Как GDPR на самом деле повлиял на бизнес: кейс оператора ЦОД

Логотип компании
Как GDPR на самом деле повлиял на бизнес: кейс оператора ЦОД
В чем отличие европейского законодательства по защите ПДн от российского и как получить необходимый сертификат

Общий регламент по защите данных вступил в силу в Европейском союзе 25 мая 2018 года и относится не только к странам-участницам ЕС. Любой предприниматель, независимо от страны, в которой он зарегистрирован, обязан соблюдать регламент, если он занимается обработкой данных жителей ЕС. С начала 2018 года в среднем по Европе примерно 50–60% предприятий не соответствовали требованиям Общего регламента по защите данных.

Прошло почти три года с момента вступления в силу "Общего регламента по защите данных" (General Data Protection Regulation, GDPR). И компания Tet (ранее Lattelecom), на себе прочувствовав все изменения, готова рассказать, что сегодня значит вести бизнес, хранить и обрабатывать данные в странах Европы.

Описание сути закона с точки зрения обывателя

Российское законодательство определяет персональные данные как любую информацию, относящуюся прямо или косвенно к определенному или идентифицируемому лицу (субъекту ПДн). Также есть понятие оператора ПДн. Это относится к лицам и организациям, участвующим в обработке ПДн. Обработка — это любое действие, выполняемое с персональными данными.

Термины, введенные в GDPR, очень похожи, но есть и серьезные различия. Например, определение персональных данных и их характеристик в GDPR гораздо шире. Это сделано для того, чтобы исключить какие-либо недоразумения, если неясно, относится ли информация к ПДн или нет. В отличие от 152-ФЗ, где есть концепция оператора ПД, в GDPR имеются «контроллер» и «процессор». Согласно GDPR, контроллеры определяют цели и средства обработки, в то время как процессоры от их имени непосредственно занимаются обработкой.

В России организации обязаны наладить процессы обработки персональных данных в соответствии с законодательством Российской Федерации: создавать и внедрять системы защиты, уведомлять Роскомнадзор. Необходимо получить согласие субъектов ПДн (в том числе при передаче их ПД третьим лицам), подготовить и опубликовать соответствующие положения на сайте. Кроме того, согласно закону о локализации 242-ФЗ, базы персональных данных должны находиться на территории России.

GDPR не требует обязательного хранения личных данных в странах ЕС. Хотя европейские правила во многом перекликаются с российским законодательством, существуют серьезные различия в отношении трансграничной передачи ПД — это возможно только в тех странах, которые, по мнению Европейского Союза, должным образом защищают личные данные.

Описание сути закона с точки зрения оператора ЦОД

GDPR обязывает компании уведомлять пользователей о хранении их персональных данных и объяснять, зачем это делается. У пользователя должна быть возможность отказаться от передачи и хранения данных.

С 2016 года, когда был принят регламент, началась информационная кампания во всем ЕС, включая Латвию. Она описывала причины внедрения регламента, рассказывала о его целях и задачах, а также о требованиях и процессе реализации. Кроме того, в этот же период активную деятельность развернули продавцы решений по ИТ-безопасности, юридические консультанты, которые устраивали семинары и разъясняли требования регламента.

За нарушение GDPR существует ответственность. В Европе ограничений по суммам нет — штрафы могут достигать 4% от годового оборота компании, а в России за невыполнение предписанных требований компании заплатят до 300 тысяч рублей. С 2018 года за широкий спектр нарушений GDPR наложены штрафы на общую сумму более 275 миллионов евро.

Нередки случаи, когда государственные органы штрафуются регулирующими органами в соответствии с действующим законодательством. Information Commissioner's Office в Великобритании оштрафовал совет графства Хэмпшир в августе 2020. Регулирующий орган Португалии (CNPD) ранее оштрафовал общественную телекомпанию RTP. Так что прецедент наложения штрафов на органы государственного сектора есть. GDPR предоставляет государствам-членам свободу выбора в отношении того, действительно ли они могут налагать штрафы на государственные организации.

Этап планирования

Мы начали подготовительные работы в начале 2017 года — создали команду для реализации проекта, выделили бюджет (1% от годового оборота). Основные подготовительные работы были завершены к 25 мая 2018 года, то есть ко дню вступления регламента в силу. Но некоторые процессы продолжались до конца 2018 года (например, удаление старых данных или замена крупных ИТ-систем).

Для внедрения требований нужно было заменить и софт, и «железо». По сути внедрение регламента стало и проектом по обновлению ИТ-парка. «Железо» нужно было менять еще и из-за того, что некоторое оборудование было несовместимо с новым софтом. Например, мы поменяли центральный файрвол и заменили все компьютеры, которые ранее не поддерживали шифрование HDD (BitLocker). В целом замена оборудования была и так предусмотрена, поэтому затраты на него мы не включали в стоимость проекта по соблюдению требований GDPR.

Главными сложностями для внедрения изменений были юридические трактовки — сначала нужно было понять, что вообще означают те или иные формулировки в законе.

Начало работы по выполнению требования GDPR

В первую очередь обратились к международными аудиторам. Мы много сотрудничали с другими европейскими предприятиями в рамках рабочих групп, например с организацией ETIS, для того, чтобы увидеть, как готовятся другие телеком-операторы и ИТ-компании.

То есть сначала во избежание нарушений необходимо оценить, для каких целей ведется обработка данных, и систематизировать информацию об имеющихся данных. Зачастую предприятия в силу привычки собирают информацию, которую никогда не используют, потому что она им не нужна. В связи с этим мы провели аудит своей деятельности, чтобы узнать, какие данные имеются в наличии, для чего они собираются, долго ли их следует хранить, нужно ли их уничтожать или нет, и почему. Ответив на эти вопросы, предприятие может понять, во-первых, каким образом лучше всего обеспечить соответствие регламенту — то есть создание реестра данных, а во-вторых, обосновать работнику, клиенту или партнеру по сотрудничеству, то есть субъекту данных, для чего нужны его данные.

Читайте также
Решение об отстранении 11 российских разработчиков от ядра Linux и последующий жесткий комментарий Линуса Торвальдса вызвали серьезный резонанс в ИТ-сообществе. Возник вопрос о будущем российских операционных систем на базе Linux. IT-World обратился к экспертам «Инферит ОС» - команде с многолетним опытом разработки Linux-дистрибутивов, чтобы разобраться в ситуации и понять перспективы развития отечественных решений.

Сертификат

Организации для получения сертификата необходимо заполнить заявку на сертификацию GDPR, заключить договор на сертификацию, произвести оплату и пройти процедуру аудита на соответствие требованиям Регламента. После прохождения всех этапов компания получает сертификат от уполномоченного органа.

Такой сертификат улучшает имидж компании и облегчает доступ в работе с крупными российскими и иностранными компаниями. Кроме того, благодаря этому документу компании доверяют клиенты, так как организация демонстрирует им свою приверженность к безопасности обработки их персональных данных.

Подведение итогов

На эти изменения, необходимые для обеспечения соответствия требованиям регламента — то есть приобретение специфических ИТ-решений и лицензий, мы вложили чуть больше 1% от годового оборота (это было в 2018 году).

Все следующие годы необходимо было содержать внедренные ИТ-решения, а также обеспечить юридическую поддержку, чтобы анализировать соответствие или несоответствие закону в каких-то конкретных ситуациях хранения и обработки данных. Всего это составило около 0,3% от оборота (на содержание).

Работникам компании пришлось освоить новые инструменты — шифрование email и документов, мультифакторную аутентификацию. Также произошли изменения в культуре того, как вообще делиться информацией — что можно отправить, а что нельзя. Это касается не только коммуникации с клиентами, но и принципов работы внутри предприятия. Плюс ко всему было внедрено централизованное управление мобильными устройствами, удаление старых данных и файлов. А обычные пользователи столкнулись с сообщениями о политике конфиденциальности и всплывающими сообщениями о cookies.

Требования законодательства по защите данных ЕС в ближайшие годы не изменятся, однако будет меняться отношение к нарушениям. Ранее применялся принцип «сначала - консультирование», и штрафы получали только самые «злостные нарушители», которые не сотрудничали с ответственными учреждениями. Но понятно, что этот принцип меняется, потому что условный переходный этап уже завершился.

Опубликовано 04.11.2021

Похожие статьи