GDPR: как внедрить новые стандарты в свой бизнес
10 июля в Киеве состоялась масштабная конференция «GDPR в Украине: инструкция по внедрению новых стандартов». Организовала мероприятие ассоциация Digital Ukraine, которая пригласила на мероприятие ведущих специалистов в сфере юриспруденции и кибербезопасности, а также сертифицированных офицеров по защите данных(DPO). Эксперты выступали в двух панелях – организационно-юридической и технической. Послушать доклады пришли около 200 человек – представители госструктур, IT-компаний, интернет-магазинов, турфирм, отелей, разработчики приложений для соцсетей, социологи и другие специалисты, сталкивающиеся с необходимостью сбора и обработки данных пользователей в своей работе.
«В мае-июне мы слышали много теоретических изысканий на тему GDPR и вот сегодня реальные люди, обученные и сертифицированные офицеры по защите данных расскажут, как это практически внедряется», – сказал в своем приветственном слове глава наблюдательного совета «Октава Капитал» и основатель компании «Октава Киберзахист» Александр Кардаков.
Как объяснила ведущий юрист Nota Group Юлия Нечепуренко, в контексте GDPR персональные данные — это любая информация, которая относится к физическому лицу, которое идентифицировано или может быть идентифицировано (имя, ИНН, данные о местоположении и прочее). Кроме них существуют «чувствительные данные», обработка которых несет в себе более высокие риски, а значит требует более строгих мер обеспечения безопасности (политические взгляды, этническая принадлежность, вероисповедание, генетические и биометрические данные и прочее). Также в регламенте прописано четыре основных действующих лица: субъект - гражданин ЕС, контролер - организация, которая определяет способ и цели обработки, оператор - обработчик данных и контролирующие органы, которые созданы в каждой стране ЕС. В целом же GDPR может применяться к тем, кто имеет компанию или официальное представительство в Евросоюзе. Также к украинским компаниям, чьи субъекты данных находятся в ЕС.
Итак, за что же именно можно получить штраф и от чего зависит его размер? На эти вопросы ответила координатор группы IT и кибербезопасности юридической фирмы Sayenko Kharenko Дарина Сидоренко: «Санкции налагаются за нарушение защиты персональных данных, а именно – нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или иным образом обработанным компанией.
При этом у имплементации GDPR помимо организационной стороны, есть не менее важная – техническая. Как защитить данные своих клиентов от утечки, какие технологии использовать для этого и чего компаниям требовать от своих служб ИТ-безопасности, рассказал R&D-директор компании «ИТ-Интегратор» Владимир Кург: «Хорошая новость в том, что в большинстве компаний работают системы защиты информации, которые можно просто правильно настроить для выполнения GDPR. С точки зрения масштаба разовой утечки самый большой риск – это резервная копия. Для минимизации угрозы нужно обязательно купить лицензию на шифрование резервных копий при создании».
Также эксперт советует бороться с полными правами администраторов: «Нужно разделить роли на владельца, бекап-оператора (делает резервные копии) и хранителя ключей (выдает их для восстановления в нужное время). Также рабочие места администраторов должны быть изолированы, а съёмные носители - блокированы. Контроль потоков данных должен происходить через периметр корпоративной сети, поскольку резервные копии объёмны и их утечку легко отследить.