GDPR. На что обратить внимание, работая с персональными данными европейцев

Добрый день! Меня зовут Катерина, я IT/Privacy Lawyer в юридической компании Legal IT Group (и DPO, то есть Data Protection Officer), и мы вместе с Денисом, CTO компании IT Band, решили поделиться опытом и ответить на популярные вопросы. Зачем украинской компании GDPR? А если необходим, то что делать?

Мы постарались избежать сухих выдержек из самого регламента и других актов регулирования и надеемся поговорить с вами о практической стороне комплаенса — целях, преимуществах и подводных камнях.

Обязательно пишите о своем опыте — нам или в комментариях. GDPR всегда вызывает дискуссии, и только так рождаются лучшие практики.

Что в зеркале тебе моем: почему украинская ІТ-компания должна обращать внимание на GDPR

Принцип суверенитета государства традиционно предусматривает, что на территории государства должно применяться только законодательство органов власти этой страны. Со временем в законодательство страны входит также система международных соглашений, и государства сами выделяют участки территории, где действует иностранное право (например, экономические зоны или участки посольств и консульств, а также анклавы других государств). Тем не менее на отдельные компании или сделки распространяется иностранное право, хотя компания может быть зарегистрирована на территории Украины, снимать офис в Киеве и работать только с украинским персоналом.

Связь компании с иностранным правом устанавливается через иностранного клиента или подрядчика либо необходимость выполнить какую-то работу за границей, продажу своей продукции или услуг за границу (или покупка заграничных) или даже создание интеллектуальной собственности и необходимость ее защищать от конкурентов (например, регистрация товарного знака в Европейском Союзе или США). Но ярче всего эта связь заметна при обработке персональных данных: многие страны требуют соблюдения своего законодательства о защите персональных данных в том случае, если любая компания в мире собирает и обрабатывает данные ее населения (часто вне зависимости от того, защищаются данные граждан или туристов во время их пребывания на территории такого государства).

В жизни IT-компании иностранное право о защите персональных данных может применяться в зависимости от ее бизнес-модели. Например, для продуктовой компании особенно важно учитывать положения GDPR, если ее продукт:

• основан на общении или коммуникации (социальные сети, обратная связь);
• отслеживает поведение своих пользователей (рейтинги, персонализация, профилированная реклама);
• помогает оценивать качества пользователей или связан с чувствительными данными (кредитный скоринг, получение медицинской помощи, связь с религиозной общиной);
• доступен для покупки или бесплатного использования на территории Евросоюза и в целом разрабатывался для европейского рынка.

Аутсорс-компаниям комплаенс с иностранным законодательством часто жизненно важен еще при привлечении клиентов. Заказчики из стран с суровым законодательством по защите данных изначально ищут подрядчиков, которые знают о налагаемых законом ограничениях и предлагают безопасные продукты. В этом случае работа над комплаенсом с GDPR (как одним из таких актов) часто решает, заинтересуются ли услугами этой компании европейские заказчики, пройдет ли компания их политику проверки и отбора поставщиков (так называемый vendor management) и сможет ли в итоге иностранный подрядчик удовлетворить требования клиента по юридическому клирингу разрабатываемого решения.

Отдельный важный вопрос — продажа продукта или компании европейскому покупателю или присоединение к европейскому холдингу. В этом случае все процессы обработки данных будут проверяться еще на этапе дьюдила (due diligence) перед покупкой, и позитивное заключение может существенно упростить процесс замены собственника (и потенциальные вычеты из стоимости продукта или компании услуг по приведению покупного актива к европейскому стандарту).

Понять, применяется ли какой-либо закон о защите персональных данных к компании, часто помогает опытный DPO (Data Protection Officer). Обычно DPO имеет юридическое образование с уклоном в технологии и регулирование интернета, что делает его незаменимым советником при выходе на новые рынки и построении корпоративной структуры.

Итак, если кратко: учитывать, что компания может масштабироваться, важно еще при ее создании (или ее продукта). Инвестиции в комплаенс с иностранным правом могут существенно упростить этот процесс. При этом цели такого комплаенса часто зависят от модели. Например:

• если компания разрабатывает и поддерживает собственный продукт, то иностранное право может на нее распространяться при продаже товаров и услуг на территории Евросоюза, отслеживании поведения конечных пользователей или при намерении присоединиться к европейской или глобальной корпорации;
• при аутсорсинговой модели комплаенс с иностранным правом облегчает маркетинг и продажи: GDPR-compliant компания (например, колл-центр) будет в более сильной позиции при выходе на иностранный рынок по сравнению с конкурентами, даже если ее цены будут немного выше.

Передача данных аутсорс-компании: применимый закон к договору услуг и позиция GDPR

Важный вопрос, который решают юристы двух компаний — какое право будет применяться к договору на услуги (разработку, например). Как правило, побеждает та сторона, которая сильнее в переговорах — уникальный в своих навыках поставщик услуг или клиент, который легко может выбрать другого подрядчика.

При этом при разработке продукта часто особо не остается выбора в вопросе, какому закону будет подчиняться их terms of use (terms of service), EULA (лицензионное соглашение) или другой договор — единственным доступным правом будет право страны регистрации компании, и редкое исключение — дополнительные усилия будут прикладываться для комплаенса с иностранными законами о защите персональных данных, прав потребителей, антиспам-регулированием или и вовсе уголовным или административным законодательством.

Отдельная общая проблема и продуктовых, и аутсорс-компаний — использование стандартных договорных положений (standard contractual clauses, SCC) в составе соглашений об обработке данных (data processing agreements, DPAs). В недавно согласованных комиссией (институция Евросоюза) SCC компании применимый закон следует выбирать, учитывая по крайней мере:

• закон, которому будет подчиняться договор (то есть в договоре указано, что его следует выполнять в соответствии с законодательством определенной страны), обычно закон страны экспортера данных (стороны в отношениях, которая передает данные или доступ к ним);
• закон, по которому будет определяться подсудность спора (в какой именно суд какой страны попадут споры по договору, учитывая и коллизионные привязки);
• гибкость закона в отношении договоров присоединения и возможности третьих лиц предъявлять требования к сторонам договора (как правило, во многих странах подавать иски по договору имеют возможность только стороны договора, и это следует учитывать при выборе применимого права);
• adequacy decision (решение Комиссии Евросоюза с разрешением свободно передавать данные в конкретную страну) в отношении третьих стран.

Важно правильно оценить все предпосылки: корпоративную структуру, с кем работает компания, где продается продукт, кто его конечные пользователи. DPO или юрист обязательно напомнит, что в выборе права компания должна придерживаться норм законов о международном частном праве (или правил, когда компания может отступить от своего национального закона и выбрать закон другой страны). Обычно в таких отношениях должен быть иностранный элемент, например европейский заказчик.

Не все правоотношения можно урегулировать чужим правом. Даже если подчинить все договора праву США, но обрабатывать данные европейцев, GDPR останется в силе, как и полномочия надзорных органов Евросоюза штрафовать компании за нарушение требований GDPR.

Организация процесса работы с европейской компанией: как обработка данных влияет на переговоры с ІТ-компанией

Надзорные органы активно используют GDPR и свои полномочия (в частности, возможность штрафовать за нарушения правил обработки данных). Часто именно поэтому вопрос о комплаенсе с GDPR вошел в вендор-чеклисты многих компаний. Штрафы остаются первой и наиболее очевидной причиной соблюдать GDPR: даже из неполной статистики можно убедиться, что количество штрафов и их общая сумма постоянно растут.

Источник

Но компании идут глубже и пытаются не только минимизировать свои риски, но даже превратить их в преимущества (или по крайней мере сыграть на чужих страхах). Поэтому маркетологи особенно часто и подолгу общаются с DPO: нужно не только уверить клиента в своей законопослушности, но и доказать это.

Комплаенс с GDPR упоминается во многих аспектах:

• в виде печатей и знаков комплаенса на сайте компании (часто в секции с сертификациями информационной безопасности);
• детальными описаниями принятых мер в блоге компании или даже на демо-продуктах;
• в общедоступной документации о работе сервиса;
• в процессах работы с клиентами и конечными пользователями: построение процессов поддержки вокруг заботы о приватности и защите персональных данных (например, активное вовлечение DPO в переписку с субъектом данных);
• участие в проектах, напоминающих о важности data protection;
• постоянная забота о повышении качества знаний о защите данных в компании (и отражение этого в построении бренда компании как работодателя);
• публичное реагирование на инциденты с защитой данных с поддержкой пользователей и призывами к улучшению систем защиты и процессов обработки данных (или любая другая форма паблисити);
• обмен наработками с другими компаниями;
• поддержка исследований в сфере защиты данных — от юридических до технологических;
• информационные центры и юридическая поддержка (указываются контакты DPO компании, к которому клиент может обратиться с вопросами про комплаенс) и так далее.

Один из частных случаев, где нагляднее всего видно инвестиции в комплаенс с GDPR — это процесс продаж и поддержка потребителей услуг компании. Например, иностранные клиенты могут предоставлять опросники по политиках защиты персональных данных. Команда продаж должна быстро и без удивления реагировать на вопросы клиента, знать, с кем из команды нужно связаться для их заполнения, а также постоянно быть в курсе течения переговоров и даже предугадывать, какие технические затруднения могут отвернуть клиента в сторону другого подрядчика (например, принципиальный отказ клиента от облачных хранилищ). Правильно построить процесс дискавери или дьюдила непросто, но синергия между разными департаментами компании иногда имеет большее значение для принятия решения о покупке услуг или компании, чем утверждения о сертификации на сайте.

Организационные меры защиты: что стоит за политиками для персонала и privacy-friendly культурой

GDPR требует принимать организационные и технические меры защиты персональных данных. Это требование отражено в статье 32 GDPR; среди примеров таких мер в статье упоминаются:

• псевдонимизация и шифрование персональных данных;
• способность обеспечить постоянную конфиденциальность, интегрированность, доступность и устойчивость систем и услуг, связанных с обработкой;
• способность своевременно восстанавливать доступность и доступ к персональным данным в случае возникновения физического или технического происшествия;
• процесс для регулярного тестирования, оценки эффективности технических и организационных мер с целью обеспечения безопасности обработки.

Среди организационных мер особенно можно выделить четыре больших направления:

• разного рода политики (положения), процедуры, правила и руководства;
• data protection impact assessment и другая оценка рисков;
• мероприятия для освещения защиты персональных данных, а также обучение работников правилам обработки персональных данных;
• регулярные аудиты и проверки выполнения законодательства, политик обработки данных компании и договоров, предусматривающих доступ к персональным данным.

До организационных мер можно отнести воспитание культуры обработки данных в компании, а также распределение обязанностей по комплаенсу между сотрудниками компании, или даже выделение отдельного специалиста или департамента, ответственного за разные направления комплаенса (например, если в компании много своих продуктов), или введение института информаторов (whistleblowing) в деятельность компании.

Не последнюю роль играет привычка специалистов всех отделов компании общаться и советоваться с DPO и предоставление последнему свободы и ресурсов для активного вовлечения в рабочие совещания отделов, связанных с обработкой персональных данных. При наличии всей полноты информации DPO в разы легче предусмотреть, какие меры еще необходимо предпринять, чтобы усилить позиции компании.

Технические меры защиты данных: инженерные задачи специалистов по информационной безопасности и разработчиков

Часто компании отождествляют соответствие GDPR с созданием и внедрением определенного перечня документов и политик, то есть фокусируются на организационных мерах защиты персональных данных. Однако Art. 24 регламента говорит о том, что необходимо принимать как организационные, так и технические меры защиты.

К сожалению, GDPR не дает четких предписаний, какие именно применять инструменты, чтобы обеспечить те самые технические меры, во многом это объясняется тем, что набор этих инструментов очень индивидуален в зависимости от системы, но кое-что общее регламент всё-таки подчеркивает: архитектура системы, которая работает с персональными данными должна быть построена по принципу «Data protection by design and by default» (Art. 25).

Ниже приведен базовый список инструментов (средств защиты), которые можно использовать в системах для обеспечения технических мер безопасности персональных данных:

• Firewalls.
• VPN.
• Encryption for data at rest (whole disk, database encryption).
• Encryption for data in transit (HTTPS, IPSec, TLS, PPTP, SSH).
• Access control (physical and technical).
• Intrusion Detection/Prevention.
• Health Monitoring.
• Backups encryption.
• 2-factor authentication, Strict authorization.
• Antivirus.
• Vulnerability Scanner.
• Manual penetration testing.

На последнем пункте хотелось бы остановиться подробнее. Дело в том, что Art. 24 регламента говорит не только о необходимости организационных и технических мер защиты, но также о возможности продемонстрировать, что обработка персональных данных действительно выполняется в соответствии с GDPR. Если в организационном плане с артефактами, которые можно продемонстрировать, всё достаточно просто, это и есть тот самый пакет документов, включающий Personal Data Protection Policy, Security Incident Response Policy и другие обязательные политики, то каким образом, с помощью какого артефакта можно продемонстрировать применение технических мер?

Таким артефактом может быть отчет о тестировании на проникновение (penetration testing, или пентест) — это тестирование безопасности системы путем моделирования атак. Процесс включает в себя поиск уязвимостей в системе, эксплуатация которых позволит злоумышленнику достичь определенной цели: например, получить доступ к персональным данным. В ходе пентеста также проверяется, насколько эффективны применяемые средства защиты и каким образом злоумышленник всё-таки может подобраться к чувствительным данным пользователей. Отчет включает в себя описание всех выявленных уязвимостей в безопасности системы, шаги воспроизведения, наихудшие сценарии их эксплуатации, оценку риска и рекомендации по устранению данных уязвимостей. Также мы всегда проводим дополнительную проверку, после того как разработчики закрывают уязвимости, и вносим соответствующие дополнения в отчет, ведь он не может подтверждать эффективное применение технических мер защиты, пока говорит о том, что в системе есть незакрытые дыры.

GDPR достаточно четко говорит о том, какие права субъекта данных должны соблюдаться, причем у пользователя должна быть явная возможность их реализовать. Отсутствием такой возможности (как минимум для части прав субъекта данных) очень часто грешат разработчики систем. Поэтому, если вы действительно заботитесь о своих пользователях и стремитесь соответствовать GDPR, необходимо поработать как минимум над регистрацией и профилем субъекта данных в вашей системе. Несколько рекомендаций на эту тему:

Страница регистрации:

• Количество полей должно быть минимальным и обоснованным (’data minimisation‘) Art. 5 GDPR.
• Гранулированное согласие (Granular Consent) Art. 7 GDPR.
• Обязательный чек-бокс, что согласны с Terms of Use и Privacy Policy, галочку заранее в нем проставлять нельзя, согласие должно быть активным, то есть пользователь сам должен поставить галочку.
• Отдельный чек-бокс, если хотите подписать пользователя на почтовую рассылку, и снова галочку в нем должен поставить именно пользователь.

Страница профиля пользователя:

• Пользователь должен иметь возможность изменить любое поле о себе Art. 16 GDPR.
• Кнопка Delete Account (Art. 17 GDPR). Пользователь должен иметь возможность удалить себя и всю свою информацию из системы.
• Кнопка Restrict Processing Mode (Art. 18 GDPR). Если пользователь включил этот режим, то персональная информация не должна быть больше доступна ни в публичном доступе, ни другим пользователям и даже администраторам системы. Как позиционирует GDPR, для пользователя это альтернатива полного удаления из системы.
• Кнопка Export Personal Data Art. 20 GDPR. Выгружать можно в любом формате: XML, JSON, CSV.
  

• Снова гранулированное согласие (Granular Consent) Art. 7 GDPR.
• Возможность дать/забрать согласие на действия системы по работе с персональными данными (например, подписка на новости или маркетинговый материал).

Дополнительная функциональность:

• Автоматическое удаление или анонимизирование персональных данных, которые больше не нужны Art. 5 GDPR. Например, информация в заказах, которые обработаны.
• Автоматическое удаление персональных данных в других сервисах, с которыми система интегрирована Art. 19 GDPR.

Камо грядеши: что ждать в будущем в сфере регулирования персональных данных

Вывод будет довольно кратким.

GDPR — только первая ступенька в будущей системе регулирования персональных данных и только один из краеугольных камней в системе единого цифрового рынка Евросоюза. Стоит в ближайшие года ожидать и другие акты регулирования, которые косвенно или напрямую касаются обработки персональных данных (например, статуса открытых данных, защиты данных, рынка неперсональных данных и так далее).

Также зреет необходимость урегулировать развитие технологий на международном уровне. Модернизация Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера (Конвенция 108), Будапештская конвенция о кибербезопасности, региональные и двусторонние международные акты о сотрудничестве в вопросах оборота данных и защиты информации способствуют универсализации законодательства и облегчают мировую торговлю.

Стоит ждать и прироста количества продуктов, решений и технологий, помогающих отслеживать местонахождение и судьбу данных и эффективно ими управлять. Перспективной идеей кажутся банки данных, где субъект данных может настраивать удобный для него уровень приватности, чтобы иметь контроль (или даже небольшой доход) за использование своих данных третьими лицами (например, для исследований). Также компании постоянно ищут новые способы надежной верификации личности и родительского контроля (в частности, получение согласия на обработку данных детей).

Кроме того, активно развиваются ассоциации компаний в разных отраслях, помогающие своим участникам эффективно вести образовательную и подготовительную работу по комплаенсу с GDPR и обработкой данных. Циркуляция персональных данных имеет большое значение для работы не только интернет-коммерции, но и офлайн-бизнеса (программы лояльности, консьерж-сервисы), поэтому к персональным данным еще некоторое время будет приковано много внимания.