Обзор GDPR

Настоящая аналитическая записка содержит обзор Общего Регламента по защите персональных данных (General Data Protection Regulation, GDPR) Евросоюза и его сравнительный анализ с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Авторы:

	Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова
	Екатерина Рублева, заместитель директора Аналитического центра Уральского центра систем безопасности
	Анастасия Заведенская, аналитик аналитического центра Уральского центра систем безопасности

Защита персональных данных в Российской Федерации

Российская нормативно-правовая база в области защиты персональных данных

На момент проведения анализа в Российской Федерации действовали нормативно-правовые акты и методические документы, регламентирующие порядок обработки и защиты персональных данных (ПДн):

Табл. 1. Нормативно-правовые акты и методические документы в области защиты ПДн

Выполнение оператором требований по защите персональных данных

При построении системы защиты персональных данных следует основываться на нормативно-правовых актах, перечисленных выше. Основные требования по обеспечению безопасности ПДн изложены в Федеральном законе от 27.07.2006 № 152 «О персональных данных» (далее по тексту — №152-ФЗ), их конкретизация приведена в других подзаконных актах.

В соответствии с указанными нормативными документами, для защиты ПДн оператор, осуществляющий обработку ПДн в рамках действующего Российского законодательства, обязан провести следующие мероприятия:

1. Обеспечить выполнение требований №152-ФЗ:

• отправить уведомление о намерении осуществлять обработку ПДн в Роскомнадзор, за исключением случаев, предусмотренных в ч. 2 ст. 22 №152-ФЗ;
• назначить лицо, ответственное за организацию обработки ПДн;
• определить цели обработки ПДн;
• составить перечень обрабатываемых ПДн;
• определить правовое основание обработки ПДН;
• составить перечень действий (способов обработки) ПДн;
• определить есть ли трансграничная передача или нет;
• разработать и провести мероприятия по защите ПДн и т.д.

• проинформировать лиц, осуществляющих обработку ПДн без использования средств автоматизации, о факте обработки ими ПДн, категориях, обрабатываемых ПДн, об особенностях и правилах обработки;
• составить типовые формы документов, информация в которых предполагает или допускает включение в них ПДн, в соответствии с требованиями ПП № 687;
• выполнять все условия ведения журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска лица на территорию, на которой находится оператор, или в иных аналогичных целях;
• вести раздельную обработку ПДн при несовместимости целей обработки;
• определить в отношении каждой категории ПДн места хранения;
• составить перечень лиц (именно лиц, а не должностей), осуществляющих обработку ПДн либо имеющих к ним доступ;
• принять меры, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним;
• составить перечень лиц, ответственных за реализацию мер по обеспечению безопасности.

• определить тип ИСПДн в зависимости от категории обрабатываемых ПДн в соответствии с таблицей:

   

  Табл. 2. Типы ИСПДн в зависимости от категории обрабатываемых ПДн

• определить, обрабатываются в ИСПДн ПДн только сотрудников предприятия, или же в ней обрабатываются ПДн лиц, не работающих в организации;
• определить количество субъектов ПДн, данные которых обрабатываются в ИСПДн (более или менее 100 000 субъектов ПДн);
• определить тип угроз безопасности ПДн, актуальных для ИСПДн, согласно таблице: 

   

  Табл. 3. Типы актуальных угроз для ИСПДн

Согласно ПП №1119, оператор определяет актуальность угроз безопасности ПДн самостоятельно, на основании разработанной Модели угроз.

Для ИСПДн устанавливаются четыре уровня защищенности ПДн. В соответствии с установленными характеристиками, оператор определяет уровень защищенности.

4. Реализовать комплекс правовых, организационных и технических мер, предусмотренных подзаконными нормативно-правовыми актами.

• С учётом установленного уровня защищенности ПДн выполнить требования к защите ПДн при их обработке в ИСПДн из ПП № 1119 согласно таблице: 

   

  Таб. 4. Требования для обеспечения уровня защищенности

• Определить состав и содержание организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований, согласно приказу ФСТЭК России № 21. В случае, если обработка производится в ГИС или МИС, провести уточнение перечня мер согласно приказу ФСТЭК России № 17. Если для обеспечения безопасности ПДн используются средства криптографической защиты информации, уточнить состав и содержание организационных и технических мер согласно приказу ФСБ России от 10.07.2014 № 378.
• Создать и внедрить систему защиты ПДн в соответствии со сформированным набором организационных и технических мер защиты. Определить порядок и процедуры обработки и защиты ПДн в организационно-распорядительных документах организации.
• Производить оценку эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности не реже 1 раза в 3 года [п.6 Приказа ФСТЭК России от 18.02.2013 №21].

Обзор нововведений Регламента ЕС (GDPR)

Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 годи «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» 25 мая 2018 года была отменена. На её замену пришёл Общий регламент по защите данных (General Data Protection Regulation, сокращённо GDPR), принятый 27 апреля 2016 года.

GDPR вносит свои изменения в защиту физических лиц в отношении обработки их персональных данных.

Территориальная сфера применения

GDPR имеет экстерриториальную сферу применения. Действие регламента распространяется на:

1. Компании, зарегистрированные на территории ЕС, независимо от места проведения самой обработки.

2. Компании, на зарегистрированные на территории ЕС, если:

• производится предложение товаров/услуг гражданам или резидентам ЕС;
• производится мониторинг действий граждан или резидентов ЕС.

3. Компании, зарегистрированные в странах, следующих законодательству ЕС, на основании международных договоров.

Для того, чтобы понять предлагает ли компания свои товары или услуги лицам, находящимся на территории ЕС, следует установить очевидность намерения, то есть волеизъявление компании считать себя заключившей договор с любым лицом, находящимся на территории ЕС, акцептовавшим её оферту. По GDPR одними из признаков намерений является использование веб-сайтом функционала на языке государства – члена ЕС и производство расчёта цен в валюте государства – члена ЕС с возможностью заказа, либо упоминание потребителей или пользователей, находящихся на территории ЕС.

Под мониторингом понимается отслеживание лиц в сети Интернет с дальнейшим применением или потенциальной возможностью применения различных технологий по обработке ПДн для анализа, либо прогнозирования предпочтений, личностных характеристик, особенностей поведения.

Компании, не зарегистрированные в ЕС, обязаны в форме письменного документа назначить представителя ЕС, когда выполняется хотя бы одно из условий:

• обработка происходит постоянно;
• обрабатываются в крупных размерах специальные категории персональных данных;
• обрабатываются персональные данные, связанные с судимостями или преступлениями;
• существует высокий риск нарушения прав и свобод человека.

Представителем может стать физическое или юридическое лицо, расположенное в стране ЕС, в которой находятся субъекты данных. Его задача от имени компании взаимодействовать с властями ЕС и гражданами, выполнять указания компании. Он точно так же привлекается к ответственности за нарушения.

Лица, осуществляющие обработку ПДн

GDPR вносит новые понятия такие, как контролер и процессор.

Контролер (англ. controller) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных. В случае, когда цели и средства обработки определяются правом Евросоюза или государства-члена, контролер, или критерии для его назначения, могут быть установлены правом Евросоюза или государства-члена.

Процессор (обработчик, англ. processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролера.

В том случае, если два или более контролеров совместно определяют цели и средства обработки, они являются совместными контролерами. Они должны прозрачным способом (см. п. 4 Таблица 5) определить свои соответствующие функциональные обязанности на предмет соблюдения обязательств.

Договоренность должна надлежащим образом отражать соответствующие роли и взаимоотношения контролеров, действующих совместно по отношению к субъектам данных. Существенные условия договоренности должны быть доступны для субъектов данных. Независимо от условий договоренности, субъект данных может осуществлять свои права в отношении каждого контролера.

Между процессором и контролером должен существовать договор, либо иной правовой акт, содержащий:

• предмет и период, в течение которого осуществляется обработка;
• характер и цель обработки;
• тип ПДн и категории субъектов данных;
• обязанности и права контролера;
• обязательства соблюдать конфиденциальность.

Контролер должен удостовериться, что процессор применяет технические и организационные меры, отвечающим требованиям и обеспечивающие защиту прав субъекта данных.

Процессор не должен привлекать другого процессора без предварительного письменного оформленного специального или общего разрешения контролера. Процессор должен проинформировать контролера о любых предполагаемых изменениях. Контролер имеет возможность высказать возражения против любых изменений.

Если процессор нарушает требования GDPR в отношении определения целей и средств обработки, то этот процессор должен рассматриваться в качестве контролера применительно к такой обработке, в том числе в случае наложения штрафа.

Обработка и хранение ПДн

Принципы обработки ПДн обновлены, но в целом аналогичны Директиве 95/46/ЕС:

• правомерность, справедливость и прозрачность/транспарентность;
• целевое ограничение;
• минимизация данных;
• точность;
• ограниченность хранения;
• целостность и конфиденциальность.

Добавляется понятие о прозрачности обработки и обязанность компании быть готовой подтвердить выполнение требований законодательства по защите ПДн.

Правомерность обработки и согласие субъекта ПДн

Основания для обработки остались такими же, как и в Директиве 95/46/ЕС:

• согласие субъекта данных;
• заключение договора;
• выполнение юридических обязательств;
• защита жизненных интересов субъекта данных;
• выполнение общественных интересов или осуществление официальных полномочий;
• обеспечение законных интересов компании.

В GDPR появилась статья про обработку, не требующую идентификации. Если при использовании обрабатываемых ПДн невозможно идентифицировать (определить) субъекта данных, то обработку таких данных можно производить. При этом права субъекта к таким данным не применяются, за исключением случая, когда субъект предоставил дополнительную информацию, которая теперь позволяет его определить. Компания должна быть способна подтвердить, что возможности идентифицировать субъекта нет.

Установлены конкретные требования к согласию субъекта ПДн. Согласие на обработку должно быть представлено отдельно от других условий и согласий. Оно должно быть изложено в конкретной и понятной форме, легкодоступным языком. Согласие должно быть дано на основании активных действий, а не «по умолчанию» или путем бездействия. Субъект данных должен иметь возможность отозвать своё согласие так же легко, как и дать его.

Отдельным пунктом вынесено согласие ребенка. За детей, не достигший 16 лет, согласие должно давать лицо, осуществляющее родительские функции или функции опеки. Государства могут законодательно предусмотреть меньший возраст при условии, что он не будет ниже 13 лет.

 Информация, передаваемая субъекту ПДн

 GDPR расширяет перечень обязательных данных, которые компания должна предоставить субъекту данных, в момент получения ПДн, для поддержания справедливости и транспарентности обработки (см. раздел 3).

Список информации, обязательной к предоставлению:

• сведения о компании, производящей обработку;
• данные о лице, ответственном за защиту ПДн, там, где это применимо;
• цели и правомерность основания обработки;
• информация об иных получателях информации, если таковые имеются;
• сведения о трансграничной передаче;
• срок хранения ПДн, если возможно;
• информация о праве доступа, исправления, удаления, возражения, ограничения обработки и права на переносимость субъекта ПДн;
• информация о праве отзыва согласия субъектом ПДн
• информация о праве подачи жалобы в надзорный орган;
• обязательно ли предоставление ПДн субъектом;
• наличие автоматизированного принятия решения.

 Право субъекта на доступ к данным

При обращении субъекта данных компания обязана предоставить ему сведения следующего характера:

• цели обработки;
• категории обрабатываемых данных;
• информация об иных получатели ПДн;
• срок хранения ПДн, если возможно, либо критерии определения этого срока;
• информация о праве доступа, исправления, удаления, возражения, ограничения обработки и права на переносимость субъекта ПДн;
• информация о праве подачи жалобы в надзорный орган;
• данные об источнике информации, связанной с ПДн, если она получены не от субъекта данных;
• информация о применении автоматизированного принятия решения.

При запросе субъекта, компания также обязана предоставить ему копию обрабатываемых ПДн субъекта, в том числе в электронной форме.

Право субъекта на изменение, удаление ПДн

 GDPR делает акцент на правах субъекта данных, давая к ним обширные разъяснения.

Компания обязана при обращении субъекта исправить или дополнить неточные данные. Должна быть реализована возможность удаления ПДн в случаях, когда:

• ПДн больше не нужны для заявленных целей;
• субъект данных отозвал согласие;
• не имеется правовой аргументации, мешающей запросу субъекта на удаление;
• ПДн обработаны неправомерно;
• имеются правовые обязательства по удалению в законодательстве страны компании;
• согласие было дано в детском возрасте.

 Право на переносимость данных

 Нововведением GDPR является понятие о переносимости данных.

При осуществлении автоматизированной обработки на основании согласия субъекта ПДн или договора, по требованию субъекта компания обязана предоставить ему касающиеся его данные, в структурированном виде, в том числе в машиночитаемом формате. Компания обязана беспрепятственно передать ПДн субъекта по его запросу другим организациям, если это технически осуществимо.

Защита ПДн и уведомление об утечке информации

 GDPR вносит понятия защиты «by design» и «by default».

Первое («by design») означает защиту ещё на этапе проектирования/разработки для осуществления принципов обработки данных, например, псевдонимизация. Псевдонимизацией является такая обработка данных, когда ПДн не могут быть соотнесены с субъектом данных без использования дополнительной информации. Дополнительная информация должна храниться отдельно от самих данных с применением мер, обеспечивающих их защиту. По сути, псевдонимизация аналогична предусмотренному Российским законодательством процессу обезличивания.

Второе («by default») означает защиту по умолчанию, компания должна обеспечить обработку ПДн с максимальной защитой конфиденциальности (например, данные должны обрабатываться короткий период хранения с ограниченной доступностью). То есть, по умолчанию, личные данные не становятся доступными для неопределенного количества людей.

Должны применяться технические и организационные меры, обеспечивающие надлежащий уровень безопасности, на основании рисков (например, риск случайного или преднамеренного удаления, потери, изменения и т.д. данных).

В случаях утечки ПДн, компания обязана сообщить о происшествии надзорному органу, за исключением случаев, когда эта утечка ПДн едва ли обернется рисками для прав и свобод лиц. Рекомендуемый срок — в течении 72 часов после обнаружения. В уведомление необходимо включить:

• сведения о характере утечки. Сведения о категории и количестве ПДн, если возможно;
• данные лица, ответственного за защиту, или контактные данные пункта, где может быть получена подробная информация;
• возможные последствия утечки;
• меры, предпринятые или предполагаемые к принятию, по устранению утечки и смягчению последствий.

По GDPR надзорный орган назначается в каждой стране соответствующими нормативно-правовыми актами.

Взаимодействовать с надзорным органом государства – члена ЕС должен представитель компании, назначенный в этом государстве. Уведомление об утечке ПДн рекомендуется направлять в надзорный орган государства, в котором расположен представитель ЕС. По GDPR, в случаях, когда компания учреждена в нескольких государствах-членах ЕС, или значительное число субъектов данных находятся в более чем в одном государстве, в действиях по проверке соответствия требованиям участвуют надзорные органы каждого государства. При этом даётся чёткое указание, что, по мере возможности, надзорные органы должны действовать совместно.

По GDPR процесс действий Российских компаний без представительства в ЕС не раскрыт. Логично предположить, что надзорный орган государства, чьи субъекты ПДн пострадали от утечки, должен действовать совместно с Роскомнадзором. Но этот момент остаётся спорным.

Компания должна документировать любые утечки ПДн, их последствия, а также предпринятые меры по устранению последствий.

Компания должна сообщить об утечке ПДн субъекту персональных данных, в разумный срок, за исключением случаев, когда:

• проблема не приведёт к высоким рискам для прав и свобод субъекта;

• данные были зашифрованы;
• предпринятые меры исключают возможные риски правам и свободам субъекта;
• для сообщения требуются несоразмерные усилия (в этом случае уведомление возможно через средства массовой информации).

 Учетные записи обработки данных

Компания обязана вести учётные записи процессов обработки данных в письменной, в том числе электронной, форме. Учётные записи должны содержать:

• наименование, реквизиты компании и, когда применимо, представителя компании в ЕС, лица, ответственного за защиту данных;
• цели обработки;
• описание субъектов данных и категорий, обрабатываемых ПДн;
• сведения об иных получателях, которым были или будут раскрыты ПДн;
• сведения о трансграничной передаче;
• Предусмотренные сроки удаления ПДн, когда это возможно;
• сведения о применяемых технических и организационных мерах безопасности, когда это возможно.

Компания не обязана вести учётные записи, если в ней менее 250 сотрудников, и она выполняет следующие условия:

• осуществляемая обработка не может привести к возникновению рисков для прав и свобод субъекта данных;
• обработка носит случайный характер;
• не обрабатываются специальные категории ПДн;
• не обрабатываются ПДн, связанные с судимостями или правонарушениями.

 Оценка воздействий на защиту ПДн

В GDPR выделена отдельная статья, посвященная «оценке воздействия на защиту данных» (англ. Data protection impact assessment, DPIA). Для выполнения предусмотренных в ней требований нужно определить степень важности каждого конкретного бизнес-процесса, связанного с обработкой ПДн, посредством оценки ущерба, нанесенного в период сбоя в работе.

На Рисунке показан алгоритм DPIA по GDPR 

Рис. Алгоритм оценки воздействия на защиту ПДн

Если обработка может повлечь за собой высокий риск для прав и свобод субъектов ПДн, компания, до начала обработки, обязана провести оценку воздействия на защиту ПДн предполагаемых бизнес процессов, связанных с обработкой. Если компания производит постоянный мониторинг субъектов или обрабатывает в большом количестве специальные категории данных, а также ПДн, касающиеся осуждённых и правонарушителей, то она обязана провести оценку.

В оценку воздействия как минимум нужно включить:

• описание предусмотренных операций по обработке ПДн;
• оценку необходимости и соразмерности операций обработки по отношению к заявленным целым обработки;
• оценку рисков для прав и свобод субъектов ПДн;
• меры по обеспечению защиты ПДн.

GDPR не указывает, как конкретно должен проходить процесс DPIA. Главное, чтобы структура оценки воздействия включала приведённый ранее минимум. В опубликованных разъяснениях по DPIA Рабочей группой по вопросам защиты физических лиц при обработке персональных данных (WP29), в состав которой входят представители органов по защите данных государств-членов ЕС, есть некоторые рекомендации по проведению DPIA. С 25 мая 2018 года WP29 была заменена на Европейский совет по защите данных (European Data Protection Board, EDPB).

Орган по защите данных в Великобритании (Information Commissioner’s Office, ICO) также даёт свои рекомендации по проведению DPIA на сайте, где, например, можно найти образец шаблона DPIA.

Оценка воздействия должна обеспечивать, в том числе, подтверждение соблюдения требований GDPR.

 Ответственный за защиту данных

 В GDPR есть отдельный раздел об Офицере по защите данных (англ. Data protection officer). Если организация является органом власти или учреждением, или производит постоянный мониторинг субъектов, или обрабатывает в большом объеме специальные категории данных, а также ПДн, касающиеся осуждённых и правонарушителей, то она обязана назначить Офицера по защите данных. Иначе, назначение делается на усмотрение компании или на основании законов её государства. Компания должна опубликовать реквизиты Офицера по защите данных.

 Условия наложения штрафов

 Для усиления обязательности соблюдения норм, GDPR вводит штрафы за любые нарушения.

На принятие решения о наложении и размере штрафа влияют:

• характер, тяжесть и продолжительность нарушения. Количество пострадавших субъектов данных и размер понесенного ущерба;
• по неосторожности или преднамеренно ли совершенно нарушение;
• меры, предпринятые для смягчения ущерба;
• использованные меры по защите данных;
• прошлые нарушения;
• степень сотрудничества с надзорным органом;
• категории затронутых нарушением ПДн;
• как стало известно о нарушении, например, было ли произведено уведомление об утечке;
• иные отягчающие или смягчающие факторы.

Если было нарушено несколько положений, то общий размер административного штрафа не должен превышать размер, установленный для самого тяжкого нарушения.

1. Административные штрафы в размере до 10 миллионов Евро или в размере до 2% от годового оборота компании за весь предыдущий финансовый год, в зависимости от того, какая сумма больше, накладываются за нарушение требований в следующих сферах:

• обработка ПДн ребёнка;
• обработка, не требующая идентификации;
• защита при проектировании и по умолчанию;
• совместная обработка с другими компаниями;
• назначенные представители компании;
• отчётные записи;
• обеспечение безопасности обработки ПДн;
• уведомления об утечках;
• оценка воздействий процессов обработки на защиту данных;
• требования к Офицеру по защите данных.

2. Административные штрафы в размере до 20 миллионов Евро или в размере до 4% от годового оборота компании за весь предыдущий финансовый год, в зависимости от того, какая сумма больше, накладываются за нарушение требований в следующих сферах:

• принципы обработки;
• правомерность обработки;
• согласие субъекта на обработку ПДн;
• специальные категории;
• права субъекта;
• трансграничная передача.

Ключевые отличия требований GDPR от №152-ФЗ

 Сравнительный анализ показал, что GDPR и № 152-ФЗ достаточно схожи. Основные отличия GDPR заключаются в:

• уточнённом перечне ПДн;
• назначении представителя в ЕС;
• списке информации, передаваемой субъекту, касательно процесса обработки;
• процессе оценки воздействия на защиту данных (DPIA);
• защите «by design» и «by default»;
• праве субъекта ПДн на переносимость данных в машиночитаемом формате;
• требования к согласию субъекта ПДн на обработку данных в части использования легкодоступного языка, конкретных обязательств в части детей, отделения от других обязательств.
• требованиях к обработке ПДн детей;
• конкретизированном списке информации необходимой для ведения учётных записей по обработке ПДн;
• уведомлении об утечке ПДн надзорного органа и субъекта ПДн;
• жёстких наказаниях (крупные штрафы) за невыполнение требований.

Сравнительный анализ №152-ФЗ и GDPR (табл. 5)

Требование №1 "Сведения, отнесенные к ПДн"

Требование №2 "Лицо, выполняющее обработку"

Требование №3 "Совместная обработка данных"

Требование №4 "Принципы обработки ПДн"

Требование №5 "Условия обработки ПДн"

Требование №6 "Требования к согласию субъекта ПДн на обработку ПДн"

Требование №7 "Специальные категории данных"

Требование №8 "Права субъекта данных"

Требование №9 "Обязанности оператора при сборе ПДн"

Требование №10 "Принятие решений на основании исключительно автоматизированной обработки"

Требование №11 "Меры по обеспечению безопасности ПДн"

Требование №12 "Лица, ответственные за организацию обработки ПДн"

Требование №13 "Ответственность за нарушение требований"