GDPR – чотири літери, які цього року вселяли страх у кожну компанію, яка працює з європейським ринком. Валерія Дяченко, керівник Практики ТМТ ЮК Juscutum, в інтерв’ю для «ЮГ» розповіла про те, чи стали краще захищати дані, з чого потрібно починати, щоб стати GDPR compliance, а також що найбільше лякає інтернет-гігантів
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
– Цього року набрали чинності правила GDPR, створивши велику паніку на ринку стосовно того, як це повинно бути, що робити тощо. Чи можна вже говорити про те, що персональні дані почали краще захищатися, зокрема в Україні?
– Насправді, прогресивні міжнародні компанії ще у 2017 р. подумали про те, як їм впроваджувати вимоги Загального регламенту із захисту даних (далі – GDPR), що був прийнятий у 2016 р. Однак з набуттям чинності 25.05.2018 р. над цим почали масовіше замислюватися. Чи покращився захист? Так, тут почалися певні зрушення, але повноцінного впровадження суперзахисту даних ще немає. За різними статистичними даними ЄС, готовність компаній до GDPR сягає максимум 10%, але існує ймовірність, що ця цифра більше наближена до нуля.
Такий низький відсоток впровадження GDPR, насамперед, пов’язаний з тим, що більшість європейських країн встановила перехідний період до кінця цього року, щоб дати компаніям час привести бізнес-процеси захисту даних у відповідність до нових правил. Регулятори обмежуються перевірками та опитуваннями, за невідповідність – попередженнями, а не жорсткими санкціями. Напевно, це всіх трохи розслабило, тому більшість компаній (українських та європейських), як студенти, будуть все робити в останній момент.
Хоча вже є перші ластівки. Один з перших штрафів був виданий в Австрії за те, що підприємець здійснював відеофіксацію території, значно більшої, ніж потрібно. За відстежування громадської зони його було покарано на 5500 євро.
Набагато більший штраф був виданий у Португалії. Лікарню було покарано сумарно на 400 000 євро за те, що «занадто велике коло осіб мало доступ до даних пацієнтів». З’ясувалося, що в системі лікарні акаунтів «лікар» з повним доступом до історії пацієнтів було 985, однак безпосередньо працівників відповідної посади фізично нараховувалося лише 296 осіб. Очікуємо ще чимало гучних розслідувань.
Для досягнення відповідності (комплаєнсу) GDPR не встановлює чіткого алгоритму чи переліку кроків, а залишає на совісті компанії всі можливі дії, які можна здійснити для безпечного обігу даних.
Зрозуміло, що впровадження цих правил потребує великих капіталовкладень, тому хтось лише почав це робити, хтось якусь частину зробив, а хтось вже повноцінно впровадив нові правила у себе в компанії.
– Імплементація правил GDPR в українських реаліях – це тернистий шлях. З яких кроків потрібно починати, щоб врешті-решт стати GDPR compliance?
– Починати необхідно з аудиту. Це обов’язкова дія, яку кожна компанія має здійснити, щоб зрозуміти, що ж їй все-таки потрібно зробити. Тут можна порівняти персональні дані з радіоактивними матеріалами, як би дивно це не звучало. Уявіть, що у вашій компанії вони є. Важливо знайти, де вони, помістити в надійне місце, поставити спеціально навчених людей, написати правила поведінки з такими матеріалами, час від часу контролювати надійність обробки та збереження. Аналогічний підхід має застосовуватися до зберігання даних, адже вони – це дорогий актив компанії, який заслуговує відповідного ставлення. На жаль, що стосується даних, то більшість компаній взагалі не розуміє, де ці дані у них зберігаються, навіщо ці дані збираються та як вони обробляють ся. Ми розуміємо, що для роботи нам не потрібно 7 тон радіоактивних матеріалів, нам необхідна лише їх невелика кількість. При цьому деякі компанії збирають величезну кількість даних, які їм зовсім не потрібні. Міжнародне законодавство йде тим шляхом, щоб стимулювати компанії до розуміння, які дані вони мають збирати та навіщо їм це потрібно, обмежуючись мінімальним обсягом.
Яку роль тут відіграє аудит? Він дозволяє зрозуміти, що є у тебе, встановити, що тобі з цього потрібно, а також визначити, відкинувши все зайве, хто з цим буде працювати та як це відбуватиметься. Загроза не стільки отримання штрафу, скільки відмови контрагентів від співпраці з компанією, що не є GDPR compliance, для багатьох є більш мотивуючим інструментом, а також стимулює перенести такі дані у безпечне місце та призначити людей, які оброблятимуть їх правильно, а головне – з постійною періодичністю. Тобто це має бути не разова процедура. Потрібно розуміти, що GDPR compliance – це постійний моніторинг того, що у тебе є, а також чи є у тебе все, що необхідно.
Найважливішими будуть технічні та організаційні моменти, меншою мірою – юридичні аспекти. Коли ми супроводжуємо наших клієнтів, то одразу ж попереджаємо про те, що технічний аудит є надважливим. Ми співпрацюємо з акредитованими технічними партнерами. Звичайно, компанія може все це зробити самостійно, але тут як з лікарем – можна самому собі зуб вирвати, а можна звернутися до стоматолога. Все це на власний страх і ризик.
Отже, партнери перевіряють технічну частину: які є прогалини, вразливості, відкриті та закриті загрози, де все це зберігається, якими каналами передається, чи здійснюється шифрування. Організаційна частина включає перевірку наявності в компанії відповідних людей, які слідкують за сталою безпекою даних. Юридична частина складається з розробки всіх методик, інструкцій, внутрішніх і публічних документів. Проте варто зазначити, що якихось алгоритмів та панацеї від усього просто не існує. Ще раз наголошую, що правила GDPR не визначають, що потрібно зробити певний перелік дій і все буде добре. Необхідно зробити все можливе, щоб у випадку витоку інформації компанія продемонструвала, що вона зробила все, що від неї залежить, та доклала максимальних зусиль. У такому випадку негативні наслідки будуть мінімальними.
– Чи є попит на ці послуги на українському ринку?
– В цьому році ця послуга має найбільший попит, хоча потрібно було починати, звичайно, ще в минулому році. У травні місяці всі дуже нервували, як працюватиме Регламент, адже практики ще не були напрацьовані. Ближче до кінця року, коли перехідний період вже закінчується, всі знову активізувалися. Українські компанії ще не дуже турбуються з цього приводу. Це питання більш актуальне для тих, хто працює з іноземними контрагентами, тому що штрафів і санкцій українські компанії не бояться, а от потенційна відмова іноземних партнерів від подальшої співпраці дійсно стимулює. Чому так? Тому що європейські компанії, згідно із загальним Регламентом, зобов’язані опубліковувати інформацію про роботу з третіми особами, а ці особи мають бути GDPR compliance. Адже вони не можуть співпрацювати з компаніями, в яких ненадійні системи захисту даних.
– Як компанія може продемонструвати користувачам, що їхні персональні дані захищаються належним чином?
– Звичайно, працюючи з інтернетом, користувачі вже стали достатньо грамотними, щоб розуміти, про що йде мова. Проте вони не зовсім усвідомлюють цінність своїх даних.
– Як продемонструвати користувачам належний захист даних?
– Мінімальною кількістю даних, що збираються, інформуванням простою мовою користувачів про обробку, наявністю відповідних політик захисту персональних даних, а також наданням можливості користувачам реалізовувати свої права (право на доступ, на видалення, на виправлення тощо).
Перше, що може зробити компанія – це збирати мінімальну кількість інформації. Наприклад, якщо логістичній компанії необхідно знати телефон та адресу доставки, то їй зовсім не потрібно знати, що купують їхні користувачі, як часто, де і з ким вони проводять свій час. Зрозуміло, що все це зайва інформація.
Також компанія має публікувати політику ресурсів та політику конфіденційності, пояснюючи, що вони зберігають і навіщо. Основною вимогою цього року стало те, що всі ці документи мають бути максимально простими та зрозумілими для користувача. Всі ми пам’ятаємо часи, коли це були великі полотна тексту, які ніхто не читав, а просто ставив галочку «Я згоден з політикою конфіденційності». В мережі навіть був анекдот про те, що користувачі інтернету нібито читають швидше за всіх, адже витрачають на таку згоду кілька секунд. Тепер все має бути дуже просто, щоб користувач розумів, на який ресурс він потрапив, які дані збираються, а головне – навіщо.
Окрім того, мають бути присутні інтерактивні елементи. Адже раніше вважалося, що, потрапляючи на де які сайти, користувач з усім погоджується, оскільки в якійсь невідомій далекій політиці було прописано, що реєструючись на сайті, ви виявляєте свою згоду на обробку даних. Тепер не буде такої мовчазної згоди. Важливо зараз пояснити, а головне – вміти реалізувати такі права, прописані в GDPR, як право на забуття, право на видалення інформації тощо. Це ще раз підтверджує, що лише одними документами обмежитися не вийде. Щоб це виконати, мають бути впроваджені також технічні рішення.
– Право на забуття – це взагалі реально в мережі Інтернет?
– Звичайно, тут все складно, адже потрібно розуміти – все, що потрапляє в інтернет, залишається там назавжди. Інша річ, коли мова йде, наприклад, про маркетингові розсилки, які користувач не хоче більше отримувати, тому просить видалити його зі списку отримувачів. Більшість інформації, яка міститься в цій розсилці, дійсно можна видалити. Проте є певні дані, які залишаються. Навіть за правилами GDPR передбачається, що якась інформація (наприклад, про здійснені транзакції тощо) може залишитися для забезпечення роботи ресурсу. Звичайно, бажано, щоб ця інформація була зашифрована. Якщо хтось недогледів і після запиту про видалення даних користувача йому знову надійде розсилка, користувач має право поскаржитися, що може стати приводом для позапланової перевірки. З цим краще не жартувати.
– Як контролюючий орган може покарати порушників?
– Якщо хтось чув щось про GDPR, найімовірніше, це штрафи у розмірі 20 млн та 4% від річного глобального обігу. Однак варто зазначити, що 20 млн – це верхня межа, яку одразу ніхто не буде застосовувати.
Розміри штрафів залежать від безлічі чинників. Як зазначено в GDPR, вони повинні бути «ефективними, пропорційними та стримуючими». До вирішальних критеріїв належать: характер, тяжкість та тривалість порушення, обсяг і мета обробки персональних даних, кількість постраждалих та ступінь шкоди, рівень співпраці з органами захисту даних, наскільки недбало компанія ставилася до захисту персональних даних та багато іншого.
Проте штраф, навіть найбільший, це ще не найстрашніше. Гіршою може бути ситуація, коли компанії взагалі заборонять обробляти дані. Чи можемо ми уявити, що буде, якщо таким компаніям як Facebook або Google заборонять обробляти дані? Що вони тоді робитимуть? Це буде просто катастрофа, адже для інтернет-гігантів сума штрафу не виявиться критичною, натомість відсутність основної частини функціоналу їхнього бізнесу вже стане проблемою.
– Яким чином контролюючі органи шукатимуть порушників?
– Регулятори виявлятимуть порушення через data breach, скарги користувачів та випадкові вибіркові перевірки різних компаній. Поки що це відбувається шляхом опитувань. Регулятори запитують інформацію про те, як і де зберігаються дані, як обробляють ся та ін. Просять надати документи, які це підтверджують. Регулятори реагуватимуть на скарги користувачів і відстежуватимуть витік даних.
Інколи компанія далеко не першою дізнається про те, що у неї щось сталося. Наприклад, трапляються ситуації, коли хтось знаходить свої бази даних на інших ресурсах, не розуміючи, як взагалі стався витік. Зрозуміло, що це катастрофа. Саме таким чином шукатимуть і каратимуть порушників.
Слід розуміти, що втрата репутації та партнерів стимулює набагато краще, ніж будь-які перевірки. Звичайно, буде кілька публічних покарань, щоб всі інші швидко привели свою політику конфіденційності у відповідність до нових правил.
– Чи змінилися правила захисту персональних даних в інших країнах після впровадження GDPR?
– Введення в дію GDPR ознаменувало загальну тенденцію до більш детального регулювання захисту персональних даних. Зокрема, за прикладом GDPR, відповідне законодавство вже прийняли або розглядають такі країни:
- Канада – вносяться зміни в чинне законодавство;
- Бразилія – прийняли новий закон;
- Індія – на стадії розгляду;
- Кенія – прийняли новий закон;
- Китай – прийняли новий закон;
- Білорусь – на стадії розгляду;
- Казахстан – на стадії розгляду;
- Марокко – прийняли новий закон;
- Бахрейн – прийняли новий закон.
Окрім цього, Каліфорнія прийняла місцеве законодавство щодо захисту персональних даних, а Конгрес США наразі працює над розробкою Федерального Закону про захист персональних даних.
– Яких законодавчих змін регулювання галузі цифрових технологій Ви найбільше очікуєте в Україні та світі?
– Зараз широкої популярності набуває транскордонне регулювання, адже в інтернеті немає парканів і фактичних меж, тому країнам потрібно між собою домовлятися та працювати в цих умовах. Розміщення серверів в інших країнах не вберігає від необхідності розкриття інформації за запитом правоохоронних органів. Прикладом цього є спір Microsoft із США щодо інформації на серверах в Ірландії, який спочатку завершився рішенням Верховного суду США, а згодом загальним законом Cloud Act з вимогою розкривати інформацію, незалежно від того, де знаходиться його інфраструктура.
Ще однією тенденцією є посилення співпраці у сфері кіберзлочинів, оскільки таким чином розслідування проходить набагато швидше та ефективніше.
– Можливо, варто було б розробити один універсальний документ для всіх?
– Універсальний документ для всіх точно не вдасться створити, оскільки кожна країна по-різному підходить до питання інформаційної безпеки. Хтось зосереджує свою увагу на державно-приватному партнерстві, а хтось – на блокуванні. Наприклад, у таких країнах як Китай, Росія, Іран блокування закріплено на рівні законодавства. Якщо компанія захоче там працювати, то їй доведеться розташувати, наприклад, свої сервери в цій країні. Така ситуація сталася з Google та іншими інтернет-гігантами, які працюють у Росії. Отже, на жаль, неможливо розробити єдину політику, оскільки всі працюють по-різному.
Навіть правила GDPR інколи не зовсім конкретизовані, тому деякі країни Європи на рівні локального законодавства вже прийняли акти, ще жорсткіші, ніж GDPR. Звичайно, ще є міжнародні угоди про кіберзлочини та конвенції. Загалом, тенденція така, що уніфіковані документи будуть прийматися частіше, але кожна країна намагатиметься їх під себе адаптувати.
– Для всіх зараз є болючою тема кібербезпеки. Пам’ятаємо, як вірус Petya.А вдарив по слабких місцях компаній. Що потрібно вдосконалити у захисті персональних даних задля недопущення такої ситуації в майбутньому?
– Насправді, в усьому світі це питання добре вирішується в межах державно-приватного партнерства. Вірус Petya.А продемонстрував, що український бізнес був зовсім не готовий до такої масивної атаки. Звичайно, після цього в Україні було здійснено багато різних заходів для посилення кібербезпеки, включаючи прийняття та розробку різних нормативно-правових актів (наприклад, стосовно об’єктів критичної інфраструктури).
Проте слід розуміти: для того щоб вибити якесь підприємство з колії, не потрібно навіть продумувати супермасивну кібератаку. Достатньо створити маленького «хробачка», який просто щось пошкодить. Надивившись фільмів, ми уявляємо, що витоки трапляються через хакерів – осіб з надлюдськими розумовими здібностями, які швидко натискають комбінації «гарячих» клавіш. Насправді, все набагато простіше. У 90% випадків причиною втрати даних буває банально людський фактор, тому важливим аспектом є навчання персоналу, адже часто співробітники щось не закривають або ставлять пароль на кшталт «12345». Це начебто елементарні правила, про які всі знають, але чомусь це трапляється знову й знову.
Що стосується вимог з кібербезпеки, то ситуація в Україні залишається доволі незрозумілою. Деякі компанії намагаються щось впровадити, але на ментальному рівні у нас ще існує розуміння, що на розробці якихось документів можна буде зупинитися. Саме так колись відбулося з базами захисту персональних даних, коли всі опублікували нову політику та вважали, що вони вже все зробили. Однак насправді питання полягає в тому, що «хакнути» можна будь-кого. Це лише питання ціни та мотивації зловмисника. Тобто якщо компанія чи особа не представляє жодного інтересу або це коштує занадто дорого, тоді її не зламають. Проте навіть за таких умов не мати захисту – це дуже поганий варіант.
– Які ще законодавчі зміни регулювання ТМТ-галузі найбільше очікуються в Україні?
– Зважаючи на деякі об’єктивні чинники, пов’язані з інформаційною безпекою та інформаційною війною, нам ще є над чим працювати. Наприклад, потрібно імплементувати деякі речі, яких від нас очікують партнери (приміром, НАТО). Добре було б взагалі імплементувати правила GDPR, оскільки у планах КМУ стоїть розробка подібного законопроекту. Щоправда, невідомо, коли це станеться, але це могло б бути вигідно для держави, оскільки це і надходження до бюджету, і виконання зобов’язань перед міжнародними партнерами.
Також цікавими для нас є речі, пов’язані з кібераудитом, який вже потрібно проводити. Наразі незрозуміло, чи стосуватиметься це всіх, чи лише великих і стратегічних об’єктів. Однак це відбуватиметься та створюватимуться окремі платформи щодо кіберінцидентів, коли компанії будуть змушені заявляти про витік даних. Наприклад, вірус Petya.А продемонстрував, що компанії не довіряють державі та не повідомляють про свої проблеми. Згідно зі статистикою, у порівнянні із загальною кількістю постраждалих, не було навіть 10% тих, які повідомили про те, що вони постраждали.
Однак про такі випадки потрібно повідомляти, оскільки це спрямовано на вироблення нових стратегій протидії. Замовчування негативно впливає не лише на безпеку окремої компанії, але й загалом на безпеку держави та громадян.
Технічний прогрес рухається дуже швидко, а кібератаки стають значно дешевшими. Отже, для того щоб якось протистояти зловмисникам, країнам, компаніям потрібно об’єднуватися і прискорювати створення алгоритмів протидії.