Документ GDPR («Общие положения о защите данных») Европейского Союза вызвал оживленную дискуссию в профессиональных кругах и прессе. Специалисты высказывались с разных точек зрения: анализировали многочисленные статьи документа и делали прогнозы о потенциальных последствиях его реализации.
25 мая 2018 г. документ вступил в силу. Конца света не произошло, в Интернете по-прежнему размещается интересное содержимое, социальные сети никуда не делись. Самое время для того, чтобы задуматься о том, почему возникла нужда в столь радикальных мерах, как принятие GDPR.
Когда проблема защиты данных стала по-настоящему актуальной?
С развитием технологий и увеличением их надежности, появлением высокоскоростного Интернета и новых предложений и услуг на его основе, стали появляться компании, такие как Google, Facebook, Amazon бизнес модель которых строится на сборе, анализе и выполнении операций с пользовательскими данными . Процесс значительно ускорился с появлением смартфонов и широким распространением приложений для них — доступ в Интернет стал возможным не только с домашних и рабочих компьютеров.
Злоумышленники и киберпреступники так же осознали высокую значимость личных данных. Безусловно, хищения персональных данных происходили и раньше. Однако такие особенности, как огромный объем данных, низкая осведомленность субъектов этих данных и пренебрежение мерами по обеспечению безопасности данных в инфраструктурах компаний, занимающихся их сбором, создали идеальные условия для злоупотреблений.
Компании, замешанные в крупных утечках данных, несли минимальную ответственность по закону или полностью избегали взысканий. Несмотря на то, что серьезные утечки данных влекут за собой существенные убытки — не только прямые и косвенные, но и связанные с репутационным ущербом, пострадавшие организации в большинстве своем пережили катастрофу и продолжили свою деятельность в обычном режиме. Проще говоря, даже сопряженные с утечками данных высокие убытки, в том числе наложенные контролирующими органами штрафы, так и не смогли сыграть роль движущей силы перемен. Ущерб от утечки пользовательских данных воспринимался как прогнозируемый и управляемый деловой риск.
Таковы предпосылки принятия GDPR. В его задачи входило решение перечисленных проблем и привлечение внимания к вопросу: почему защита данных так важна?
GDPR: что это на самом деле значит
В чем смысл GDPR для среднестатистического пользователя?
Необходимость появления GDPR стала очевидна еще больше накануне его вступления в силу 25 мая 2018 г. после очередного громкого инцидента. Речь идет об утечке данных связанных с Cambridge Analytica и Facebook. Как обнаружилось, в 2016 г. тайно собранные персональные данные 87 млн. пользователей Facebook были применены в политических целях. Это прискорбное открытие выступило суровым напоминанием о необходимости повышения осведомленности субъектов личных данных о факте сбора данных. Перед организациями, занимающимися сбором и обработкой этих данных, также встала задача усовершенствования процедур.
Упомянутый инцидент произошел в разгар шумихи по поводу принятия GDPR. Он привел к убыткам Facebook на сумму порядка 600 тыс. долл. в виде штрафа и падению стоимости акций компании на 60 млрд. долл., а также к рискам, связанным возможными судебными исками и штрафами со стороны властей США, что дало компаниям, занимающимся сбором данных, убедительный пример того, насколько существенными негативными последствиями чревато нарушение требований.
Этот и другие инциденты показали, что компании часто замалчивали об инцидентах безопасности и раскрывали информацию в самый последний момент, когда факт инцидента уже не было возможности скрывать или после публикаций в прессе. Субъекты данных часто даже не подозревали об инцидентах безопасности, в результате которых их персональные данные становились доступными третьим лицам.
Изменение данного положения вещей, когда субъект данных не мог никак повлиять на ситуацию, а компании в результате деятельности которой происходила утечка персональных данных субъекта не несла никакой ответственности, а также пытались скрыть факт утечки, было одной из причин для появления GDPR.
Один из вопросов заключается в том, возрастет ли осведомленность всех заинтересованных лиц, особенно субъектов данных, или же мы вернемся к прежнему образу мыслей. Это еще предстоит выяснить.
В чем смысл GDPR для среднестатистической организации на территории ЕС?
Организациям была предоставлена почти двухлетняя отсрочка до вступления документа в силу 25 мая 2018 г., однако судя по результатам различных опросов до сих пор лишь очень малая доля предприятий способна обеспечить соответствие требованиям, установленным этим нормативным актом. Такая печальная статистика может быть обусловлена самыми разными вескими причинами, однако факт заключается в том, что организации потеряли ценное время. Теперь они должны беспристрастно оценить свои стратегии и процедуры сбора персональных данных пользователей.
В связи с такими факторами, как стремительное развитие интернет-торговли в сочетании с отсутствием эффективных правил защиты данных до принятия GDPR, процедуры сбора данных в большинстве организаций разрабатывались бессистемно. В пределах организации сбором одних и тех же личных данных могут заниматься разные субъекты. Этот подход естественным образом привел к недостаточной осведомленности о том, какие данные используются организациями, из каких источников они поступили и в каких операциях участвуют.
GDPR заставил организации задуматься о сборе данных в рамках концепции «прав и обязанностей». До принятия GDPR сбор пользовательских данных воспринимался как нечто само собой разумеющееся. В крайних случаях для субъекта данных были отрезаны все возможности не согласиться на их сбор. Документ GDPR изменил ситуацию. Теперь пользователи владеют правами на свои персональные данные и могут разрешать или запрещать их сбор. Принимая решение о сборе персональных данных, организации обязаны уважать права их субъектов и предоставлять достоверные сведения о целях и порядке сбора таких данных. С момента получения разрешения на компанию, занимающуюся сбором данных, ложится ряд обязанностей. В соответствии с требованиями GDRP, субъект данных должен иметь возможность в любой момент отозвать разрешение.
Чтобы выполнить свои новые обязанности, организациям следует рационализировать стратегии сбора данных, начиная с процедуры получения разрешения субъекта данных. Если разрешение имеется, организация должна обеспечить эффективную идентификацию и управление собранными данными. Необходимо объединить разрозненные системы и создать комплексное представление о том, какой информацией располагает компания и как она используется. Это комплексное представление играет важнейшую роль в ходе решения таких задач, как перенос или полное удаление персональных данных субъекта по его запросу. Пожалуй, наряду с созданием механизмов реализации прав субъектов данных, это вторая из сложнейших задач, поставленных перед организациями в связи с принятием GDPR.
Защита собранных данных о кибератаках и утечках находится ниже в списке обязанностей, однако это не умаляет важности этого пункта. До принятия GDRP в силу потенциально огромного размера штрафов, установленных в связи с утечкой данных, именно к этому требованию в основном было приковано внимание общественности. Ранее принятые законодательные акты не имели особой силы, тогда как GDPR можно назвать по-настоящему грозным «кнутом». Пожалуй, теперь стремление избежать удара этим кнутом для организаций становится своего рода «пряником».
В случае утечки данных организации должны сообщить об этом инциденте в течение 72 часов. Интересная особенность нормативного регулирования, однако, заключается в том, что организация может принять решение о серьезности утечки данных. Если «утечка персональных данных, вероятно, не представляет опасности для прав и свобод физических лиц», о ней можно не сообщать. Сообщение об утечке данных не всегда приводит к наложению штрафа, и если организация все же решит направить такое уведомление, оно должно сопровождаться значительным объемом информации. Таким образом, местоположение персональных данных должно быть известно компаниям. Обеспечение соответствия этому требованию усложняет подготовку организаций к внедрению GDPR.
GDPR устанавливает значительные штрафы за нарушение требований: 2% от мирового годового оборота или 10 млн. евро либо 4% от оборота или 20 млн. евро (в зависимости от того, какая из этих сумм выше). Эти меры воздействия побуждают организации добросовестно выполнять обязанности по обеспечению безопасности собранных данных. Невозможно предсказать, как отдельные агентства по защите данных будут реагировать на первые крупные утечки данных после вступления GDRP в силу, однако правовое регулирование наконец стало достаточно строгим по сравнению с предыдущими актами. Отметим, что до принятия GDRP в некоторых государствах-членах ЕС максимальный оцененный размер штрафов был законодательно ограничен.
В чем смысл GDPR для организаций за пределами ЕС?
Это, пожалуй, самый спорный, но и самый интересный аспект документа GDPR. Исходя из предположения, что владельцем персональных данных является их субъект, ЕС постановил, что любое лицо, проживающее в каком-либо из государств-членов ЕС, в соответствии с положениями документа подлежит защите независимо от наличия гражданства. Фактическое местонахождение организации, собирающей данные, не имеет значения. Тем не менее, вопросы реализации нормативных требований и порядка наложения штрафов в случае утечки данных остаются открытыми. Вероятно, группы юристов уже готовятся к решению первых проблем, которые возникнут в процессе реализации GDPR.
Что касается крупных многонациональных фирм, ведущих операции в ЕС, то здесь сценарий действий достаточно прост. В ЕС имеется опыт определения размера штрафов в отношении подобных организаций. Гораздо более важную проблему представляет собой регулирование деятельности организаций, которые предлагают жителям ЕС товары и услуги, однако непосредственно на территории ЕС не присутствуют.
Интернет не только вдохновил автора рисунка «В Интернете никто не знает, что ты собака» (New Yorker, 1993 г.), но и создал новые коммерческие возможности для организаций всех размеров, в особенности для предприятий малого и среднего бизнеса. Однако с точки зрения защиты данных эти организации статистически более уязвимы для кибератак и утечек данных.
Тем не менее, в первые дни действия новых правил нельзя наверняка сказать, как ЕС будет подходить к работе с организациями-нарушителями, которые не присутствуют в ЕС.
Несмотря на значительные штрафы и репутационный ущерб в связи с несоблюдением требований GDPR, некоторые организации (как на территории ЕС, так и за его пределами) могут попытаться скрыть данные обо всех нарушениях или их части. Это огромная ошибка. Важно помнить, что задачей GDPR является повышение прозрачности и ответственности компаний.
GDPR вступил в силу: что нужно знать
Какие выводы можно сделать по результатам начального периода реализации GDPR?
На сегодняшний момент для большинства из нас индикатором вступления GDPR в силу является возросшее количество сообщений электронной почты, в которых организации предлагают ознакомиться с новой политикой конфиденциальности данных и/или подписаться на информационную рассылку для получения сведений о дальнейшей деятельности компании.
В связи с внедрением GDPR можно заметить интересный побочный эффект: содержимое некоторых веб-сайтов, базирующихся за пределами ЕС, оказалось заблокировано для посетителей из стран ЕС. Является ли это решение необратимым или компании решили взять паузу и понаблюдать за процессом реализации GDPR? Время покажет.
Наступило 26 мая. Что должны сделать организации?
Большинству организаций следует в первую очередь сосредоточиться на устранении наиболее очевидных недоработок. И для большинства организаций это означает обеспечение соответствия правилам наиболее заметной части — корпоративного веб-сайта. Если в рамках исходящего маркетинга компания использует персональные данные, крайне важно связаться с клиентской базой для повторного получения разрешения на продолжение хранения и использования личных данных.
Кроме того, каждая организация должна в неофициальном порядке критически оценить процедуры сбора данных и решить гораздо более сложную задачу выявления и упорядочения персональных данных, которыми она располагает. Можно предположить (во всяком случае, выразить надежду), что новые данные, полученные после 25 мая 2018 г., будут проходить обработку в соответствии с требованиями GDPR. Сложность внедрения надлежащей процедуры будет зависеть от разных факторов, включая то, какие устаревшие ИТ-системы и/или облачные стратегии использует организация.
Организации могут вести опасную игру и в другом аспекте. Речь идет о системах информационной безопасности. В большинстве своем организации, в особенности крупные предприятия, поставщики услуг и государственные учреждения, уже располагают технологиями сетевой безопасности. По этой причине они склонны доверять существующим возможностям и отдавать приоритет устранению других несоответствий требованиям GDPR.
Недостаток этого подхода заключается в том, что при своих нынешних возможностях организации не всегда способны одновременно предотвратить утечку данных в результате атаки и вписаться в
Но что еще более важно, организации должны воспринимать GDPR как возможность применить более комплексный подход к оценке эффективности корпоративных систем информационной безопасности, а не пытаться необдуманно приобрести новые продукты и технологии или прибегнуть к услугам других поставщиков.
В условиях повышенного контроля и регулирования, а также роста количества и изощренности угроз организации должны быть абсолютно уверены в способности корпоративной инфраструктуры сетевой безопасности обеспечить всестороннюю защиту сети. Это означает, что необходимо блокировать как можно больше атак независимо от того, где они происходят, и оперативно выявлять любые вторжения, выходящие за первую линию обороны. Также инфраструктура безопасности должна поддерживать принятие соответствующих мер реагирования на вторжение, сводящих потенциальный ущерб до минимума. Таким образом, организации смогут принимать более обоснованные решения об оправданности предоставления информации об инцидентах в соответствующий орган по защите данных.
Ни одна технология по отдельности не может вписаться во все перечисленные требования. Организации, проводящие оценку своего оперативного потенциала в целях обеспечения соответствия жестким стандартам GDPR, должны воспользоваться возможностью выйти за рамки предписаний GDPR. В частности, организациям следует рассмотреть вопрос о том, соответствуют ли существующие системы сетевой безопасности текущим бизнес-требованиям и прогнозируемым потребностям.
Заключение
Кто-то воспринимает принятие документа GDPR как начало новой эры, которая приведет к смещению баланса между субъектами данных и их сборщиками в пользу первых. Для кого-то это еще один пример ненужного и чрезмерного регулирования, особенно с точки зрения организаций, не имеющих непосредственного присутствия на территории ЕС. Об эффективности GDPR пока рано судить, однако можно ожидать, что повышение осведомленности о порядке сбора, использования и защиты персональных данных в значительной степени улучшит положение дел.
Другой важный вывод заключается в том, что организации должны стремиться реализовать коммерческие преимущества, созданные документом GDPR, а не ограничиваться подгонкой своей деятельности под требования. Соблюдение GDPR — это непрерывный процесс, который требует постоянной оценки и корректировки с течением времени.
Автор статьи — системный инженер компании Fortinet.