CC BY
75Общие рекомендации к подходу к комплаенс проектам по защите персональных данных
Пыск Дмитрий Андреевич
аспирант, кафедра экономической теории, Белорусский государственных экономический университет, [email protected]
В данной статье рассмотрены основные положения закона о защите персональных данных в Европейском Союзе. Также проанализорованы определения персональных данных, деликатных персональных данных, а также изучена история закона в целом. В статье также рассмотрены стороны, являющиеся участниками закона о защите персональных данных. Автор также рассмотрел случаи, при которых обработка персональных данные в ЕС будет считаться законной. В статье также рассмотрены требования к субъектам, которые контролируют персональные данные. Также даны определения следующих понятий: «проектируемая конфиденциальность», Лицо, ответственное за организацию и защиту обработки персональных данных, утечка данных и другие понятия, относящиейся к закону о защите персональных данных. В статье изучены размеры штрафов, которые могут быть применены к организацяим в Европе, показывающим отсутствие соответствия вышеупомянутому закону. Также в статье изучены подходы различных компаний к приведению организации к соответствию закону. Далее рассмотрены подходы к документации бизнес-процессов и определен один из возможных способов для приведения организации к соответствию закону. В статье раскрыты основные этапы потенцального комплаенс-проекта.
Ключевые слова: Защита персональных данных, субъект данных, проектируемая конфиденциальность, утечка данных, закон о защите персональных данных
Целью данной статьи является рассмотрение влияния закона о защите персональных данных на внутренние бизнес-процессы банка. Также будет изучена структура проекта и его цели.
Закон о защите персональных данных в Европейском союзе вступит в силу 25 мая 2018 года [1]. К этому сроку все организации ЕС, а также вне ЕС, которые обрабатывают персональные данные жителей ЕС, должны привести свои бизнес-процессы в соответствие новому закону.
Если рассмотреть кратко закон о защите персональных данных, то вначале стоит определить его. Закон о защите персональных данных - закон, ограничивающий использование и обработку персональных данных организациями без ведома пользователей. Персональными данными в соответствии с данным законом считаются любые данные о физических лицах (как клиентов, так и сотрудников компании), которые могут идентифицировать их. К ним можно отнести: имя, номер карточки социального страхования, номер паспорта, IP-адрес и др. Персональные данные можно разделить на две категории:
■ общие персональные данные - данные, которые позволяют определить индивидуума (его место работы, уровень дохода, уровень образования, номер телефона, номер паспорта и др) [1].
■ деликатные (sensitive) персональные данные - данные об индивидууме, имеющие отношение к его религиозным, философским, сексуальным предпочтениям, информация о состоянии здоровья и его политические взгляды. Данные о членстве в профсоюзе, генетические и биометрические данные также являются деликатными персональными данными. Иными словами, «деликатные» персональные данные - это информация, которая является основой мировоззрения индивидуума и его социальной позиции [1].
Участниками закона являются:
■ Субъект данных - любое физическое лицо, чьи персональные данные обрабатываются. Для банка это могут быть: клиенты, потенциальные клиенты, посетители, сотрудники [1].
■ Субъект, контролирующий данные - организация, которая определяет цели и средства обработки персональных данных. Например, банк, телекоммуникационная компания, обрабатывающая данные клиентов, называется субъектом, контролирующим данные [1].
■ Субъект, обрабатывающий данные - физическое или юридическое лицо, государственный институт или любая другая организация/госорган, который обрабатывает персональные данные от имени субъекта, контролирующего данные. Например, если у банка есть несколько структурных подразделений, то сам банк будет организацией, обрабатывающей данные от имени данных структурных подразделений [1].
Обработкой персональных данных может считаться любая активность, относящаяся к сбору, записи, хранению, использование, раскрытию, удалению, корректировке.
Закон о защите персональных данных будет действовать во всех странах-участниках ЕС, но стоит отметить, что закон также будет иметь силу вне ЕС в том случае, когда действия по обработке персональных данных имеют цель или включают персональные данные, относящиеся к субъектам данных, находящихся в ЕС [1].
Стоит отметить, что базой для данного закона служило несколько нормативных актов Европейской Комиссии, начиная с 1995 года. Ниже они расположены в хронологическом порядке:
■ Принята директива 95/46/Европейской Комиссии о защите персональных данных;
■ 2012 ЕС предложил сложную реформу защиты персональных данных с целью усиления правил защиты приватности;
■ Началась работа над законом, Европарламент оказал поддержку данной инициативе;
■ Совет ЕС принял закон;
О
3
в
S
9 2
сч cJ
£
Б
а
2 ©
■ Статья 29 (Working Party) представила план имплементации закона [3,6].
Также закон указывает, что персональные разрешено обрабатывать только в том случае, если данные собраны для определенных целей и:
■ Данные ограничены только тем, что необходимо для выполнения бизнес-процесса/операции;
■ Данные являются точными и достоверными;
■ Данные хранятся до тех пор, пока в них имеется необходимость;
■ Данные обрабатываются в защищенной среде [1].
Чтобы данные обрабатывались на законном основании необходимо, чтобы у данной операции была цель и юридическое основание, которыми могут быть исполнение контракта или:
■ Необходимость соответствия определенному закону;
■ Защита основных(жизненных) интересов субъекта данных или любого другого физического лица;
■ Исполнение задачи государственной важности;
■ Законные интересы - данный интерес преследуется субъектом, контролирующим данные, кроме случаев, когда обработка данных для данной цели будет противоречить интересам или фундаментальным правам и свободам субъекта персональных данных, который требует защиты своих персональных данных;
■ Субъект данных дал свое согласие на их обработку (требуется отдельное согласие для каждой цели обработки данных) [1].
Субъект данных имеет следующие права;
■ Право на уведомление об обработке персональных данных;
■ Право на исправление (внесение корректировок) в свои персональные данные;
■ Право на получение своих персональных данных из учреждения, где они обрабатываются;
■ Право на удаление (право быть забытым);
■ Право на ограничение обработки персональных данных для целей прямого маркетинга или профайлинга;
■ Право на ограничение или запрет использования в отношении персональных данных систем автоматического принятия решений (включая профайлинг);
■ Право на выдачу согласия на обработку персональных данных [1,6].
К субъектам, контролирующим персональные данные, предъявляются сле-
дующие требования:
■ Отчетность. Внедрение процедур и политик для гарантии и демонстрации соответствия закону посредством содержания документации, относящейся к закону о персональных данных, в достоверном состоянии;
■ Принцип «проектируемой конфиденциальности» (privacy by design|default) - любые действия, предпринимаемые компанией, которые включают в себя обработку персональных данных, должны выполняться с учетом защиты персональных данных и приватности на каждом этапе данных действий. Также это означает, что как только продукт или услуга была произведена, то наиболее строгие настройки конфиденциальности должны быть применены по умолчанию, без любых запросов от конечного пользователя.
■ Лицо, ответственное за организацию и защиту обработки персональных данных (Data Protection Officer) - человек, занимающий данную позицию будет ключевым контактом для запросов в отношений закона о защите персональных данных от властей, клиентов, работников и других сторон;
■ Утечка данных - требование об уведомлении об утечке персональных данных в соответствующий государственный орган в течение 72 часов после получения информации об этом;
■ Договора об обработке персональных данных. Субъект, контролирующий персональные данные, несет ответственность за обновление договоров на обработку персональных данных третьими сторонами (обрабатывающие персональные данные) [1,6].
Так как требования закона о защите персональных данных к организациям, которые его обязаны исполнять, являются достаточно строгими (штрафы могут достигать от 20 миллионов евро до 5% от оборота всей группы компаний), а срок исполнения достаточно близок, то некоторые крупные организации применяют подход, основанный на рисках [1,5].
Рассматривая текущие мнения и подходы к тому, как организация должна спланировать и структурировать свой подход к соответствию новому закону стоит отметить то, что на данный момент закон еще не вступил в силу, а также то, что почти все организации находят в «горячей» фазе имплементации данного комплаенс-проекта.
На данный момент не существует значительного количества статей по имплементации проектов, связанных с защи-
той персональных данных, так как закон выпущен совсем недавно и методологии разрабатываются зачастую частными фирмами и являются объектом интеллектуальной собственности.
Однако существует несколько мнений по тому, как можно привести организацию к соответствии закону о защите персональных данных. Рассмотрим несколько их них.
Например, компания Cripps (одна из лидирующих юридических фирм в Великобритании) выделяет следующие основные шаги:
1) Документация движения данных по организации;
2) Аудит на соответствие закону о защите персональных данных. Здесь будут рассмотрены причины использования персональных данных в бизнес-процессах, внутренние политики и процедуры, определения статуса организации с точки зрения обработки данных: конро-лирует она обработку персональных данных клиентов/сотрудников/вендоров, выполняемую другими компаниями или делает это сама.
3) Анализ «слабых мест». Разработка отчета и следующих шагов по комплаен-су.
4) Помощь в реализации проекта:
a. Управление изменениями в организации;
b. Рассылка новых соглашений контрагентам (DPA - data processing agreeements);
c. Установка требований организации в области «проектируемой конфиденциальности»;
d. Уведомление клиентов компании о законе и их правах;
e. Изменение политик организации в области работы с персональными данными.
5) Мониторинг комплаенса [9].
Компания PWC имеет следующие основные шаги по соответствию данному закону:
1) Выполнить оценку готовности к закону о защите персональных данных. На данному этапе нужно собрать информацию, чтобы оценить текущее состояние комплаенса и определить ключевые риски;
2) Определить «слабые места», которые необходимо убрать. На данном этапе определяется объем работ, которые необходимо выполнить, чтобы организация стала соответствовать новому закону о защите персональных данных;
3) Определить организационную структуру управления проектом.
4) Реализовать проект. На данном этапе проект по соответствию закону запускается и все «слабые места» в организации необходимо убрать.
5) Выполнять контроль текущей деятельности организации с точки зрения соответствия закону о защите персональных данных. На данном этапе должна быть реализована возможность онлайн-мониторинга комплаенса, а также отчетности соответствующим контролирующим органам [10].
Рассматривая данные подходы стоит отметить, что в целом они являются достаточно похожими и показывают только «верхнеуровневые» шаги по тому, как начать соответствовать закону о защите персональных данных. Без сомнения, при прямой работе с клиентом данные организации сделают все возможное с их стороны, чтобы обеспечить комплаенс.
В целом по мнению автора, первый шаг на долгой дороге к соответствию данному закону начинается с определения и документации бизнес-процессов, которые используют персональные данные. В зависимости от бюджета проекта, размеров и сложности организационной структуры компании, могут применяться 2 вида подходу к идентификации и документации бизнес-процессов: Сверху Вниз и Снизу Вверх [4,7,8].
При использовании подхода сверху вниз вовлекается в процесс идентификации и документации бизнес-процессов ограниченное количество людей, что позволяет не прерывать деятельность компании и не тратить значительное время на согласование встреч с целью документации бизнес-процессов. По сравнению с подходом «Снизу Вверх» данный подход требует меньше ресурсов, так как
■ Документацию бизнес-процессов легче структурировать и проводить.
■ Безусловно, существует риск потери определенных типов данных/элементов или систем, так как процесс документации является не таким детальным.
Из-за простоты подхода «сверху-вниз» сам процесс документации легче распланировать и структурировать, что позволяет создать более реалистичные планы и, в конечном итоге, упрощает процесс выполнения всех работ в срок. Стоит отметить, что данный подход с большей вероятностью подойдет крупным организациям с численностью работников более нескольких тысяч, имеющих филиалы в разных странах и имеющих не унифицированные бизнес-процессы и ИТ-инфраструктуру [4,7,8].
Рассматривая подход «снизу-вверх»,
нужно отметить, что несмотря на все его недостатки: значительные затраты трудовых ресурсов, сложности в планировании и описании бизнес-процессов (из-за значительного количества деталей, которые нужно задокументировать), риски документирования нерелевантной информации, - есть один существенный плюс: из-за скрупулезного подхода к сбору и анализу данных о бизнес-процессах, все системы и элементы данных будут обнаружены и задокументированы [4,7,8].
В целом, наибольшее внимание при документации процессов с соответствии с подходом «сверху вниз» необходимо уделять следующим параметрам (будут описаны только ключевые параметры: на более детальном уровне данная тема будет рассмотрена в следующих статьях):
■ Бизнес-процесс;
■ Место бизнес-процесса в организационной структуре компании;
■ Цель, для которой существует данный бизнес-процесс;
■ Системы, и связанные с ними типы данных, используемые каждой системой;
■ Если данные, используемые в бизнес-процессе, являются персональными, то необходимо определить юридическое обоснование, с какой целью персональные данные используются;
■ Какие правила удаления, обработки и хранения персональных данных; используются в каждой ИТ-системе в данном бизнес-процессе;
■ Отвечают ли системы и бизнес-процессы принципу «проектируемой конфиденциальности»;
■ Если данные передаются третьим лицами для их последующей обработки (включая анализ и хранения, а также удаление), то компании, контролирующей данные, необходимо внести изменения в договора с данными компаниями таким образом, чтобы процесс обработки данных третьими сторонами также отвечал требованиям закона о защите персональных данных.
■ Используется ли профайлинг в данном бизнес-процессе;
■ Также требуется информация о лице либо департаменте, ответственном за бизнес-процесс, а также о системах, обрабатывающих персональные данные [1,4,7,8].
Вторым этапом после сбора данных о процессах является этап генерации отчетов для каждого структурного подразделения в организации. В отчете должны описываться все «слабые места» организации с точки зрения закона о защите
персональных данных на агрегированном уровне. Целью разработки данных отчетов является информирования ответственных лиц (например, руководителей крупных бизнес-подразделений) о типах и видах несоответствий закону. Также отчеты на агрегированном уровне позволят понять менеджменту компании и руководителям департаментов/подразделений, какие денежные и материальные ресурсы им потребуются для устранения несоответствий закону. Как только отчеты будут выпущены и представлены, необходимо определить организационную структуру проекта: кто и за что несет ответственность, а также оценку размеров ресурсов, необходимых для комплаенса.
Стоит отметить, что на этапе генерации отчетов наиболее оптимальным является разработка единого формата отчетности, так как это упростит процедуру презентации отчетов менеджменту различных структурных подразделений и последующее объяснение целей, задач проекта его непосредственным исполнителям.
Рассматривая саму организационную структуру управления проектом внутри крупной организации можно выделить три ее основных вида:
■ Вовлечены только участники комп-лаенс-проекта (возможно привлечение внешних консультантов);
■ Каждый департамент/структурное подразделение получает определенный пул задач, которые они должны выполнить к определенной дате (средства, ресурсы и подходи могут определяться руководством каждого подразделения отдельно);
■ Возможно вовлечение как участников комплаенс-проекта, так и ресурсов из департаментов или структурных подразделений (ресурсы из структурных подразделений отчитываются и подчинены непосредственно проектным менеджерам комплаенс-проекта)
При разработке организационной структуры проекта, необходимо понимать, что чем крупнее организация, где проходит данный проект, тем важнее коммуникация между всеми менеджерами проектов и рядовыми сотрудниками. Необходимо, чтобы каждый участник данного проекта четко понимал как подход к его выполнению, так и то, что делают другие сотрудники в рамках данного проекта. Это является важным требованием, так как все части данного закона связаны между собой и, выполняя одну часть ком-плаенс проекта, может оказаться, что часть выполненной работы может исполь-
© £
Я
3
9 2
сч cJ
£
а
2 ©
зоваться другими направлениями данного проекта.
Далее необходимо определить, как именно будет структурирован подход к комплаенс-проекту.
После генерации отчетов и организационной структуры проекта, по мнению автора, ресурсы должны быть распределены на 7 основных направлений, которые потребуют значительных усилий:
1) Работа с бизнес-процессами. Их необходимо подкорректировать в сторону соответствия законодательству. Разработать понятные и четкие инструкции, как необходимо работать с персональным данным при выполнении рутинных операций всеми сотрудниками компании.
2) Работа с данными. Определение, систематизация и создания ИТ-решения, которое позволит как показать властям, какие данные в каких процессах и с какими целями используются, а также сформировать выгрузки с данными, которые имеет компания на любого работника/ клиента по их первому требованию. Также при работе с данными юридический департамент должен дать юридическое обоснования для обработки персональных данных для каждого процесса и типа данных.
3) Работа с системами: определение строгих политик, которые регламентируют, как логи и история доступа сохраняется в системах, куда системы отправляют персональные данные, как проходит контроль над этим. Как системы хранят данные/как их удаляют, где и с какой целью хранятся резервные копии систем, какие типы данных использует каждая система, кто несет ответственность за функционирование ИТ-системы, обрабатывающей персональные данные.
4) Работа с Третьими лицами (компании, которые получают данные от банка, а также обрабатывают их от имени данной организации). Необходимо определить, кто и как обрабатывает/получает персональные данные от имени банка и насколько эти третьи лица соблюдают данный закон. Также стоит отметить, что задачей организации является рассылка обновленных договоров для третьих лиц.
5) Коммуникация с клиентом и сотрудниками компании. Так как после 25 мая 2018 года у клиентов нужно будет спрашивать расширенное согласие на обработку персональных данных, а также уведомлять об обработке их персональных данных, то необходимо будет разработать решение или бизнес-процесс, при котором нужно будет выполнять вышеуказанное требование. В
данный пункт также входит статья 22 закона о защите персональных данных: автоматическое принятие решений по физическим лицам, включая профай-линг.
6) Реализация закона о защите персональных данных в компании и информирование сотрудников о нем. Необходимо провести тренинги сотрудников, информируя их о вышеуказанном законе, а также создать систему обучения сотрудников, как работать в соответствии с новыми законодательными требованиями в области конфиденциальности.
7) Создание определенных гарантий соответствия закону о защите персональных данных. Необходимо назначить лицо, ответственное за организацию и защиту обработки персональных данных (Data Protection Officer). Также необходимо разработать систему мер и отчетности для случая, если произошла утечка персональных данных (Data Breach). Также необходимо рассмотреть влияние предусмотренных процедур обработки персональных данных на их защиту (Data Protection Impact Assessment). Стоить отметить, что для гарантии соответствия закону о защите персональных данных большое значение будет иметь возможность мониторинга и анализа соответствия организации закону в режиме онлайн. Для таких целей подходят, как специальные системы, которые нацелены только на соответствию закону персональных данных (например, инструмент NNIT Prime 2 [12], так и система документации бизнес-процессов Aris [13] со специальной надстройкой, нацеленной на соответствие нескольким законам (в том числе и о защите персональных данных). Стоит отметить, что данное решение увеличит прозрачность организации для контролирующих органов и повысит доверие к статусу с соответствия как контролирующих органов, так и со стороны сотрудников и клиентов [1,4,7,8].
Таким образом, если агрегировать все вышесказанное, то комплаенс-проект, по мнению автора, будет иметь следующие шаги:
1) Планирование и организация документации бизнес-процессов с точки зрения закона о защите персональных данных (включая подготовку персонала, интервьюируемого при документации бизнес-процессов);
2) Генерация отчетов о текущем статусе соответствия закону и разработка отчета со «слабыми местами»;
3) Определение комплаенс-проекта и его организационной структуры;
4) Реализация проекта по 7 направлениям, рассмотренным выше.
Стоит отметить, что мониторинг входит в этап 4, так как по мнению автора, неспособность обеспечить точную и своевременную отчетность о текущем статусе соответствия закону является уже нарушением самого закона.
Основное отличие подхода автора к подготовке организации к закону о защите персональных данных от других подходов заключается в том, что первым этапом является не просто документация движения данных в организации, но сразу документация процессов с детальным опросом лица, ответственного за бизнес-процесс по каждому из пунктов закона, что впоследствии значительно упрощает как этап генерации отчетов, так и определение слабых мест, а также планирование самого проекта внутри организации.
Также стоит отметить, что автор не считает, что мониторинг нужно выделять в отдельный этап, так как он является неотъемлемой частью требований данного закона.
Следует отметить, что данные 7 направлений полностью покрывают права физических лиц, а также требования закона о защите персональных данных к организации.
Вышеуказанный подход к комплаенс-проекту по защите персональных данных и типы организационных структур управления проектом не являются единственными. Также нужно сказать, что данные рекомендации носят общий характер и для каждой отдельной организации должны применяться корректировки с учетом специфики, размера, типа ИТ-инфраструктуры и уровня развития процессной культуры. Несмотря на обзор закона о защите персональных данных в начале статьи, необходимо понимать, что сам закон намного сложнее и включает в себя значительное количество деталей, которые не были рассмотрены в данной статье, а будут являться предметом изучения автора в следующих статьях.
Литература
1. http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/ ?uri=CELEX:32016R0679&from=EN - закон о защите персональных данных
2. https://www.eugdpr.org/article-summaries.html - Статьи закона
3. https://www.eugdpr.org/gdpr-timeline.html - История закона
4. Рекомендации разработаны на основе внутренних документов danske bank и интервью с менеджерами.
5. https://www.gdpreu.org/compliance/ fines-and-penalties/ - размеры штрафов
6. https://www.infolawgroup.com/ 2016/05/articles/gdpr/gdpr-getting-ready-for-the-new-eu-general-data-protection-regulation/ - история и общие положения
7. https://www.privacytrust.com/gdpr/ how-to-make-the-gdpr-a-success.html -общие советы, как начать дорогу к соответствию закону
8. https://tresorit.com/blog/expert-tips-business-gdpr-ready/ - общие советы, как начать дорогу к соответствию закону
9. https://www.cripps.co.uk/wp-content/uploads/2017/09/GDPR-process-final.pdf - подходо компании Криппс.
10. https://www.pwc.com/us/en/ cybersecurity/general-data-protection-regulation.html - общие советы от PWC
11. https://www2.deloitte.com/nl/nl/ pages/risk/articles/the-gdpr-areas-of-attention-and-practical-guidance.html - общие советы от Deloitte
12. https://www.nnit.com/eugdpr -NNIT prime 1
13. https://www.softwareag.com/ corporate/innovation/gdpr/default.html -ARIS
General recommendation to the
approaches for GDPR compliance projects
Pysk D.A.
Belarusian State University of Economics
In this Article was analyzed main statements of EU GDPR. It was also analyzed definitions of personal data, sensitive personal data, and the history of this law. In this article there was also considered cases, when data processing in EU will be legal. There also analyzed requirements to the data-controllers. Author also gave definitions to the list of notions: privacy by design, data protection officer, data breach and etc. There has also been studied penalties and sanctions for non-compliant EU organizations. The author also studied approaches to the compliance of different organizations. Then it was described approaches to the compliance projects and author defined one of possible ways to make an organization to be compliant to EU GDPR. Author also described main stages of potential compliance project.
Keywords: Data Protection, Data Subject, privacy by design, data Breach, GDPR.
References
1. http://eur-lex.europa.eu/legal-content/EN/TXT/
HTML/?uri=CELEX:32016R0679&from=EN -the law on the protection of personal data
2. https://www.eugdpr.org/article-summaries.html
- Articles of the Law
3. https://www.eugdpr.org/gdpr-timeiine.htmi -
History of the Law
4. Recommendations are based on the internal
documents of danske bank and interviews with managers.
5. https://www.gdpreu.org/compiiance/fines-and-
penaities/ - the amount of fines
6. https://www.infoiawgroup.com/2016/05/articies/
gdpr/gdpr-getting-ready-for-the-new-eu-generai-data-protection-reguiation/ - History and Generai Provisions
7. https://www.privacytrust.com/gdpr/how-to-
make-the-gdpr-a-success.htmi - generai tips on how to start the road to compiiance with the iaw
8. https://tresorit.com/biog/expert-tips-business-
gdpr-ready/ - generai tips on how to start the road to compiiance with the iaw
9. https://www.cripps.co.uk/wp-content/upioads/
2017/09/GDPR-process-finai.pdf is the approach of Cripps.
10. https://www.pwc.com/us/en/cybersecurity/ generai-data-protection-reguiation.htmi -generai tips from PWC
11. https://www2.deioitte.com/ni/ni/pages/risk/ articies/the-gdpr-areas-of-attention-and-practicai-guidance.htmi - generai tips from Deioitte
12. https://www.nnit.com/eugdpr - NNIT prime 1
13. https://www.softwareag.com/corporate/ innovation/gdpr/defauit.htmi - ARIS
О
3
В
s
ff 2
