Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных

Руслан Рахметов, Security Vision

Как мы уже говорили в одной из прошлых частей данного цикла публикаций, тема защиты персональных данных актуальна во всем мире. Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.

Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.

Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-файлы, данные о геолокации пользователя и иные технические атрибуты.

Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.

Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.

Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС, при этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также быть за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:

• российский банк должен соответствовать нормам GDPR при обработке данных своих клиентов-граждан РФ при их нахождении на территории ЕС;

• онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе гражданам ЕС, использующий cookie-файлы и/или аналитику поведения пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под действие норм GDPR;

• дочерняя структура российской компании, ведущая деятельность на территории ЕС.

Основой норм GDPR являются шесть базовых принципов:

• законность, справедливость и прозрачность обработки - соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy);

• ограничение целей обработки - обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей;

• минимизация данных - обработка ровно такого объема ПДн, который требуется для достижения целей обработки;

• точность - обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн;

• ограничение на хранение - после достижения цели обработки данные удаляются;

• целостность и конфиденциальность - обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.

Документ не дает операторам детальных инструкций по защите, предоставляя им свободу выбора мер и техник. Например, следует, где это возможно, шифровать ПДн при хранении, передаче и обработке, а также использовать алгоритмы псевдонимизации, и это ожидаемо снизит потенциальный ущерб субъектам в случае утечки, но GDPR не приводит конкретных условий применения этих защитных мер. В этом европейский подход отличается от российского, в котором государственные органы четко регламентируют меры защиты и условия их применения, не надеясь на благоразумие операторов - и, надо с сожалением признать, весьма обоснованно.

Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:

• субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на удаление ПДн по их просьбе, правом на перенос данных из одной системы в другую в машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта, системами профилирования и автоматизированными системами принятия юридически значимых решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта при обработке его ПДн);

• оператор должен производить оценку рисков нарушения прав и свобод субъектов ПДн (т.е. проводить Data Protection Impact Assessment);

• оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые меры по защите ПДн;

• при проектировании автоматизированных систем обработки ПДн операторы должны руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е. внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки);

• согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий - оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не давать пользователю выбора или не предоставлять ему возможность отозвать согласие без ущемления интересов;

• оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в случаях, когда:

o   обработка ПДн ведется публичной компанией

o   компания ведет систематическое профилирование большого количества субъектов ПДн

o   компания обрабатывает большой объем данных о судимостях/нарушениях закона или большой объем специальных категорий ПДн (сведения о расовой, национальной принадлежности, политических, религиозных, философских убеждениях, биометрических и генетических данных, данных о состоянии здоровья);

• оператор обязан в течение 72 часов уведомить локального представителя регулятора (supervisory authority, которые подчиняются Data Protection Authority - регулятору по вопросам защиты данных) об обнаруженных или сообщенных фактах нарушения GDPR-норм обработки ПДн, в т.ч. утечках ПДн, задокументировав выявленные факты, прогнозируемый ущерб субъектам, принятые меры для смягчения последствий.