[Из песочницы] GDPR. Практические советы

habr.png

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступает в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному. За последние полгода провел анализ десятка различных веб-систем на соответствие GDPR, и везде встречались одни и те же проблемы. В связи с этим цель этой статьи не разъяснить, что такое GDPR (об этом уже много написано), а дать практические советы техническим людям, что необходимо сделать в вашей системе, чтобы она соответствовала GDPR.

Пару интересных моментов по регламенту:

  • Если есть хоть один клиент из Европы, чьи персональные данные вы храните, вы автоматически попадаете под GDPR
  • Регламент базируется на трёх основных идеях: защита персональных данных, защита прав и свобод людей в защите их данных, ограничение перемещения персональных данных в рамках Евросоюза (Art. 1 GDPR)
  • UK всё ещё в EU, поэтому подпадает под действие GDPR, после Brexit-а GDPR будет заменён на Data Protection Bill, который по своей сути очень схож с GDPR (https://ico.org.uk/for-organisations/data-protection-bill/)
  • Серьезно ограничивается трансфер данных в третьи страны. Европейская комиссия определяет, в какие «третьи» страны или в какие сектора или организации в этих странах разрешён трансфер персональных данных Art. 45 GDPR. Вот список разрешённых стран.
  • Понятно, что внутрь системы просто так надзорный орган никто не пустит, а это значит, что продемонстрировать насколько крута безопасность системы и процессов можно только «на бумаге». Если безопасность процессов, системы и персональных данных не задокументирована, значит компания не соответствует GDPR. «The controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation.» (Art. 24 GDPR)


Реализация GDPR на практике


Публичные страницы на сайте

  • Privacy Policy — основной документ, который требует соответствия с GDPR
  • Должно быть четко прописано, какую Personal и Non-personal информацию система собирает
  • Для каких целей информация собирается
  • Какие права пользователь имеет (Art. 15 — 18 GDPR)
  • Политика хранения данных (Data Retention Policy)
  • Данные нельзя хранить дольше, чем это необходимо для целей, для которых персональные данные собирались (Art. 5 GDPR)
  • Трансфер данных в другие страны (International transfers of your personal data) Art. 45 GDPR
  • Как данные будут защищены
  • Контактная информация, включая юридический адрес; контакты Data Protection Officer, если он есть
  • Terms of Use — необходимо добавить жирным текст «The Website is available only to individuals who are at least 16 years old.», если система не работает целенаправленно с детьми или детским контентом, в противном случае, нужно добавлять в систему функциональность по Age Checks в виде чекбокса на странице регистрации и получению родительского согласия, если пользователю меньше 16. Art. 8 GDPR
  • Compliance & Security — опционально, но пользователи уже сейчас спрашивают, что у вас с GDPR, поэтому лучше иметь ресурс, где детально будет расписано, как вы организуете защиту данных
  • Payment Policy, Cookie Policy — расписывается как проходят платежи, и какие куки система использует


Страница регистрации

  • Количество полей должно быть минимальным и обоснованным («data minimisation») Art. 5 GDPR
  • Гранулированное согласие (Granular Consent) Art. 7 GDPR
  • Обязательный чекбокс, что согласны с Terms of Use и Privacy Policy
  • Отдельный чекбокс, если хотите подписать пользователя на почтовую рассылку


Страница профиля пользователя

  • Пользователь должен иметь возможность изменить любое поле о себе Art. 16 GDPR
  • Кнопка Delete Account (Art. 17 GDPR). Пользователь должен иметь возможно удалить себя и всю свою информацию из системы.
  • Кнопка Restrict Processing Mode (Art. 18 GDPR). Если пользователь включил этот режим, то персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
  • Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV
  • Снова гранулированное согласие (Granular Consent) Art. 7 GDPR
  • Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал)


Дополнительная функциональность

  • Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны Art. 5 GDPR. Например, информация в заказах, которые обработаны.
  • Автоматическое удаление персональных данных в других сервисах, которыми система интегрирована Art. 19 GDPR


Организационные меры по защите данных


Разработка следующих политик и документов

  • Personal Data Protection Policy Art. 24 (2) GDPR
  • Inventory of Processing Activities Art. 30 GDPR
  • Security incident response policy: В течение 72 часов необходимо уведомить свой надзорный орган об утечке (Art. 33 GDPR), нужно уведомить data subject-а, что его данные утекли (но при определённых условиях можно и не делать этого) (Art. 34 GDPR)
  • Data Breach Notification Form to the Supervisory Authority Art. 33 GDPR
  • Data Breach Notification Form to the Data Subjects Art. 34 GDPR
  • Data Retention Policy Articles 5(1)(e), 13(1), 17, 30


«Nice to have» политики

  • Data Disposal Policy
  • Backup policy
  • System access control Policy
  • SLA and escalation procedures
  • Cryptographic control policy
  • Disaster Recovery and business continuity
  • Coding standards and rollout procedure
  • Employment policy and processes
  • Чтобы не плодить кучу документов, можно объединить их в один IG Policy (Information Governance Policy)


Технические меры по защите данных


Нет в GDPR четких предписаний, какие security controls применять, но архитектура должна быть построена по принципу Data protection by design and by default (Art. 25 GDPR)

  • Firewalls, VPN Access
  • Encryption for data at rest (whole disk, database encryption)
  • Encryption for data in transit (HTTPS, IPSec, TLS, PPTP, SSH)
  • Access control (physical and technical)
  • Intrusion Detection/Prevention, Health Monitoring
  • Backups encryption
  • 2-factor authentication, Strict authorization
  • Antivirus
  • И другие, в зависимости от системы


Несколько специфических моментов, при которых, возможно, потребуется привлечение юристов:

  • Обработка «special data» (Art. 4 GDPR) по умолчанию запрещена. Сбор персональной информация относительно здоровья, сексуальной жизни и ориентации, биометрических и генетических данных, философских и религиозных верований запрещена (Art. 9 GDPR), за исключением случаев, описанных здесь (Art. 9 GDPR)
  • Если контроллер или процессор не зарегистрированы в зоне EU, то должен быть назначен официальный и документально подтвержденный представитель в EU Art. 27 GDPR
  • Все субконтракторы, с которыми работает data controller, неважно где они находятся, также должны соответствовать GDPR, соответствующие изменения также должны быть внесены в контракты (Art. 28 GDPR)
  • Субконтрактор не в праве пользоваться услугами другого субконтрактора без письменного согласия data controller-а (Art. 28 GDPR)
  • Серьёзные ограничения на трансфер данных, поэтому лучше ознакомиться со всеми условиями трансфера, если данные отсылаются или хранятся вне рамок EU (Chapter 5 GDRP)
  • Data Protection Officer. Эта роль обязательна, если обрабатывается «special category of data' или обработка данных осуществляется государственным органом (Art. 37 GDRP)
  • United Kingdom. Information Commissioner«s Officer (ICO) registration
  • Рядовые пользователи также сюда могут направлять свои вопросы и жалобы относительно защиты их данных в той или иной компании, после чего начнутся разбирательства (https://ico.org.uk/for-the-public/raising-concerns/)
  • Сообщать о взломах и утечках персональных данных тоже компаниями необходимо сюда
  • Не для всех организаций обязательна регистрация и оплата ежегодных fee в ICO, только для тех, кто попадает под определённые условия (https://ico.org.uk/for-organisations/register/self-assessment/)


Ссылки


Регламент
Чеклист на соответствие GDPR
Гайдлайн для контрактных изменений
Реальный пример штрафа, когда компании сделали рассылку без согласия пользователей

Денис Колошко, CISSP

© Habrahabr.ru