Захист даних та захист персональних даних. В чому різниця?

Уявіть ситуацію: ваша компанія інвестувала мільйони в кібербезпеку і найняла команду досвідчених фахівців, але раптом ви отримуєте штраф від європейського регулятора за порушення статті 32 GDPR. Як це можливо, якщо всі ваші дані захищені на найвищому рівні?

Відповідь криється у розумінні принципової різниці між захистом даних (data security) та захистом персональних даних (personal data protection/privacy). Ця плутанина здатна привести до підриву репутації та довіри клієнтів й особливо гостро це відчувають компанії, які працюють на європейському ринку або мають амбіції туди вийти: GDPR не пробачає помилок у розумінні базових концепцій, і штрафна регуляторна практика дедалі частіше доводить, що технічна досконалість без дотримання принципів приватності – це лише половина шляху до комплаєнсу.

У цій статті ми розберемо, чому ці два поняття часто змішують і як побудувати систему, яка поєднує технологічну міцність з етичним ставленням до даних фізичних осіб.

Захист даних як технічна сторона інформаційної безпеки

Захист даних у класичному розумінні — це комплекс технічних, організаційних і процедурних заходів, спрямованих на убезпечення будь-якої інформації – незалежно від її природи – від несанкціонованого доступу, втрати, модифікації чи знищення. Це широке поняття, яке охоплює всі типи даних, з якими працює компанія: фінансові звіти, технічну документацію, комерційну таємницю, корпоративну переписку, логи систем і, звісно ж, персональні дані як один з типів інформації.

Інструментарій захисту даних (інформаційної безпеки, або безпеки інформації у широкому сенсі) включає широкий спектр технологій і практик: 

• шифрування даних під час передачі та зберігання, 
• системи контролю доступу та автентифікації,
• мережеві фаєрволи та системи виявлення вторгнень, 
• регулярне резервне копіювання, 
• управління вразливостями, 
• моніторинг безпеки в режимі реального часу, 
• навчання персоналу основам кібергігієни тощо. 

Без цих заходів  неможливе функціонування жодного сучасного бізнесу й усі перелічені заходи об’єднує одне: фокус на технічному захисті інформації як активу компанії.

У широкому сенсі, регулювання захисту даних історично здебільшого відбувається через галузеві стандарти та фреймворки: 

1. ISO/IEC 27001 для систем управління інформаційною безпекою, 
2. PCI DSS для компаній, що обробляють платіжні картки, 
3. SOC 2 для сервіс-провайдерів, 
4. NIST Cybersecurity Framework для критичної інфраструктури. 

Ці стандарти встановлюють технічні вимоги, найкращі практики та процедури аудиту, але – і це критично важливо – вони не ставлять у центр уваги права конкретної фізичної особи, чиї дані обробляються. Але навіть це починає змінюватися – регулятори по всьому світу вже приймають законодавство, що встановлює мінімальні стандарти безпеки, і пропонують різні схеми державного аудитування і авторизації систем. 

Захист персональних даних: коли в центрі уваги – людина

Захист персональних даних – правова та етична концепція, яка фокусується на правах та свободах конкретної людини – того самого суб’єкта даних, про якого йдеться у GDPR та національних законах про захист персональних даних.

Згідно з GDPR, персональні дані – це будь-яка інформація, що стосується ідентифікованої фізичної особи, або такої фізичної особи, яку можливо ідентифікувати. Такий підхід дозволяє охопити не лише очевидні речі на кшталт імені, адреси чи номера телефону – це також IP-адреса, cookie-файли, геолокаційні дані, біометрична інформація, медичні записи, онлайн-ідентифікатори, а в деяких випадках навіть специфічна комбінація даних, яка дозволяє виокремити людину з групи. 

Тож головна відмінність privacy від security – це фокус не на захисті даних як активу компанії, а на дотриманні прав людини, чиї дані обробляються. 

Відправною точкою в захисті персональних даних є правові підстави для обробки даних: компанія не може просто взяти й почати обробляти персональні дані тому, що їй так зручно або вигідно: має існувати одна з шести правових підстав, кожна з яких має свої умови застосування, обмеження та наслідки.

Наступний крок – це те, що захист приватності гарантує суб’єктам даних конкретні права, які компанія зобов’язана виконувати: право на доступ до своїх даних (отримати копію всього, що компанія зібрала), право на виправлення неточних даних, право на видалення (те саме “право бути забутим”), право на обмеження обробки, право на портативність даних (отримати дані у структурованому форматі та передати іншому контролеру), право заперечувати проти обробки та право не підлягати автоматизованому прийняттю рішень, включно з профілюванням.

Типовий приклад концепції приватності в дії – це коли ваш клієнт надсилає запит з проханням видалити всі його дані з ваших систем. Технічно ви можете мати найкращий захист цих даних – шифрування, багаторівневий доступ, резервні копії на різних континентах – але якщо ви не маєте правової підстави для відмови у видаленні (наприклад, законодавчий обов’язок зберігати дані), ви зобов’язані виконати цей запит протягом одного місяця. 

Це і є різниця між захистом даних та захистом персональних даних: перший захищає дані від зовнішніх загроз, другий захищає права людини на контроль над власними даними.

Читайте також: GDPR правила та підводні камені в захисті персональних даних

Чому одне неможливо без іншого?

Найпоширеніша помилка, яку роблять компанії на початку розробки програми GDPR-комплаєнсу, – це діяти з переконання: “У нас сильна команда з кібербезпеки, отже ми виконуємо вимоги захисту персональних даних”. 

Захист даних та захист приватності не існують у паралельних всесвітах – навпаки, вони глибоко взаємопов’язані: захист даних є необхідною, але не єдиною умовою для захисту приватності. 

Якщо уважно вчитатись в статтю 32 GDPR, ми зрозуміємо, що вона вимагає від контролера та процесора даних впроваджувати відповідні технічні та організаційні заходи для забезпечення рівня безпеки, адекватного ризикам. Це включає псевдонімізацію та шифрування, здатність гарантувати цілісність систем обробки даних, здатність своєчасно відновлювати доступність даних після інциденту, процеси регулярного тестування та оцінки ефективності заходів безпеки тощо.

Іншими словами, без інфраструктури для забезпечення захисту даних ви не можете бути GDPR-compliant, але наявність цієї інфраструктури не робить вас автоматично compliant, якщо ви порушуєте принципи приватності.

Класичний приклад: компанія, яка має найсучасніше шифрування всіх персональних даних, багаторівневий контроль доступу, регулярні пентести, сертифікацію ISO 27001 – але при цьому збирає набагато більше даних від користувачів, ніж потрібно для надання послуги (порушення принципу мінімізації), зберігає їх безстроково (порушення принципу обмеження зберігання) і не інформує людей належним чином про цілі обробки (порушення принципу прозорості). З точки зору GDPR всі перераховані моменти є грубим порушенням, яке може коштувати компанії мільйони штрафів.

Правильний підхід – це інтеграція обох підходів на всіх рівнях компанії, і GDPR фактично закріплює це у концепції privacy by design та privacy by default.

Privacy by design означає, що захист персональних даних має бути закладений у дизайн продуктів, сервісів та бізнес-процесів з самого початку – а не додаватися як опція після запуску. 

Privacy by default передбачає, що системи мають бути налаштовані так, щоб за замовчуванням обробляти мінімум персональних даних – лише те, що необхідно для конкретної мети, зберігати їх мінімальний час, надавати доступ мінімальній кількості людей. Користувач не повинен вручну вимикати агресивне збирання даних – він повинен свідомо вмикати додаткові функції, якщо хоче.

Як побудувати комплексний підхід: практичний чек-лист для бізнесу

Крок 1: Призначте відповідальних осіб і розмежуйте відповідальність

Почніть з організаційної структури. Якщо у вас є CISO або Head of IT Security – чудово, це і буде ваш technical security champion. Якщо компанія підпадає під обов’язкове призначення DPO згідно GDPR (обробка великих обсягів чутливих даних data, систематичний моніторинг тощо) – призначте DPO – це може бути окрема людина або команда, незалежна від IT. 

CISO та DPO мають працювати в тандемі: коли security-команда планує впровадження нової технології – DPO має бути залучений з самого початку, щоб оцінити ризики та можливість гарантування прав суб’єктів даних.

Крок 2: Проведіть інвентаризацію 

Визначте всі види та категорії даних, які обробляєте. З’ясуйте, хто має до них доступ, в яких системах вони обробляються. Визначте найбільш ризикові й чутливі дані та для чого вони знаходяться у вас – це буде відправна точка для визначення security controls. 

Крок 3: Оцініть технічні та privacy-ризики паралельно

Визначіть загрози, які актуальні для вашої індустрії, проведіть пентестування та встановіть слабкі місця у ваших інформаційних системах. Що станеться при реалізації загроз? Використайте відповідь на це питання, щоб оцінити ризики.

Водночас, оцініть існуючі обробки даних в своєму ІТ середовищі: чи всі вимоги GDPR ви маєте можливість забезпечити? Ключовий момент: оцінка ризиків з точки зору GDPR – це не технічні ризики для бізнесу (втрата даних, простій систем тощо), а ризики для людей, чиї дані обробляються (дискримінація, втрата контролю над даними, фізична небезпека, фінансові втрати, репутаційна шкода). І ось тут security controls прямо впливають на здатність зменшувати privacy-ризики – саме в цьому аспекті зустрічаються security та privacy.

Крок 4: Впровадьте процедури

GDPR змушує вас мати всю необхідну документацію. Ризики, які компанія оцінює, неодмінно мають бути зафіксовані у внутрішніх документах, а дії, до яких ви себе зобов’язуєте за результатами виявлення ризиків – знайти продовження у процедурах, яких дотримуються ваші працівники. 

Ваше завдання на цьому етапі – зробити так, щоб технічні контролі відповідали одночасно і захисту даних від загроз (security), і забезпечували права суб’єктів даних (privacy).  

Крок 5: Навчіть персонал

Працівники – це одне з джерел небезпеки, адже ніхто не застрахований від помилок / людського фактору. Тож їхня обізнаність та цифрова гігієна – це запорука вашого рівня комплаєнсу. Навчіть їх базових речей: як розпізнавати фішинг, як створювати безпечні паролі, чому важлива двофакторна автентифікація, що робити при підозрі на інцидент. Але при цьому врахуйте, що різні посади потребують різного рівня навчання. Розробники та інженери мають розуміти privacy by design, вміти проводити threat modeling з урахуванням privacy-ризиків, а юристи та комплаєнс-команда мають глибоко розуміти GDPR, чому не можна збирати “все підряд на всяк випадок”, як обробляти запити від клієнтів, що робити, якщо клієнт просить переслати його дані на особистий email тощо. 

Крок 6: Підтримуйте рівень 

Privacy та security – це завжди постійний рух, в якому щоквартально переглядаються певні документи, проводяться перевірки та навчання. Без цього неможливо забезпечити можливість реагувати на нові загрози, які виникають не лише ззовні, а й внаслідок змін в самій компанії. 

Технології та етика як конкурентна перевага

Різниця між захистом даних (data security) та захистом персональних даних (data protection/privacy) – у філософії та підходах, які мають конкретні бізнес-наслідки.

Data security – це технічна основа, без якої неможливо забезпечити безпеку жодного типу інформації, включно з персональними даними. Це інвестиція в захист ваших бізнес-активів від зовнішніх та внутрішніх загроз.

Data protection – це правовий та етичний фреймворк, який ставить у центр уваги людину та її права, змушуючи компанію визнавати, що персональні дані – це частина особистості людини, право на приватність якої захищене в демократичних суспільствах. 

Найголовніше – те, що ці два поняття є двома сторонами однієї медалі, які працюють найкращим чином лише разом. Ви не можете бути privacy-compliant без належного рівня захисту даних, і навпаки. Компанії, які це розуміють і будують інтегровані програми, виграють у довгостроковій перспективі.

Потрібна допомога у побудові комплексної програми data protection та security для вашої компанії? 

Команда Legal IT Group має багаторічний досвід роботи з організаціями різних розмірів та галузей. Legal IT Group допоможуть розробити необхідну документацію, навчити вашу команду та супроводжувати на всіх етапах compliance journey. Зв’яжіться з нами, щоб обговорити специфіку вашого бізнесу та створити рішення, яке працюватиме саме для вас.