль такие компании получают на продаже баз данных, составленных под индвидуальный запрос заказчика. Но при отсутствии надлежащего регулирования нет гарантий того, что данные будут использованы заказчиком правомерно.

Однако обычно ИТ-компании обрабатывают и используют личную информацию исключительно в целях оптимизации, улучшения взаимодействия с клиентами и для предоставления соответствующих услуг. К ним можно отнести онлайн сервисы, мобильные приложения, интернет-магазины и даже государственные онлайн порталы. Однако сделать шаг к неправомерному использованию данных очень просто, а иногда даже не нужно ничего делать — достаточно просто не заботиться об информационной безопасности. 
Так давайте же разберемся как противодействовать неправомерному использованию личных данных?

Для решения данного вопроса был создан GDPR (общий регламент о защите данных).
Основной задачей регламента являются:
• Создание универсальных правил оборота информации.
• Закрепление принципов взаимодействия с личными данными.
• Приведение законодательства стран ЕС к единой модели и упрощения взаимодействия между странами и их субъектами.
• Предоставление пользователям права полного контроля над своей информацией.
• Создание специализированных контролирующих органов и внедрение должности data protection officer (DPO)

Хотя регламент нацелен исключительно на территорию ЕС, его положение значительно повлияло на тенденции защиты информационной безопасности и ввело тренд на внедрение и совершенствование подобных нормативных актов во всем мире.

Кто такой DPO и для чего он нужен?

Представьте, что ваша компания уже 10 лет предоставляет услуги в ІТ, и у Вас есть значительная клиентская база, а Ваши программные продукты достаточно популярны. Однажды один из деловых партнеров пришел к вам с «гениальной» идеей, как можно увеличить прибыль без значительных дополнительных затрат. Через месяц новое направление действительно стало приносить первые результаты, однако не те, на которые Вы рассчитывали. Новый проект привлек внимание органов контроля за информационной безопасностью. В результате оказалось, что «перспективное направление» использует уже имеющуюся базу нарушая клиентские соглашения, а также игнорируя надлежащее информирование или внесение изменений в соглашение. Возможно вариант и был бы рабочим и правомерным по местному законодательству, однако есть небольшое «но». В базе было значительное количество пользователей-резидентов ЕС, которым все это совсем не понравилось. В результате административная ответственность за неправомерную обработку личной информации есть, а прибыль осталась только в теории.

Еще один пример, где можно было избежать неприятностей.
С Вашего корпоративного сервера произошла утечка исходного кода приложений, внутренней документации и личной информации клиентов и сотрудников. Вы провели внутреннее расследование и позаботились о слабых местах в безопасности. Сотрудники изменили свои пароли, для доступа к данным были добавлены новые средства авторизации и все продолжили работать без изменений. Через месяц данная информация появилась в открытом доступе в интернете, а Вы получили неприятный сюрприз в виде штрафа за игнорирование необходимости информирования пользователей и уведомления в контролирующий орган.

С целью предотвращения подобных ситуаций GDPR предусматривает внедрение новой должности — DPO. Главная цель GDPR базируется на идее полного контроля над собственными данными и создания безопасного пространства для передвижения, обработки и использования личной информации.
DPO — лицо, чья задача обеспечить соблюдение положений регламента обработчиками и помогать компаниям внедрять меры необходимые для предотвращения и противодействия угрозам информационной безопасности.

Должность DPO officer обязательно должна присутствовать в компании при следующих условиях:
• Обработка осуществляется государственным органом.
• Деятельность компании связана с обработкой информации, в больших объемах или характер обработки требует постоянного мониторинга.
• Деятельность связана со специальными категориями информации и в больших объемах.

Что должен знать и уметь DPO?

Среди профессиональных качеств можно условно выделить правовую и техническую составляющую. DPO должен отлично знать законодательство и практику в области защиты личной информации, проводить консультации, осуществлять мониторинг, давать рекомендации и от имени компании, а также взаимодействовать с надзорным органом. В самом регламенте отсутствуют упоминания о конкретном наборе технических навыков или квалификации, однако для качественного выполнения своих обязанностей DPO должен обладать знаниями информационных технологий.
Свойства информации, способ хранения, обработка, редактирование, алгоритмы вывода и удаления имеют большую вариативность. Поэтому каждый отдельный случай может отличаться друг от друга, даже при идентичных обстоятельствах.  Меры защиты необходимо формировать в индивидуальном порядке. GDPR прямо требует у специалиста по информационной безопасности способность проводить консультации и давать рекомендации. Специалист исключительно в области права не будет способен оказать квалифицированную помощь и может не обратить внимание на особенности оборота информации в пределах компании. В источниках, посвященных информационной безопасности и GDPR Вы не найдете подробных инструкций, алгоритмов действия или ссылок на конкретные технологии и протоколы. Это обусловлено переменчивостью и постоянным обновлением ІТ — технологий. В результате такой нестабильности, создатели GDPR пришли к оптимальному решению: опираться на принципы. На основе этих положений эксперты по информационной безопасности будут использовать актуальные, действенные технологии и адаптировать их под каждый отдельный случай.
Один из принципов GDPR — это достаточность, или соответствие характера информации и ее защиты. Специалист по информационной безопасности должен принимать во внимание содержание, потенциальную опасность в случае удаления, утечки или повреждения информации, определить вероятность взлома, помочь внедрить технические средства защиты и разработать инструкции для работников компании. В случае, если личная информация не представляет значительной угрозы интересам пользователей, или есть неважной за пределами компании и контекста конкретного сервиса, то и защиты уровня швейцарского банка тоже не потребуется.

Обратная ситуация будет, например, с платежной информацией. Каждый день происходит множество транзакций, а платежные данные полученные в результате сбора хранятся на различных сервисах. А теперь представьте уровень опасности на простом примере: почти кажому пятому хотя бы раз звонили подставные работники банков и спрашивали о CCV2 или другой подобной информации. Типичное мошенничество, но это означает, что у злоумышленников уже есть остальная часть данных необходимых для доступа к счету. Преступники оперируют телефонными номерами, именем, номером банковского счета, электронной почтой или последними транзакциями. То есть, где-то уже произошла утечка информации, о котором Вам неизвестно. Именно на предотвращение и противодействие подобным ситуациям и нацелен GDPR.

После установления требований к компании начинается определение уровня информационной защиты. Первым делом определяется кто, когда и в какой степени имеет доступ к информации, как происходит обработка и что происходит в случае непредвиденных ситуаций. Создание схемы движения данных позволяет выявить потенциальные угрозы или слабые места и уделить им дополнительное внимание. В пределах одной небольшой компании процесс не требует значительных усилий и ресурсов. Однако массивные ІТ проекты могут объединять несколько компаний, ауторсингових специалистов и третьих заинтересованных лиц и все они могут находиться в разных городах или странах.

Безопасность — это не результат, а процесс

После приведения процессов в соответствие с регламентом — DPO офицер должен поддерживать надлежащее состояние информационной безопасности. Динамика развития ІТ сферы приводит к регулярному появлению новых и улучшения имеющихся технических средств, однако одновременно с этим злоумышленники, в противодействие, развивают инструменты для хакерских атак и методы обхода протоколов безопасности. Таким образом, любая система, которая некоторое время не обновляется и не соответствует актуальным стандартам в значительно большей степени находится в уязвимом состоянии. Из этого вытекает требование к осведомленности в актуальных технологиях и мониторинг изменений и тенденций в этой области.

Выводы

К личной информации относятся не только данные, которые идентифицируют личность, а и любые сведения о деятельности в сети и использованные им ресурсы.
Не все обработчики личной информации используют ее для дальнейшего распространения или продажи. Большинство использует ее для корректной работы своего сервиса.
Характер информации непосредственно влияет на требования к ее обработчику.

GDPR призван предоставить пользователям полный контроль над собственными данными и создать универсальные правила для безопасного обмена и обработке личной информации.
DPO — лицо, уполномоченное взаимодействовать с обработчиками личной информации для приведения их в соответствие нормам регламента и информационной безопасности.
GDPR не предусматривает инструкций или стандартов обеспечения информационной безопасности, а предоставляет базовые принципы и положения.
Каждый случай рассматривается отдельно. Требования к обработчику устанавливается с учетом характера информации, объема, цели использования и периода хранения.
DPO должен обладать знаниями в области правового регулирования информационной безопасности и разбираться в структуре данных, технических особенностях обработки и защиты информации.
DPO as service может не ограничиваться одной конкретной компанией. В пределах одного массивного проекта данные могут двигаться несколькими филиалами, студиями, к аутсорс специалистам и к другим компаниям. Главная цель обеспечить сохранность информации в целом, а не только в стенах конкретного здания.
Для успешного обеспечения информационной безопасности необходимо четко установить направления движения данных, порядок обработки, уполномоченных лиц и проработать потенциально слабые места.
Защита должна быть направлена не только против внешних угроз. Должна быть предусмотрена ситуация внутренней утечки или технической неисправности.
Поддержание информационной безопасности данных должно происходить постоянно, а средства защиты должны быть способны противостоять актуальным угрозам.