Bbabo NET

Наука & Технології Новини

Як насправді GDPR вплинув на бізнес: кейс оператора ЦОД

Загальний регламент захисту даних набув чинності в Європейському союзі 25 травня 2018 року і належить не лише до країн-учасниць ЄС. Будь-який підприємець, незалежно від країни, в якій він зареєстрований, зобов'язаний дотримуватись регламенту, якщо він займається обробкою даних мешканців ЄС. З початку 2018 року в середньому по Європі приблизно 50-60% підприємств не відповідали вимогам Загального регламенту захисту даних.

Пройшло майже три роки з моменту набуття чинності "Загального регламенту захисту даних" (General Data Protection Regulation, GDPR). І компанія Tet (раніше Lattelecom), на собі відчувши всі зміни, готова розповісти, що сьогодні означає вести бізнес, зберігати та обробляти дані в країнах Європи.

Опис суті закону з погляду обивателя

як будь-яку інформацію, що відноситься прямо або опосередковано до певної або ідентифікованої особи (суб'єкту ПДН). Також є поняття оператора ПДН. Це відноситься до осіб та організацій, що беруть участь у обробці ПДН. Терміни, введені в GDPR, дуже схожі, але є і серйозні відмінності. Наприклад, визначення персональних даних та їх характеристик у GDPR набагато ширше. Це зроблено для того, щоб виключити будь-які непорозуміння, якщо неясно, чи відноситься до ПДН чи ні. На відміну від 152-ФЗ, де є концепція оператора ПД, GDPR є «контролер» і «процесор». Згідно з GDPR, контролери визначають цілі та засоби обробки, тоді як процесори від їх імені безпосередньо займаються обробкою. , повідомляти Роскомнагляд. Необхідно отримати згоду суб'єктів ПДН (у тому числі під час передачі їх ПД третім особам), підготувати та опублікувати відповідні положення на сайті. Крім того, згідно із законом про локалізацію 242-ФЗ, бази персональних даних повинні знаходитися на території Росії.

GDPR не потребує обов'язкового зберігання особистих даних у країнах ЄС. Хоча європейські правила багато в чому перегукуються з російським законодавством, існують серйозні відмінності щодо транскордонної передачі ПД — це можливо лише в тих країнах, які, на думку Європейського Союзу, належним чином захищають особисті дані.

Опис суті закону з погляду оператора ЦОД

GDPR зобов'язує компанії повідомляти користувачів про зберігання їх персональних даних та пояснювати, навіщо це робиться. Користувач повинен мати можливість відмовитися від передачі та зберігання даних.

З 2016 року, коли був прийнятий регламент, розпочалася інформаційна кампанія у всьому ЄС, включаючи Латвію. Вона описувала причини запровадження регламенту, розповідала про його цілі та завдання, а також про вимоги та процес реалізації. Крім того, у цей же період активну діяльність розгорнули продавці рішень щодо ІТ-безпеки, юридичні консультанти, які влаштовували семінари та роз'яснювали вимоги регламенту.

За порушення GDPR існує відповідальність. У Європі обмежень за сумами немає - штрафи можуть досягати 4% від річного обороту компанії, а в Росії за невиконання запропонованих вимог компанії заплатять до 300 тисяч рублів. З 2018 року за широкий спектр порушень GDPR накладено штрафи на загальну суму понад 275 мільйонів євро.

Нерідкі випадки, коли державні органи штрафуються регулюючими органами відповідно до чинного законодавства. Information Commissioner's Office у Великій Британії оштрафував раду графства Хемпшир у серпні 2020. Регулюючий орган Португалії (CNPD) раніше оштрафував громадську телекомпанію RTP. Тож прецедент накладення штрафів на органи державного сектора є. GDPR надає державам-членам свободу вибору щодо того, чи вони справді можуть накладати штрафи на державні організації.

Етап планування

Ми розпочали підготовчі роботи на початку 2017 року — створили команду для реалізації проекту, виділили бюджет (1% від річного обороту). Основні підготовчі роботи було завершено до 25 травня 2018 року, тобто до дня набуття чинності регламенту. Але деякі процеси тривали до кінця 2018 року (наприклад, видалення старих даних або заміна великих ІТ-систем).

Для впровадження вимог потрібно було замінити і софт, і залізо. По суті, впровадження регламенту стало і проектом по оновленню ІТ-парку. «Залізо» потрібно було змінювати ще й через те, що деяке обладнання несумісне з новим софтом. Наприклад, ми змінили центральний файл і замінили всі комп'ютери, які раніше не підтримували шифрування HDD (BitLocker). Загалом заміна обладнання була і так передбачена, тому витрати на нього ми не включали у вартість проекту з дотримання вимог GDPR.

Початок роботи з виконання вимог GDPR

Насамперед звернувся до міжнародних аудиторів. Ми багато співпрацювали з іншими європейськими підприємствами в рамках робочих груп, наприклад з організацією ETIS, для того, щоб побачити, як готуються інші телеком-оператори та ІТ-компанії.

яких цілей ведеться обробка даних, і систематизувати інформацію про наявних даних. Найчастіше підприємства через звичку збирають інформацію, яку ніколи не використовують, бо вона їм не потрібна. У зв'язку з цим ми провели аудит своєї діяльності, щоб дізнатися, які дані є, для чого вони збираються, чи довго їх слід зберігати, чи потрібно їх знищувати чи ні, і чому. Відповівши на ці запитання, підприємство може зрозуміти, по-перше, яким чином найкраще забезпечити відповідність регламенту — тобто створення реєстру даних, а по-друге, обґрунтувати працівнику, клієнту чи партнеру із співробітництва, тобто суб'єкту даних, для чого потрібні його дані.

Сертифікат

Організації для отримання сертифіката необхідно заповнити заявку на сертифікацію GDPR, укласти договір на сертифікацію, провести оплату та пройти процедуру аудиту на відповідність вимогам Регламенту. Після проходження всіх етапів компанія отримує сертифікат від уповноваженого органу.

Такий сертифікат покращує імідж компанії та полегшує доступ у роботі з великими російськими та іноземними компаніями. Крім того, завдяки цьому документу компанії довіряють клієнти, оскільки організація демонструє їм свою прихильність до безпеки обробки їх персональних даних. рішень та ліцензій, ми вклали трохи більше 1% від річного обороту (це було у 2018 році).

Усі наступні роки необхідно було містити впроваджені ІТ-рішення, а також забезпечити юридичну підтримку, щоб аналізувати відповідність чи невідповідність закону у якихось конкретних ситуаціях зберігання та обробки даних. Загалом це становило близько 0,3% від обороту (на утримання). Працівникам компанії довелося освоїти нові інструменти — шифрування email та документів, мультифакторну автентифікацію. Також відбулися зміни у культурі того, як взагалі ділитися інформацією — що можна надіслати, а що не можна. Це стосується не лише комунікації з клієнтами, а й засад роботи всередині підприємства. Плюс до всього було впроваджено централізоване керування мобільними пристроями, видалення старих даних та файлів. А звичайні користувачі зіткнулися з повідомленнями про політику конфіденційності та спливаючими повідомленнями про cookies.

Вимоги законодавства щодо захисту даних ЄС найближчими роками не зміняться, однак змінюватиметься ставлення до порушень. Раніше застосовувався принцип «спочатку – консультування», і штрафи отримували лише «злісні порушники», які не співпрацювали з відповідальними установами. Але зрозуміло, що цей принцип змінюється, тому що умовний перехідний етап уже завершився.

Як насправді GDPR вплинув на бізнес: кейс оператора ЦОД