Общий регламент по защите данных вступил в силу в Европейском союзе 25 мая 2018 года и относится не только к странам-участницам ЕС. Любой предприниматель, независимо от страны, в которой он зарегистрирован, обязан соблюдать регламент, если он занимается обработкой данных жителей ЕС. С начала 2018 года в среднем по Европе примерно 50–60% предприятий не соответствовали требованиям Общего регламента по защите данных.
Прошло почти три года с момента вступления в силу “Общего регламента по защите данных” (General Data Protection Regulation, GDPR). И компания Tet (ранее Lattelecom), на себе прочувствовав все изменения, готова рассказать, что сегодня значит вести бизнес, хранить и обрабатывать данные в странах Европы.
Описание сути закона с точки зрения обывателя
Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПДн). Также есть понятие оператора ПДн. Это относится к лицам и организациям, участвующим в обработке ПДн. Обработка — это любое действие, выполняемое с персональными данными.
Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПДн или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, в GDPR имеются «контроллер» и «процессор». Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой.
В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПДн (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте. Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных должны находиться на территории России.
GDPR не требует обязательного хранения личных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.
Описание сути закона с точки зрения оператора ЦОД
GDPR обязывает компании уведомлять пользователей о хранении их персональных данных и объяснять, зачем это делается. У пользователя должна быть возможность отказаться от передачи и хранения данных.
С 2016 года, когда был принят регламент, началась информационная кампания во всем ЕС, включая Латвию. Она описывала причины внедрения регламента, рассказывала о его целях и задачах, а также о требованиях и процессе реализации. Кроме того, в этот же период активную деятельность развернули продавцы решений по ИТ-безопасности, юридические консультанты, которые устраивали семинары и разъясняли требования регламента.
За нарушение GDPR существует ответственность. В Европе ограничений по суммам нет — штрафы могут достигать 4% от годового оборота компании, а в России за невыполнение предписанных требований компании заплатят до 300 тысяч рублей. С 2018 года за широкий спектр нарушений GDPR наложены штрафы на общую сумму более 275 миллионов евро.
Нередки случаи, когда государственные органы штрафуются регулирующими органами в соответствии с действующим законодательством. Information Commissioner’s Office в Великобритании оштрафовал совет графства Хэмпшир в августе 2020. Регулирующий орган Португалии (CNPD) ранее оштрафовал общественную телекомпанию RTP. Так что прецедент наложения штрафов на органы государственного сектора есть. GDPR предоставляет государствам-членам свободу выбора в отношении того, действительно ли они могут налагать штрафы на государственные организации.
Этап планирования
Мы начали подготовительные работы в начале 2017 года — создали команду для реализации проекта, выделили бюджет (1% от годового оборота). Основные подготовительные работы были завершены к 25 мая 2018 года, то есть ко дню вступления регламента в силу. Но некоторые процессы продолжались до конца 2018 года (например, удаление старых данных или замена крупных ИТ-систем).
Для внедрения требований нужно было заменить и софт, и «железо». По сути внедрение регламента стало и проектом по обновлению ИТ-парка. «Железо» нужно было менять еще и из-за того, что некоторое оборудование было несовместимо с новым софтом. Например, мы поменяли центральный файрвол и заменили все компьютеры, которые ранее не поддерживали шифрование HDD (BitLocker). В целом замена оборудования была и так предусмотрена, поэтому затраты на него мы не включали в стоимость проекта по соблюдению требований GDPR.
Главными сложностями для внедрения изменений были юридические трактовки — сначала нужно было понять, что вообще означают те или иные формулировки в законе.
Начало работы по выполнению требования GDPR
В первую очередь обратились к международными аудиторам. Мы много сотрудничали с другими европейскими предприятиями в рамках рабочих групп, например с организацией ETIS, для того, чтобы увидеть, как готовятся другие телеком-операторы и ИТ-компании.
То есть сначала во избежание нарушений необходимо оценить, для каких целей ведется обработка данных, и систематизировать информацию об имеющихся данных. Зачастую предприятия в силу привычки собирают информацию, которую никогда не используют, потому что она им не нужна. В связи с этим мы провели аудит своей деятельности, чтобы узнать, какие данные имеются в наличии, для чего они собираются, долго ли их следует хранить, нужно ли их уничтожать или нет, и почему. Ответив на эти вопросы, предприятие может понять, во-первых, каким образом лучше всего обеспечить соответствие регламенту — то есть создание реестра данных, а во-вторых, обосновать работнику, клиенту или партнеру по сотрудничеству, то есть субъекту данных, для чего нужны его данные.
Сертификат
Организации для получения сертификата необходимо заполнить заявку на сертификацию GDPR, заключить договор на сертификацию, произвести оплату и пройти процедуру аудита на соответствие требованиям Регламента. После прохождения всех этапов компания получает сертификат от уполномоченного органа.
Такой сертификат улучшает имидж компании и облегчает доступ в работе с крупными российскими и иностранными компаниями. Кроме того, благодаря этому документу компании доверяют клиенты, так как организация демонстрирует им свою приверженность к безопасности обработки их персональных данных.
Подведение итогов
На эти изменения, необходимые для обеспечения соответствия требованиям регламента — то есть приобретение специфических ИТ-решений и лицензий, мы вложили чуть больше 1% от годового оборота (это было в 2018 году).
Все следующие годы необходимо было содержать внедренные ИТ-решения, а также обеспечить юридическую поддержку, чтобы анализировать соответствие или несоответствие закону в каких-то конкретных ситуациях хранения и обработки данных. Всего это составило около 0,3% от оборота (на содержание).
Работникам компании пришлось освоить новые инструменты — шифрование email и документов, мультифакторную аутентификацию. Также произошли изменения в культуре того, как вообще делиться информацией — что можно отправить, а что нельзя. Это касается не только коммуникации с клиентами, но и принципов работы внутри предприятия. Плюс ко всему было внедрено централизованное управление мобильными устройствами, удаление старых данных и файлов. А обычные пользователи столкнулись с сообщениями о политике конфиденциальности и всплывающими сообщениями о cookies.
Требования законодательства по защите данных ЕС в ближайшие годы не изменятся, однако будет меняться отношение к нарушениям. Ранее применялся принцип «сначала – консультирование», и штрафы получали только самые «злостные нарушители», которые не сотрудничали с ответственными учреждениями. Но понятно, что этот принцип меняется, потому что условный переходный этап уже завершился.