С момента вступления в силу Общего регламента по защите данных прошло полтора года. По сравнению с весной прошлого года, когда царило всеобщее замешательство и волнение о столь всеобъемлющих требованиях этого регламента, сейчас все успокоилось.
Однако это затишье отнюдь не значит, что Регламент по защите персональных данных (далее – Регламент) стал всем понятен и выполнение его требований идет как по маслу. Скорее настало какое-то необоснованное расслабление. В этой статье я коснусь того, где компании чаще всего наступают на грабли сфере защиты данных и как этого избежать.
Первыми и самыми крупными «граблями» является незнание того, что же такое защищаемые данные, где они находятся и что с ними делать, чтобы они обрабатывались и защищались так, как предписывает Общий регламент по защите данных. По сути любой из нас знает, что персональный код, номер телефона и адрес электронной почты — это те данные, которые следует защищать. Однако это отнюдь не полный список данных. Защищаемыми данными является также, например, публично доступная информация в компании о днях рождения сотрудников. Данные местонахождения человека, например, данные с GPS о передвижениях автомобиля и IP адрес компьютера тоже являются защищаемыми данными и требуют обработки согласно положениям Регламента. По определению, персональными данными является любая информация, которая относится к идентифицированному или идентифицируемому живому физическому лицу. Также это разного рода информация, обобщив которую можно идентифицировать конкретного человека.
Еще одна проблема — это «метод страуса» в отношение регламента: засунув голову в песок, считать, что требования Регламента по защите данных меня не коснутся. Стоит отметить, что из этой удобной «это меня не касается» позиции неприятно вышибает именно наложение штрафа на собственное или аналогичное предприятие. Фактически Регламент по защите данных не относится только к данным, которые используются в рамках домашнего хозяйства, все остальные ситуации, за редкими исключениями, попадают под действие Регламента.
Не стоит заблуждаться, считая, что Регламент относится только к крупным компаниям с большим количеством клиентов. Даже самая малая фирмочка, которая продает свой продукт с помощью какой-либо Интернет-платформы, собирает данные клиентов, а следственно обязана обрабатывать их должным образом, в том числе – своевременно уничтожать. Даже широко обсуждаемые детские рисунки могут стать защищаемыми данными, если их используют, например, не как произведения искусства, а смотрят на них глазами психолога, который может считать с рисунка какую-нибудь личную информацию.
Еще в 2018 году в бюджет страны была заложена определенная сумма, которую планировалось собрать в виде штрафов за несоблюдение Регламента. Несмотря на то, что цель не была достигнута, это должно стать четким сигналом того, что «время на раскачку», данное первым годом действия Регламента под эгидой «сначала проконсультируй», вышло.
Пока еще в Латвии не было слышно громких дел о наложении штрафов. Тем временем в Литве одна платежная онлайн-платформа получила штраф в размере более 60 тысяч евро, в Болгарии за утечку данных государственное учреждение было оштрафовано на 2,6 миллиона евро, а в Великобритании крупная гостиничная сеть рискует получить штраф более 100 миллионов евро за нарушение Регламента. В Латвии одна Интернет-фирма получила штраф в размере 7 тысяч евро. Скорее всего, учащение случаев штрафования — это лишь вопрос времени.
Статистика показала, что жители Европы чаще всего жаловались на обработку персональных данных в связи с получаемыми по электронной почте коммерческими предложениями, видеонаблюдением и телемаркетингом.
Позиция «меня это не касается» зачастую связана с еще одной распространенной ситуацией — нежеланием инвестировать во внедрение Регламента и фактическим отсутствием понимания, с чего вообще начать.
Первым шагом здесь будет оценить, осуществимо ли внедрение Регламента своими силами, в том числе наняв специалиста по защите персональных данных, или привлечь внешнего поставщика услуг. Стоит отметить, что для определенных организаций, например, самоуправлений, банков и других компаний, в основе деятельности которых лежит обработка данных, наличие специалиста по защите данных является обязательным требованием. Наемный работник или аутсорсинг — расходы неизбежны. В случае аутсорсинга этих услуг предприятие получает большую часть необходимых навыков от профессионалов, которые могут разработать эффективную систему обработки данных для соблюдения требований, а также проконсультировать по решению повседневных вопросов.
Как это происходит? Сначала проводится аудит данных, в рамках которого выясняется, где в компании «обитают» защищаемые данные, создается регистр данных, разрабатываются рекомендации по устранению слабых звеньев процесса. В зависимости от того, насколько всеобъемлющую услугу выберет компания, далее следует разработка необходимых документов для обеспечения законной обработки данных, обучение сотрудников, возможно, даже тестирование и т.д. Цель этого процесса — добиться, чтобы каждый работник в компании или учреждении знал, что такое данные, с какими из них он сталкивается в ходе выполнения своих рабочих обязанностей, умел обрабатывать их законным образом и знал о своей ответственности за соблюдение требований Регламента.
В вопросе соблюдения Регламента состояние «все в порядке» практически недостижимо. С развитием организации, внедряя новые продукты, каналы продаж, меняя ИТ-системы, затрагивается и поле защиты данных. Например, внедряя видеонаблюдение или открывая возможность подать заявку на получение услуги в Интернете, необходимо внести изменения и в систему обработки данных.
Еще одной важной обязанностью является отчетность. Это значит, что компания или любая другая организация должна не только соблюдать все принципы защиты персональных данных, но и должна наглядно показать, что сделано все возможное для минимизации рисков инцидентов – случившихся или потенциальных. Например, в результате нарочного или нечаянного действия работника происходит утечка персональных данных клиентов. От этого не застрахован никто, в то же время, если компания сможет доказать, что имела должным образом внедренную политику защиты персональных данных (а также то, что сотрудник был обучен и подтвердил это своей подписью), в момент решения о наложении штрафа это может стать обстоятельством, смягчающим вину.
Этот Регламент принят совсем недавно, но несмотря на это имеет силу во всей Европе. Политика наказаний формируется постепенно, зачастую — путем судебной практики. Официальный сайт европейского Регламента по защите данных gdpr.eu на основании практики применения штрафов, накопленной за первый год действия Регламента, четко дает понять — в 2019 году количество и суммы штрафов будут расти. В Европе лишь за первый год зафиксировано более 206 тысяч случаев нарушения Регламента, а объем наложенных штрафов превышает 55 миллионов евро.
