GDPR. Практические советы +43

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступает в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному. За последние полгода провел анализ десятка различных веб-систем на соответствие GDPR, и везде встречались одни и те же проблемы. В связи с этим цель этой статьи не разъяснить, что такое GDPR (об этом уже много написано), а дать практические советы техническим людям, что необходимо сделать в вашей системе, чтобы она соответствовала GDPR.

Пару интересных моментов по регламенту:

  • Если есть хоть один клиент из Европы, чьи персональные данные вы храните, вы автоматически попадаете под GDPR
  • Регламент базируется на трёх основных идеях: защита персональных данных, защита прав и свобод людей в защите их данных, ограничение перемещения персональных данных в рамках Евросоюза (Art. 1 GDPR)
  • UK всё ещё в EU, поэтому подпадает под действие GDPR, после Brexit-а GDPR будет заменён на Data Protection Bill, который по своей сути очень схож с GDPR (https://ico.org.uk/for-organisations/data-protection-bill/)
  • Серьезно ограничивается трансфер данных в третьи страны. Европейская комиссия определяет, в какие “третьи” страны или в какие сектора или организации в этих странах разрешён трансфер персональных данных Art. 45 GDPR. Вот список разрешённых стран.
  • Понятно, что внутрь системы просто так надзорный орган никто не пустит, а это значит, что продемонстрировать насколько крута безопасность системы и процессов можно только “на бумаге”. Если безопасность процессов, системы и персональных данных не задокументирована, значит компания не соответствует GDPR. “The controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation.” (Art. 24 GDPR)

Реализация GDPR на практике


Публичные страницы на сайте

  • Privacy Policy — основной документ, который требует соответствия с GDPR
  • Должно быть четко прописано, какую Personal и Non-personal информацию система собирает
  • Для каких целей информация собирается
  • Какие права пользователь имеет (Art. 15 — 18 GDPR)
  • Политика хранения данных (Data Retention Policy)
  • Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались (Art. 5 GDPR)
  • Трансфер данных в другие страны (International transfers of your personal data) Art. 45 GDPR
  • Как данные будут защищены
  • Контактная информация, включая юридический адрес; контакты Data Protection Officer, если он есть
  • Terms of Use — необходимо добавить жирным текст “The Website is available only to individuals who are at least 16 years old.”, если система не работает целенаправленно с детьми или детским контентом, в противном случае, нужно добавлять в систему функциональность по Age Checks в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16. Art. 8 GDPR
  • Compliance & Security — опционально, но пользователи уже сейчас спрашивают, что у вас с GDPR, поэтому лучше иметь ресурс, где детально будет расписано, как вы организуете защиту данных
  • Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки система использует

Страница регистрации

  • Количество полей должно быть минимальным и обоснованным (’data minimisation‘) Art. 5 GDPR
  • Гранулированное согласие (Granular Consent) Art. 7 GDPR
  • Обязательный чекбокс, что согласны с Terms of Use и Privacy Policy
  • Отдельный чекбокс, если хотите подписать пользователя на почтовую рассылку

Страница профиля пользователя

  • Пользователь должен иметь возможность изменить любое поле о себе Art. 16 GDPR
  • Кнопка Delete Account (Art. 17 GDPR). Пользователь должен иметь возможно удалить себя и всю свою информацию из системы.
  • Кнопка Restrict Processing Mode (Art. 18 GDPR). Если пользователь включил этот режим, то персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
  • Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV
  • Снова гранулированное согласие (Granular Consent) Art. 7 GDPR
  • Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)

Дополнительная функциональность

  • Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны Art. 5 GDPR. Например, информация в заказах, которые обработаны.
  • Автоматическое удаление персональных данных в других сервисах, которыми система интегрирована Art. 19 GDPR

Организационные меры по защите данных


Разработка следующих политик и документов

  • Personal Data Protection Policy Art. 24 (2) GDPR
  • Inventory of Processing Activities Art. 30 GDPR
  • Security incident response policy: В течение 72 часов необходимо уведомить свой надзорный орган об утечке (Art. 33 GDPR), нужно уведомить data subject-а, что его данные утекли (но при определённых условиях можно и не делать этого) (Art. 34 GDPR)
  • Data Breach Notification Form to the Supervisory Authority Art. 33 GDPR
  • Data Breach Notification Form to the Data Subjects Art. 34 GDPR
  • Data Retention Policy Articles 5(1)(e), 13(1), 17, 30

“Nice to have“ политики

  • Data Disposal Policy
  • Backup policy
  • System access control Policy
  • SLA and escalation procedures
  • Cryptographic control policy
  • Disaster Recovery and business continuity
  • Coding standards and rollout procedure
  • Employment policy and processes
  • Чтобы не плодить кучу документов, можно объединить их в один IG Policy (Information Governance Policy)

Технические меры по защите данных


Нет в GDPR четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR)

  • Firewalls, VPN Access
  • Encryption for data at rest (whole disk, database encryption)
  • Encryption for data in transit (HTTPS, IPSec, TLS, PPTP, SSH)
  • Access control (physical and technical)
  • Intrusion Detection/Prevention, Health Monitoring
  • Backups encryption
  • 2-factor authentication, Strict authorization
  • Antivirus
  • И другие, в зависимости от системы

Несколько специфических моментов, при которых, возможно, потребуется привлечение юристов:

  • Обработка ‘special data’ (Art. 4 GDPR) по умолчанию запрещена. Сбор персональной информация относительно здоровья, сексуальной жизни и ориентации, биометрических и генетических данных, философских и религиозных верований запрещена (Art. 9 GDPR), за исключением случаев, описанных здесь (Art. 9 GDPR)
  • Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
  • Все субконтракторы, с которыми работает data controller, неважно где они находятся, также должны соответствовать GDPR, соответствующие изменения также должны быть внесены в контракты (Art. 28 GDPR)
  • Субконтрактор не в праве пользоваться услугами другого субконтрактора без письменного согласия data controller-а (Art. 28 GDPR)
  • Серьёзные ограничения на трансфер данных, поэтому лучше ознакомиться со всеми условиями трансфера, если данные отсылаются или хранятся вне рамок EU (Chapter 5 GDRP)
  • Data Protection Officer. Эта роль обязательна, если обрабатывается ‘special category of data' или обработка данных осуществляется государственным органом (Art. 37 GDRP)
  • United Kingdom. Information Commissioner’s Officer (ICO) registration
  • Рядовые пользователи также сюда могут направлять свои вопросы и жалобы относительно защиты их данных в той или иной компании, после чего начнутся разбирательства (https://ico.org.uk/for-the-public/raising-concerns/)
  • Сообщать о взломах и утечках персональных данных тоже компаниями необходимо сюда
  • Не для всех организаций обязательна регистрация и оплата ежегодных fee в ICO, только для тех, кто попадает под определённые условия (https://ico.org.uk/for-organisations/register/self-assessment/)

Ссылки


Регламент
Чеклист на соответствие GDPR
Гайдлайн для контрактных изменений
Реальный пример штрафа, когда компании сделали рассылку без согласия пользователей

Денис Колошко, CISSP

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (37):

  1. barsuksergey
    /#10755848

    Я, может, наивен, но с какой стати эти законы и штрафы должны действовать на территории моей страны и в отношении моего ЮЛ?

    • Anexroid
      /#10755886

      Если вы работаете только на территории своей страны (не в ЕС) и ваши пользователи тоже только из вашей страны, то разумеется никакой GDPR вы исполнять не обязаны. Но если вы хотите работать на территории ЕС, с пользователями ЕС, то необходимо выполнять законы ЕС.

      В принципе, аналогичные законы есть и в РФ.

      • biseptol
        /#10755990

        Тут возникает много вопросов. Что значит «работать на территории ЕС»? Почему вдруг если пользователь из ЕС приходит на мой вебсайт — это я работаю в ЕС? Верно ли, что компании из ЕС должны подчиняться законам, например, Саудовской Аравии и КНДР?

        • DistortNeo
          /#10756018

          Угу. Интернет глобален, и попытка его зарегулировать локально ни к чему хорошему не приводит.

        • Andrey_Kalugin
          /#10756046

          Если вы целеноправленно оказываете услуги жителям EC, то попадаете под действие GDPR. Не оказываете — не попадаете. Все просто.

          • nckma
            /#10756102

            А если не оказываешь услуги, но житель ЕС зарегистрировался на моем российском форуме и указал свое имя-фамилию?

            • Sioln
              /#10756138

              Если у вас ресурс только на русском языке, то норм.
              А если он переведён на, например, немецкий, то, тем самым подразумевается ваш таргетинг на Германию (ЕС).

              • geher
                /#10756148 / +1

                А если он переведён на, например, немецкий, то, тем самым подразумевается ваш таргетинг на Германию

                А если он ориентирован на немцев, живущих в России и притом граждан России (такие есть, и их довольно много)?

                • Sioln
                  /#10756154

                  Не знаю точно, что если.
                  Но!
                  Не вникая в детали, одна компания огребла в ЕС именно от того, что сайт обслуживал немцев, будучи переведённым на немецкий.
                  Не было бы перевода, последствия были бы мягче.

              • sumanai
                /#10756160

                А если он переведён на, например, немецкий

                А если там модуль гугл-транслейса с автовыбором языка?

            • Andrey_Kalugin
              /#10756292

              А это уже будет суд решать :) К сожалению, в регламенте столько общих формулировок, что однозначные трактовки зачастую сложно дать.

            • nick7ikin
              /#10761404

              попадаются признаки оказания услуг гражданам ЕС:

              • услуги/товары адаптированы на местные языки жителей ЕС;
              • услуги/товары оплачиваются в местных валютах ЕС;
              • услуги/товары предоставляются на национальных доменах верхнего уровня стран ЕС.

              Например в этом источнике

      • ukt
        /#10756090

        В принципе, аналогичные законы есть и в РФ.

        История была.
        Закончился вклад в банке, забрал деньги, отозвал свои персональные данные, потребовал уведомить письменно об уничтожении моих ПД. Через некоторое время пришло уведомление. Через пол года пришел в другой банк, при оформлении договора мне сообщили, что я был клиентом такого то банка, который они купили…

        • fuCtor
          /#10756488

          Тут есть момент, из отчётности то они удалить ничего не могут. Следовательно в любом случае какие-то данные останутся. Аналогично как быть с бэкапами.

          • VolCh
            /#10756834

            Даже если что-то осталось, то использовать они это уже не имеют права.

        • Am0ralist
          /#10756838

          Это не означает, что они должны удалить ВСЕ данные по вам.
          Более того, они часть данных обязаны хранить для гос.органов в любом случае.

  2. ZoomLS
    /#10755932

    Если это ник и email — это является персональными данными по их мнению?

    • esc
      /#10755974 / +1

      ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

      • a name and surname;
      • a home address;
      • an email address such as name.surname@company.com;
      • an identification card number;
      • location data (for example the location data function on a mobile phone)*;
      • an Internet Protocol (IP) address;
      • a cookie ID*;
      • the advertising identifier of your phone;
      • data held by a hospital or doctor, which could be a symbol that uniquely identifies a person.


      Email в общем случае, не попадает. Но не понятно, что будет, если пользователь сам введет почту с именем и фамилией, хотя его просили просто указать почту.

      Проблема с Cookie ID. Если id сессии, что хранится в куках сюда может и не будет относиться, то даже по куке для автоматической авторизации уже вопрос.

      • mituy
        /#10761400

        С кукисами все плохо. в GDPR есть одно только упоминание про Cookies, но оно довольно сильно аффектит. Вот здесь дельно описано:
        www.itgovernance.eu/blog/en/how-the-gdpr-affects-cookie-policies
        www.cookiebot.com/en/gdpr-cookies

        Получается, что даже куки для неавторизованного пользователя ( то есть про него вы ничего не знаете), который шарится по вашему сайту — уже перс данные, так как для в куке уникальный ключ, на основании которого аналитика трекает поведение.

  3. biseptol
    /#10755998 / -1

    Мне нравится вот это «штрафы большие и придётся соответствовать».

    Да не придется, блин, чтобы там ни принимали в ЕС (, Саудовской Аравии, Китае, РФ, или КНДР).

    • crea7or
      /#10756026 / +2

      Ну если в ЕС не собираетесь в течение жизни — то может и не надо.

    • Andrey_Kalugin
      /#10756048

      Если у вас интернет магазинчик, торгующий спинерами и чехольчиками, не придется. А если дочки или контрагенты в EC, то ой как придется.

    • Anexroid
      /#10756108

      Мы вот сейчас переводим сервис на поддержку GDPR, ибо много клиентов из ЕС, которые платят нам много денег. Если возникнут проблемы с работой сервиса на территории ЕС нам будет очень плохо.

  4. Barafu
    /#10756040

    Хотели как лучше, а получилась бюрократия.

    А если в TOS написать большими английскими буквами, что этот сайт вне юрисдикции европы, не соответствует GD#!@ и не хочет работать с клиентами из европы? Клиенты-то не сильно снизятся, никто ж не читает. А вот проверки лесом посылать можно будет?

    • geher
      /#10756128

      Можно ровно до тех пор, пока не совпадут два факта:


      1. Как-то придется пересечься с юрисдикцией ЕС (хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС).
      2. Вы заинтересуете кого-то в ЕС настолько, чтобы заморочиться вашими нарушениями (заинтересуете не обязательно по линии нарушений, но повод докопаться будет).

      • Stiver
        /#10756274

        хотя бы просто выехать в страну ЕС, или даже в страну, готовую вас выдать в ЕС

        Вы путаете с уголовным кодексом. Штрафы за несоблюдение GDPR налагаются на компанию, это не уголовное преступление, чтобы кого-то преследовать/выдавать.

        На вопрос выше: если фирма не имеет отделения/счетов/каких-либо активов в EC, то можно GDPR просто игнорировать. Хотя лучше не надо — там прописаны вполне разумные вещи, которые хорошо бы реализовать каждой компании независимо от каких-либо внешних директив.

        • geher
          /#10756498

          А разве за систематическую неуплату штрафов принадлежащей вам или управляемой вами конторой нельзя получить на свою голову вполне уголовное преследование?
          Типа за осознанное препятствование правосудию или неисполнение решения суда.

          • Stiver
            /#10756512

            Нет, нельзя. Максимум за затягивание банкротства, если фирма находится в юрисдикции ЕС и не может выплатить штрафы. Если вне юрисдикции — нет ни штрафов, ни ответственности.

  5. Token2
    /#10756116

    А если при регистрации не запрашивается страна? То есть в если мы не в курсе что клиент из ЕС или нет, должны ли все равно соответствовать

  6. leahch
    /#10756226 / +1

    А вот мне хочется сказать спасибо! Дельные вещи, реализация которых уж точно не сделает магазин хуже.

    • sasha1024
      /#10756262

      Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV
      — это офигенно, я считаю.

  7. mraidar
    /#10756474

    Поясните пожалуйста «гранулированное согласие»

    • testlnord
      /#10756590

      Пускай у нас есть интернет магазин. Тогда мы можем использовать данные человека для доставки ему товаров, рассылки ему писем о новых акциях и для составления маркетинговых профилей. Это означает, что на каждую такую активность мы должны спрашивать отдельное разрешение. При чем человек может сначала согласится, а потом запретить нам какие-то действия, которые являются необязательными для предоставления ему услуги.

  8. aleks_raiden
    /#10760200 / +1

    А можно подробнее — Export Personal Data. Это выгрузка именно собранных данных (например, данных по аккаунту юзера) или же всей информации? То есть, если у меня в системе есть чаты и новости от юзеров, то мне надо выгружать все данные ассоциированные с юзером (все его сообения с чатов, все новости написанные им)?

    • dhound
      /#10760800

      GDPR касается персональных данных (PII). Поэтому достаточно будет сделать выгрузку только этой информации (public Id, имэйл, имя, фамилия, телефон, ссылка на фотографию и т.д.).

  9. ntimur
    /#10761394

    GDPR интересная тема для обсуждения. Но для начала нужно понять что у нас с 152 ФЗ РФ и как мы соответствуем требованиям законам РФ. Здесь мороки не меньше, да штрафы не так пугают но проблем получить можно не меньше в целом…

  10. AndreyKas
    /#10761396

    Большое спасибо за статью. Вы не в курсе, относительно

    Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
    : предоставляет кто-либо подобные услуги?