Всеобщая регула защиты данных действует уже более месяца. Большая часть предпринимателей продолжает внедрять все необходимые организационные мероприятия, отыскивая самые финансово выгодные решения, чтобы выполнить все требования регулы. В числе прочего, регула возлагает на менеджеров данных обязанность выполнить соответствующие технические и организационные мероприятия, однако не прилагает их детального описания, поэтому на практике предприниматели сталкиваются с существенно отличающимися требованиями, которые для одного приемлемы, для другого – несоразмерны, дороги и излишни. Как удостовериться, что введённые мероприятия безопасности достаточны и действительно ли требования, выдвигаемые партнёрами по сотрудничеству, являются необходимыми?
Что означает безопасная обработка личных данных?
Хотя регула не меняет прежних принципов защиты личных данных, она предусматривает более широкие права субъекта данных, а с ними новые обязанности обработчика данных и менеджера, которые главным образом могут быть связаны с новыми организационными мероприятиями и техническими решениями, в особенности в связи с безопасностью в рабочей среде и приспособлением ИТ системы.
Из стандартов безопасности, используемых в различных отраслях (в том числе ISO) следует, что личные данные надо обрабатывать безопасно, соблюдая следующие три принципа:
-
конфиденциальность (например, шифрование, анонимность);
-
доступность (например, ограниченный доступ к данным);
-
целостность (например, надзор за введением и оборотом данных, непрерывность данных и точность).
Надо упомянуть, что обработка личных данных не означает только их активное использование (сбор, регистрацию, запись, распространение, отправку и др.). Обработкой является также - удаление данных и хранение в бумажной форме в шкафу или в электронном виде на сервере, даже при длительном их неиспользовании. Поэтому упомянутые принципы важны как в случаях, когда личные данные передаются третьим лицам, так и при обеспечении надёжной работы своего предприятия и упорядочивании электронной среды.
Соразмерные организационные мероприятия и технические решения
Регула устанавливает, что проводимые мероприятия осуществляются с соразмерными затратами, чтобы они были соответствующими и нужными, оценивая каждый случай в отдельности. Это означает, что предприятие должно находить наиболее подходящие и экономически обоснованные решения. Недопустимо, что, например, менеджер данных, будучи большим предприятием, потребовал у обработчика данных обеспечить несоразмерные мероприятия безопасности ИТ. Одновременно, выдвигаемые менеджером требования при передаче обработчику данных больших объёмов или особой категории могут быть гораздо строже тех, которые применяют при обработке небольших объёмов данных.
Вкратце о проводимых мероприятиях
Чтобы понять, какие мероприятия безопасности ввести предприятию, надо начать с обобщения такой информации:
a) какие личные данные обрабатываются (например, имя, фамилия, личный код, адрес проживания частного лица, IP адрес, э-почта, национальность);
b) с какой целью (например, отправка коммерческих сообщений/предложений/новостей, осуществление переводов, продажа, поставка, товаров и оказание услуг);
c) кому передаются данные (например, специалисту отдела управления персоналом, страховым обществам, банкам, партнёрам по сотрудничеству).
После обобщения этой информации следует оценить риски, которые могут быть связаны с обработкой личных данных, например, оценить, обеспечивает ли предприятие и как контроль доступа, какова возможность, что информационную систему, которая обрабатывает личные данные, можно взломать, так ли безопасна среда предприятия, чтобы предотвратить доступ неуполномоченных лиц в помещения и к личным данным и т.п.
Предприятие само может выбрать, какие мероприятия безопасности надо провести в соответствии с идентифицированными рисками.
Рекомендации для будущей деятельности
Еще ничего не упущено
Если мероприятия по введению ещё не начаты или не окончены, нет основания для больших волнений, поскольку ещё можно провести необходимые предварительные работы. В случае сомнений всегда можно проконсультироваться с сертифицированным специалистом по защите данных, который может дать оценку обработки личных данных в соответствии с требованиями регулы.
«Прежде всего консультируй!»
Государственная инспекция данных многократно заявляла, что будет применять принцип «Прежде всего консультируй!». Таким образом учреждение обязуется сначала разъяснять предпринимателям новые требования регулы. Кроме того, регула предусматривает возможность вместо денежного штрафа объявить выговор, если денежный штраф создаст непомерную нагрузку.
Выгода для предпринимателя
Хотя часть предпринимателей считает, что мероприятия по выполнению регулы обременительны и излишни, предлагаем всё же считать регулу мотивацией упорядочить свою рабочую среду, внутренние процессы и договорные обязательства, поскольку пересмотр документов и процессов означает возможность исправить, совершенствовать и упростить деятельность своего предприятия (также сократить расходы).
