Для того чтобы понять, подпадает ли формально российская компания под действие нового закона, надо ответить на три вопроса:
- Имеет ли компания юридические лица на территории ЕС?
- Реализует ли компания товары или услуги на территории ЕС (например, доставка в страны ЕС из интернет-магазина)?
- Принимает ли компания оплату в евро?
Существуют также косвенные факторы, которые свидетельствуют о работе с персональными данными граждан ЕС, – например, версия корпоративного сайта на одном из европейских языков (немецком, французском и пр.).
При утвердительном ответе хотя бы на один из вопросов компания подпадает под действие GDPR.
Несоблюдение требований нового регламента может повлечь штраф в размере до 20 млн евро или до 4% от годового оборота компании. Сразу хотелось бы раскрыть основной посыл этого текста: так или иначе любой бизнес в ближайшее время будет вынужден перейти на новые принципы работы с персональными данными.
Почему? GDPR – это совокупность российских законов: 152-ФЗ (закон о персональных данных), 13-ФЗ от 07.02.17 (штрафы за нарушения закона), 16-ФЗ от 22.02.17 (надзор), 242-ФЗ (хранение данных на территории РФ). С одной стороны, под эти законы подпадает весь российский бизнес (хотя не все об этом задумываются), с другой – если компания уже обеспечила выполнение перечисленных выше законов, то усилия по соблюдению GDPR (GDPR Compliance) будут сводиться к минимальной переработке внутренних регламентов и к юридическому консалтингу. Модернизации ИТ-инфраструктуры и внедрения новых технологий не потребуется.
Другой вопрос, что многие российские компании игнорируют эти законы из-за относительно небольших штрафов. Но вступление в силу GDPR и обсуждение подобных инициатив в Бразилии, США, России и других странах говорят о том, что отношение к персональным данным поменялось кардинально, и ужесточение законодательной базы в этом направлении – дело времени. В России даже не надо ничего законодательно менять, достаточно обеспечить исполнение.
Разложим GDPR на конкретные задачи
На основе нашего европейского и российского опыта работы по GDPR Compliance я предлагаю соотнести 9 основных принципов GDPR с конкретными задачами по их реализации. Одновременно я буду делать отсылки к российским законам. Логика очень проста: можно распределить принципы GDPR по задачам, которые их «закрывают», то есть приводят работу компании в соответствие с требованиями GDPR. Это инфраструктурные задачи, требующие инвестиций в технологии, регламентные или процедурные задачи, а также задачи, которые, по моему опыту, сейчас нерешаемы, но требуют формальных процедур.
Инфраструктурные задачи
Посредством модернизации ИТ-инфраструктуры решается прежде всего первый принцип GDPR «Right to be forgotten» (соответствует российскому закону о «праве на забвение»). Решения класса Data Management корректно справляются с этой проблемой. Удаление данных из продуктивных систем (систем работы с клиентами, поисковых систем и пр.) – это осуществимая процедура, которая может быть выполнена оператором системы вручную. Но представим, что возникла нештатная ситуация и вам пришлось восстанавливать данные, например, годовой давности. В ваших восстановленных данных вполне могут оказаться данные, которые из продуктивных систем уже удалены. И в восстановленные компоненты системы вполне могут попасть персональные данные, которые придется заново «вылавливать». То есть ложится дополнительная, регламентная нагрузка на ИТ-департамент: помимо восстановления данных, каждый раз осуществлять повторный мониторинг и поиск персональных данных. Это неэффективная и трудозатратная работа. Специализированные решения Commvault или другого вендора избавляют от этих сложностей и позволяют мониторить данные не только в продуктивных системах, но и в архивах, бизнес-средах, аналитике, тестовых средах. «Right to be forgotten» – это классический пример принципа GDPR, который сводится к решению конкретной инфраструктурной задачи, выполняемому под ключ определенными игроками.
Компания IDC в отчете «Five Essential Steps for GDPR Compliance» прогнозирует рост спроса на единые платформенные решения по управлению данными, гарантирующие выполнение пункта «Right to be forgotten». Аналитики также рекомендуют использовать единое платформенное решение по управлению данными.
Повторюсь: этот пункт GDPR соответствует российскому закону. И, следовательно, выполнять его придется вне зависимости от того, подпадает ли российская компания формально под действие GDPR.
Второй пункт, требующий инвестиций в инфраструктуру, – «72-hour data breach notification». Он обязывает в течение 72 часов оповещать об утечке данных и о том, какие непосредственно данные утеряны, – статьи GDPR 33 и 34. Эта задача также решается при помощи конкретных продуктов класса DLP.
Процедурные задачи
Многие российские компании приняли решение ограничиться организационными изменениями и не тратить деньги на дополнительные технологии. Для некоторых принципов GDPR это вполне работает – например, «Data minimization principle» (принцип минимизации данных) относится прежде всего к внутренним процедурам. Создание дополнительных копий, архивов, правил хранения – это внутренние процедуры, не связанные напрямую с апгрейдом инфраструктуры. Практический совет: тут нет никаких ограничений, можно использовать и прописать любые доступные компании инструменты, которые способствуют минимизации данных.
В соответствии с принципом «Data protection by design and by default» (защита данных по умолчанию и изначально, статья 25), компаниям придется изначально планировать защиту данных при реализации товаров, работ и услуг, минимизируя объем используемых данных и сроки их обработки. Это также достигается внутренними политиками и регламентами.
При обработке данных пользователей компании обязаны обеспечить защиту их персональных данных от несанкционированной или незаконной обработки и потери – в соответствие с принципом «Security and ensuring, confidentiality, integrity, availability and resilience» (целостность и конфиденциальность). Этот принцип находится на стыке процедурных и инфраструктурных задач и может быть реализован как регламентно, так и технологически. Следовательно, исполнять его необходимо либо закладывая при модернизации инфраструктуры и интеграции решений Data Management, либо прописывая регламенты по аналогии с принципом минимизации данных.
Принцип «Defining use cases and managing consent» (ограничение целей использования персональных данных, статья 6) говорит о том, что данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией. Мы все столкнулись с этим принципом, когда массово начали получать почтовые рассылки с новыми правилами от европейских и американских компаний и, например, «Аэрофлота». Этот важный принцип также процедурный, но мы советуем незамедлительно прописать его и уведомить пользователей, причем не стоит брать типовые информативы, лучше учесть все исходя из того, что и как реально используется. Он имеет особую важность для компаний, поскольку для регулятора легче всего отследить его исполнение.
Принцип «Data transfers» (передача данных, статьи 44-50) нацелен прежде всего на ИТ-гигантов из США. Большинство американских компаний используют персональные данные граждан ЕС. Теперь они будут обязаны соответствовать и европейскому закону тоже.
Требование «Data portability» (возможность экспорта данных в открытом формате) не устанавливает четкого формата выгрузки персональных данных. Его выполнение будет зависеть от специфики компании. Например, для облачного провайдера, чьи клиенты теперь могут запрашивать перенос данных в другие системы, такие запросы могут стать массовыми и потребовать технологического решения и инфраструктурных инвестиций, для большинства же компаний отдельные (редкие) запросы будут исполняться в ручном режиме. Особенно это актуально для медицинских организаций, которые должны предоставлять, например, выгрузку всех анализов пациента за несколько лет. Одним из наших первых клиентов по GDPR Compliance в Европе стал английский госпиталь Chesterfield Royal Hospital.
Надо отметить, что, после того как мы создали любую процедуру, встает вопрос, к каким данным она будет применяться. Написать процедуру несложно, вопрос в реализации. Должна присутствовать базовая индексация данных. Закон требует гранулярного контроля за каждым субъектом персональных данных, а данные распределены по множествам информационных систем. Поэтому спрос на средства контроля данных уже увеличился и будет расти дальше.
Нереализуемые задачи
Принцип «State-of-the-art» (статьи 25 и 32), на мой взгляд, относится к нереализуемым, утопическим. Предполагается, что текущее решение по управлению данными должно предвосхищать будущие угрозы. Но системы эволюционируют, все вызовы предусмотреть невозможно. Вывод: закон требует невозможного. Могу прокомментировать этот принцип цитатой Джеффа Безоса, главы и основателя Amazon: «Мне часто задают вопрос: что изменится через 10 лет? Но у меня никогда не спрашивают, что не изменится на протяжении 10 лет, хотя второй вопрос, на мой взгляд, гораздо важнее, потому что бизнес можно построить только на том, что останется неизменным в обозримом будущем». Инвестируя в предсказуемые технологии, мы уверены, что эти инвестиции обязательно сработают, а принцип «State-of-the-art» требует от компаний инвестиций в решения, призванные противостоять угрозам, которые еще не случились. Кто, например, всерьез опасался вирусов-шифровальщиков в 2016 году? Поэтому я могу посоветовать только соблюдать вышеизложенные требования, которые все вместе работают и на обеспечение этого принципа.
Не всё так страшно
GDPR не заставляет компании внедрять принципиально новые процедуры. Все понятия, ключевые требования, принципы обработки данных уже существуют, и их учитывают многие компании, ориентированные на внешний рынок. Российским компаниям стоит сначала озаботиться обеспечением соблюдения требований российского законодательства в области обработки и хранения персональных данных (152-ФЗ и 242-ФЗ). Необходимо разделить задачи и понять, какие нормы можно «закрыть» модернизацией инфраструктуры, а какие – новыми политиками. IDC в отчете «Five Essential Steps for GDPR Compliance» рекомендует внедрить единое решение Data Management и заняться идентификацией и индексированием вторичных данных. Кроме того, российским компаниям, работающим на европейском рынке, будет необходим юридический GDPR-консалтинг, который предлагают как некоторые вендоры, выполняющие проекты GDPR Compliance, так и юридические и аудиторские фирмы.
Автор – Андрей Вышлов, глава регионального представительства Commvault в России и СНГ.