Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
ООО "ЛИГА ЗАКОН"
GDPR: General чи все-таки Global?

Довідка аналітичного центру InfoWatch щодо забезпечення вимог європейського Закону про захист персональних даних – General Data Protection Regulation.

25 травня 2018 року у Європейському Союзі набув чинності Закон, який установлює принципи й вимоги до захисту персональних даних, – General Data Protection Regulation (далі – GDPR). Мета ухваленого Закону – зміцнити права суб'єктів персональних даних (далі – ПДн). GDPR передбачає більш серйозну відповідальність за недотримання правил зберігання й обробки персональної інформації, установлює глобальні стандарти захисту даних і регламентує їх транскордонне передання.

Під дію нового регламенту потрапляють усі європейські та іноземні компанії, що надають послуги на території ЄС або обробляють значну кількість персональних даних суб'єктів, які перебувають на території Європейського Союзу (наприклад, інтернет-магазини, авіакомпанії, банки). Основна вимога GDPR – забезпечення прозорості процесу обробки персональних даних.

Відповідно до Закону запроваджують два терміни: організація-контролер та організація-обробник. Контролер – це організація, яка сама ініціює процес обробки персональних даних своїх співробітників або клієнтів, відповідає за його належне виконання, забезпечує права суб'єктів і звітує перед наглядовим органом. Контролер може передати фактичну функцію обробки даних організації-обробнику. Обробник – це організація, яка обробляє особисті дані від імені контролера. При цьому контролер відповідатиме за безпеку обробки персональних даних, у тому числі й за дії обробника. Організації одночасно можуть виконувати роль і контролера, і обробника, наприклад, організація може бути обробником персональних даних клієнтів, але бути контролером персональних даних власних співробітників.

Новий Закон покликаний підвищити захищеність персональної інформації суб'єктів, які перебувають на території ЄС. За даними аналітичного центру InfoWatch, частка витоків персональних даних громадян за 2017 рік становила 64,8 % від сукупної кількості витоків інформації з організацій у світі. Украдені ПДн зловмисники використовують для здійснення шахрайства, що може зашкодити репутації та призвести до матеріальних втрат для потерпілого.

Для юридичних осіб відповідність новому регламенту означає можливість розширення бізнесу й роботи з європейськими клієнтами, оскільки до організацій, що виконують вимоги нового Закону, підвищується рівень довіри з боку клієнтів і контрагентів. Крім того, тепер на всій території ЄС діє один регламент, а не кілька регіональних, як це було раніше, тож вони можуть привести всі філії у відповідність до вимог єдиного законодавства, а не до положень у кожній окремій країні. Це стосується й тих випадків, коли філій немає в ЄС, але все одно ведуть обробку ПДн суб'єктів у цих європейських країнах (наприклад, продаж авіаквитків).

Проте Закон передбачає величезні штрафи для компаній-порушників. Так, за порушення базових принципів обробки даних, порушення правил передання персональних даних, ігнорування заборони наглядового органу на обробку даних, порушення прав суб'єкта тощо на компанію буде накладено штраф у розмірі 4 % від загального річного обороту підприємства, або 20 млн євро (залежно від того, яка сума буде більшою). За порушення порядку повідомлення про інцидент, відсутність співробітника із захисту даних, де це необхідно, незаконну обробку ПДн дитини тощо передбачено менші, проте не менш істотні штрафи – 10 млн євро, або 2 % від загального річного обороту підприємства. На цей час процедуру накладення штрафів на неєвропейські компанії не регламентовано. Тому поки що можливі два сценарії покарання за порушення правил обробки. Перший – заборона на обробку персональних даних суб'єктів, які перебувають на території ЄС, що унеможливить роботу з європейськими клієнтами. Другий – у разі якщо неєвропейська компанія виконує роль обробника, за порушення оштрафують європейську компанію-контролера, а вона, своєю чергою, обробника (у договорах, укладених між компаніями, будуть прописані ці аспекти).

У зв'язку з цим компаніям, що обробляють персональні дані, варто ретельно перевірити, чи не порушують вони вимоги GDPR.

10 основних кроків для забезпечення відповідності GDPR

Крок 1. Провести аудит персональних даних і задокументувати весь процес обробки ПДн

Аудит персональних даних є першим кроком для організації у виконанні зобов'язань щодо ведення обліку обробки ПДн.

Повнота аудиту персональних даних може відрізнятися залежно від організації, проте щонайменше аудит має відповідати на такі питання:

• що саме є персональними даними в межах GDPR;

• які персональні дані збирає й обробляє організація;

• де дані зберігаються, включаючи сторонні системи, і де географічно розташовано сервери;

• яким шляхом проходять ПДн у процесі обробки: починаючи зі збору й завершуючи їх видаленням, а також чи передаються третім особам;

• який строк і формат зберігання даних, а також тип бази даних.

Крок 2. Визначити законні підстави для обробки ПДн

Після того як персональні дані виявлено, прокатегорійовано та проаналізовано, необхідно з'ясувати ще одне питання: для яких цілей їх обробляють? Стаття 5 GDPR вимагає, щоб обробка була "справедливою й законною" і мета збору була чітко визначеною, прозорою й легітимною. Включення цього пункту до процесу аудиту ПДн значно прискорить приведення у відповідність процесів обробки даних до вимог GDPR.

Крок 3. Розробити політику з обробки та захисту персональних даних

Політика обробки персональних даних – внутрішній документ організації, що встановлює основні принципи щодо обробки та захисту персональних даних. Політика має регулярно оновлюватися. Правки також необхідно вносити, коли в компанії відбуваються зміни, які можуть торкнутися обробки персональних даних.

Крок 4. Призначити відповідальних за захист персональних даних

В організації повинні бути призначені відповідальні за захист персональних даних. Крім того, якщо в компанії ведуть регулярну й систематичну обробку персональних даних (наприклад, послуги стільникового зв'язку або поведінкова реклама), а також обробку спеціальних категорій персональних даних (передусім це медичні та страхові організації), необхідно призначити особу, відповідальну за організацію обробки персональних даних (Data Protection Officer (далі – DPO)). Для державних органів призначення DPO є обов'язковим.

Для компаній, не розташованих на території ЄС, є вимога щодо призначення представника в одній із країн ЄС, де ведуть обробку персональних даних. У разі інциденту, пов'язаного з обробкою персональних даних, представник діє від імені контролера або обробника й повністю відповідає за порушення перед наглядовим органом.

Крок 5. Провести оцінку інформаційних ризиків, у тому числі оцінку впливу на захист персональних даних (DPIA)

Для ефективного захисту персональних даних організаціям необхідно провести оцінку ризиків інформаційної безпеки. Після того як ризики виявлено й задокументовано, організація зобов'язана розпочати реалізацію заходів щодо їх мінімізації та усунення. Наприклад, може бути прийнято рішення не починати діяльність, що призводить до ризиків, або намагатися уникати їх. Однак компанія може прийняти ці ризики й організувати свою діяльність відповідно до них.

У разі використання нових технологій, а також якщо сфера застосування й цілі обробки ПДн можуть призвести до високого ризику для прав і свобод фізичних осіб, контролер повинен проводити оцінку впливу цих чинників на захист персональних даних.

Крок 6. Забезпечити права суб'єктів даних

GDPR установлює низку прав суб'єктів даних (право на отримання, доступ, виправлення, забуття, обмеження обробки інформації тощо), приділяючи особливу увагу принципам прозорості та підзвітності. Щодо кожного з цих прав організації зобов'язані будуть упровадити відповідні процеси для керування запитами від фізичних осіб у зазначені строки. Можливо, компаніям буде потрібно провести системні зміни для реалізації необхідних процедур.

Крок 7. Упровадити систему обробки запитів суб'єктів даних

Фізичні особи повинні мати можливість безперешкодно реалізувати свої права на виправлення, обмеження обробки ПДн, забуття тощо. Організація, яка отримує відповідний запит від суб'єкта, повинна відповісти на нього протягом одного місяця (або двох місяців, залежно від складності та кількості запитів). У GDPR не передбачено яких-небудь конкретних засобів, за допомогою яких необхідно обробляти запити, але вказано, що організації зобов'язані надавати засоби для електронних запитів, зокрема, коли дані обробляються за допомогою електронних засобів. Для компаній це означає, що організація сама вирішує, у якому вигляді суб'єктам ПДн буде надано можливість запитувати свої персональні дані (наприклад, через спеціальну форму на сайті або шляхом відправлення запиту на окрему адресу електронної пошти). Важливо, щоб це був робочий інструмент і щоб компанії могли швидко обробляти ці запити.

Варто відзначити, що організація може запросити плату за необґрунтовані або надмірні запити чи зовсім відмовити в їх реалізації. Якщо організація відмовляє в задоволенні запиту, то відмову потрібно письмово обґрунтувати, указавши її причину.

Крок 8. Упровадити необхідні заходи щодо захисту персональних даних

Організації, що потрапляють під дію GDPR, зобов'язані вжити відповідних заходів щодо захисту персональних даних, які вони обробляють, зокрема:

• ужити заходів щодо псевдонімізації та шифрування персональних даних;

• забезпечити конфіденційність, цілісність, доступність і стійкість систем обробки даних;

• вчасно відновлювати доступ як уповноважених осіб, так і самих суб'єктів до персональних даних у разі інциденту, це може бути як технічний інцидент (наприклад, хакерська атака), так і інцидент іншого характеру (наприклад, затоплення серверів);

• регулярно тестувати й оцінювати ефективність технічних та організаційних заходів щодо забезпечення безпеки обробки ПДн.

Крок 9. Реалізувати безпечне транскордонне передання персональних даних

GDPR проводить чітку різницю між країнами, що забезпечують адекватний рівень захисту персональних даних, та іншими. До країн, які забезпечують адекватний рівень захисту, визнаний Європейською комісією, належать Андорра, Аргентина, Канада, Фарерські острови, острів Гернсі, Ізраїль, острів Мен, острів Джерсі, Нова Зеландія, Швейцарія, Уругвай і США. Передання персональних даних до цих країн дозволено й законно відповідно до GDPR і не вимагає попереднього схвалення з боку наглядового органу ЄС. До всіх інших країн передання даних може здійснюватися тільки в тому випадку, якщо організації, які отримують ці дані, забезпечують належні гарантії захисту персональних даних.

Крок 10. Розробити й упровадити процес реагування на інциденти

Необхідно вибудувати й увести в дію процедури щодо реагування та розслідування інцидентів, пов'язаних із персональними даними. Порушення вимоги щодо повідомлення про інцидент протягом 72 годин обернеться для компанії серйозним покаранням.

"Технічні заходи щодо захисту персональних даних містять безліч технологій, такі як запобігання витоку даних (DLP), мережева безпека, шифрування, реагування на інциденти (SIEM), захист периметра організації, псевдонімізація, захист кінцевих користувачів, керування мобільними пристроями (MDM), антивірусні засоби й керування доступом (IDM), – зазначила Марія Воронова, керівник відділу консалтингу InfoWatch. – Дослідження Osterman Research, Inc. засвідчили, що саме на DLP-системах організації будуть зосереджувати свою основну увагу під час вибору необхідних технічних засобів захисту для встановлення відповідності GDPR. DLP-системи забезпечують конфіденційність персональних даних, саме тому впровадження такої системи є необхідним для виконання низки вимог, які запропоновано регламентом".

Джерело: InfoWatch

За матеріалами: GAAP.RU

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2018

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання Вісник МСФЗ
Контакти редакції:
ifrs@ligazakon.ua
 
Даний функціонал доступний передплатникам в електронному виданні.
Якщо Ви ще не передплачуєте видання, замовте безкоштовний доступ до демо-номера
або підпишіться на видання Вісник МСФЗ