О защите персональных данных на российском и европейских рынках

Habrahabr

С 1 июля вступили в силу последние поправки в российское законодательство о персональных данных. Они диктуют новые правила по обработке и хранению личной информации пользователей. Последние изменения встают в один ряд с чередой дополнительных требований к операторам данных. Эта статья рассказывает о новых реалиях и оптимальных решениях в области работы с личной информацией в России и Европе.

/ фото Thomas Leuthard CC

Персональные данные в европейской практике

Международный институт защиты персональных данных сравнительно юн в правовом смысле. Общие положения неприкосновенности частной жизни сформировались к 80-м годам прошлого века. Они базируются на принципах Всеобщей декларации о правах человека от 1948 года. Базовые положения обработки персональных данных вышли в свет в 1981 году в форме Конвенции Совета Европы. Ратификация этого договора Россией состоялась в 2005 году.

С момента принятия Конвенции в ее первоначальном виде ряд стран-участниц осуществлял меры по ужесточению местных правил обработки данных. Происходило это главным образом в связи с появлением новых технологий, которые создавали новые вызовы для конфиденциальности. Другим поводом выступает рост кибермошенничества с использованием персональных данных. Иначе этот вид преступлений называют «кражей личности». Задолго до эпохи big data он применялся для получения лекарств и денежных средств в банках по поддельным документам.

С ростом объема передаваемой личной информации в сети, кража личности набирала популярность как основной инструмент киберпреступников. По результатам исследования Javelin Strategy & Research, общий ущерб от онлайн-мошенничеств с использованием персональных данных в 2016 году стал рекордным за всю историю. Он составил $16 млрд по сравнению с $15 млрд годом ранее.

В 2013 году Служба Великобритании по предотвращению мошеннических действий (CIFAS) сообщила о более чем 50-процентном росте числа случаев незаконного использования сведений физических лиц. В одно время с этим Европарламент ужесточил закон о защите персональных данных. Это стало базой для разработки предложенного годом ранее Общего Регламента по защите данных (GDPR).

GDPR возник в контексте стремительно развивающейся цифровой экономики. Стало очевидно, что данные приобрели особую ценность. В вопросе мобильности личной информации физические границы между государствами перестали быть преградой, а различные директивы в каждой из европейских стран лишь порождали противоречия и трудности. В 2012 году Европейская комиссия осознала необходимость всеобъемлющей реформы директивы о защите данных ЕС от 1995 года.

Технологический прогресс и глобализация в корне изменили способ сбора, использования и хранения данных. В 2014 году Европарламент продемонстрировал решительную поддержку GDPR — 621 голос за и 10 против в ходе пленарного заседания. 28 января 2016 года 47 стран Совета Европы, а также европейские учреждения, агентства и департаменты отметили 10-й ежегодный Европейский день защиты данных, а спустя четыре месяца окончательно утвердили регламент. Он должен вступить в силу 25 мая 2018 года.

Европейские законодатели ставят своей целью создать единую действующую правовую базу, которая будет распространяться на все государства-члены ЕС. GDPR нацелен на минимизацию собираемых и обрабатываемых данных, а также на соблюдение принципа конфиденциальности при проектировании систем. Регламент призван повысить юридическую определенность, снизить административную нагрузку и затраты на соблюдение правил для организаций, оперирующих данными. На практике регламент ужесточает условия ведения бизнеса для всех компаний, которые имеют дело с персональными данными граждан стран ЕС.

В формулировку основного понятия в вопросе — «идентифицирующая информация» — были внесены корректировки. Согласно GDPR, если личность может быть теоретически установлена каким-либо способом, данные являются персональными. Иными словами, европейским компаниям, хранящим и обрабатывающим данные, отныне придется внимательно следить за своими действиями — идентифицировать личность возможно не только на основе очевидной информации, такой как ФИО.

/ фото Blue Coat Photos CC

GDPR также ужесточает санкции для нарушителей. Штрафы могут достичь до 4% годового оборота компании или суммы в 20 млн евро.

В соответствии с GDPR, обработчики персональных данных должны будут соблюдать ряд конкретных обязательств, в том числе вести документацию, применять соответствующие стандарты безопасности, назначать сотрудников по защите данных, соблюдать правила международной передачи данных и сотрудничать с национальными надзорными органами. Обработчики будут нести прямую ответственность за соблюдение этих правил. Разработчик антивирусного ПО ESET делает вывод, что новые требования, вероятно, приведут к увеличению стоимости услуг по обработке данных.

GDPR имеет и другие обременительные аспекты: необходимость уведомлять представителей регулятора (Национальное управление по защите данных) о случаях уязвимости в течение 72 часов, необходимость шифрования данных и зонирования их распространения, соблюдение права физического лица на забвение, а также права на запрос данных.

Чтобы подготовиться ко всем изменениям, у компаний и правительственных органов, работающих с персональными данными европейских граждан, остается меньше года. Немецкая исследовательская компания Bitkom Research установила, что по состоянию на июнь 2017 года 20% из двухсот IT-компаний еще не начинали готовиться к реализации требований регламента, и лишь одно из трех предприятий приступило к осуществлению первых подготовительных шагов.

Тем временем крупные компании уже предприняли стратегические меры. Была сформирована коалиция лидеров облачных вычислений, обслуживающих миллионы европейских клиентов. Она получила название CISPE (поставщики облачных инфраструктурных услуг в Европе). К коалиции присоединились такие компании, как IBM, Alibaba Cloud, Amazon Web Services, Microsoft Cloud. Вместе они встречают поток предприятий, в спешке переносящих свою IT-инфраструктуру в облака.

Самостоятельная подготовка ко всем требованиям GDPR весьма затратна. По результатам исследования информационной компании Veritas Technologies, в среднем компании прогнозируют расходы на сумму более $1,4 млн. Рост затрат и связанная с этим миграция касается в первую очередь обработки данных. Теперь предприятиям, деятельность которых включает в себя сбор персональных данных, важно найти надежного облачного провайдера, удостовериться, что поставщик облачного хостинга может обеспечить необходимый уровень безопасности, вести журналы инцидентов и соблюдать прочие требования GDPR.

Персональные данные в России

В России в текущий момент также происходит миграция IT-инфраструктуры предприятий в облака. Как и в европейских странах, движущей силой выступают законодательные процессы, а конкретнее ФЗ-152 «О защите персональных данных». Закон предписывает хранение и обработку данных россиян на территории страны. Новым требованиям закона подчиняются все компании, зарегистрированные в России, иностранные компании с представительствами и филиалами в России, другие иностранные компании, деятельность которых связана с Россией и распространяется на личные данные российских граждан.

В российской трактовке персональными данными выступает любая информация, которая позволяет идентифицировать человека, в том числе адрес электронной почты, содержащий фамилию и название компании, номер банковской карты, номер мобильного телефона. Самым громким прецедентом с момента вступления в силу закона «О персональных данных» стал судебный процесс в отношении американской социальной сети LinkedIn, который завершился блокировкой ресурса на территории РФ в 2016 году.

/ фото Wikimedia Commons CC

Что касается отношения GDPR к передаче персональных данных граждан ЕС за пределы Европейской экономической зоны, это возможно, но на основании решения комиссии. Учитываются такие факторы, как верховенство закона и защита прав человека и основных свобод, доступ к переданным данным государственных органов и другие правовые аспекты.

21 страна ЕС в настоящее время имеет законы, требующие от компаний хранить определенные типы (в первую очередь личных) данных на местном уровне. Основной кодекс CISPE по своей сути направлен на хранение европейских данных внутри Европы, однако отток в облака IT-компаний в Европе все же связан с требованиями к обработчикам данных. В России та же тенденция берет свое начало в обращении с персональными данными на территории страны. При этом обрабатывать их можно и за рубежом, но хранить и собирать обязательно следует в пределах страны. Ответственность за исполнение этого требования лежит на операторах данных.

Зарубежные предприятия, использовавшие в своей работе данные российских пользователей, прибегают к замене физической инфраструктуры виртуальными хранилищами, чтобы выполнить требования законодательства. Как отмечали эксперты, по состоянию на 2016 год «облачный» рынок в России за два года кратно вырос и достиг 88 млрд рублей.

Эксперты предлагают несколько вариантов реализации работы с персональными данными российских пользователей для иностранных компаний. Первый заключается в переносе базы данных на физический или виртуальный сервер в России. Другой способ подразумевает первичный ввод информации в базу данных, расположенную за пределами России. При этом на территории РФ должна иметься копия базы данных, а между серверами настроена синхронизация в реальном времени. Требованиям законодательства отвечает первичный сбор и хранение данных на сервере в России с возможной синхронизацией со штаб-квартирой за рубежом.

Еще один вариант — услуга хостинга персональных данных. Такую услугу предлагает и поставщик облачных решений «ИТ-ГРАД». Решение обеспечивает общие меры защиты хранения информации и соблюдение дополнительных требований, продиктованных законодательством. Поставщик гарантиует соблюдение всех подзаконных актов и предоставляет уже аттестованное оборудование, которое согласовано с положениями ФЗ.

При этом услуга «хостинг ПДн» может быть полезна не только иностранным компаниям, но и различным представителям российского бизнеса, начиная от небольших компаний, размещающих в облаке провайдера интернет-магазины или системы маркетинговых исследований, и заканчивая крупными корпорациям, которым при обработке и хранении персональных данных следует выполнять не только требования законодательства, но и обеспечивать должный уровень надежности.

Компании, пользующиеся услугами облачного хостинга, получают ряд преимуществ. Это защищенный хостинг с использованием сертифицированного оборудования от hardware-производителей (NetApp, Cisco, IBM и др.), а также применение программно-аппаратного комплекса шифрования. При этом упрощается процедура приведения инфраструктуры в соответствие с требованием 152-ФЗ, что, в свою очередь, снижает юридические риски.

P.S. Еще несколько материалов по теме из Первого блога о корпоративном IaaS: