Как защитить личные данные — штрафы уже кусаются

Суммы штрафов за нарушения в области защиты личных данных в Евросоюзе достигают миллионов евро и приводят к ликвидации фирм. Стоит быть внимательным и в Эстонии. Что нужно учитывать, объяснил эксперт.

Период «адаптации» к Общему регламенту защиты персональных данных (GDPR) в ЕС был достаточно длинный, и теперь простых извинений, что этой проблематикой заняться, мол, не успели, уже недостаточно, рассказал эксперт в области защиты данных Андрес Оявер. Злонамеренная деятельность в интернете, а также инциденты с данными, вызванные незнанием или халатностью, по его словам, по-прежнему находятся в растущем тренде.

«Использование личных данных всегда несёт в себе риск — многие нынешние продукты и услуги как в общественном, так и в частном секторах часто связаны с обработкой личных данных, вследствие чего следует учитывать и сопутствующие обязательства. В то же время практика рассмотрения связанных с личными данными дел в Европе показывает, что надзорные учреждения учитывают при наложении санкций усилия организаций по предотвращению нарушений до их совершения и во время их устранения, то есть очень важно правильное отношение к своим обязанностям», — сказал Оявер.

Андрес Оявер. Фото: hedman.legal

 

Одно из самых учащающихся нарушений — это недостаточные технические и организационные меры при обеспечении информационной защиты. 

«Такие недостатки могут проявляться как в виде посягательств со стороны злоумышленников, так и в виде утечек информации со стороны самой организации. Случается, когда учреждение по надзору или сам человек понимают, что получают доступ к информации о личной жизни», — сказал Оявер.

Статистика по связанным с GDPR штрафами в Европе за 2020 год показывает, что недостаточные меры по обеспечению информационной защиты привели к более чем сотне штрафов, из которых десять достигли миллиона евро. Три самых крупных штрафа были близки к отметке в 20 миллионов евро.

«В разы больше, однако, случаев, когда надзорное учреждение делало предписание по прекращению какой-либо деятельности или изменению бизнес-модели, что может иметь даже более серьёзное влияние, чем штраф. В дополнение к этому может случиться, что затронутые происходящим личности предъявляют требование возмещения ущерба», — пояснил Андрес Оявер.

Нарушения, зафиксированные в Эстонии, показывают, что их влияние может быть масштабным. Не так давно Инспекция по защите данных, к примеру, сделала предписание э-аптекам, прикрыв возможность покупки рецептурных лекарств другими личностями.

«Зная личный код человека, можно было увидеть выписанные чужим людям рецепты, а так как узнать личный код — обычно не самая сложная задача, это могло уязвить приватность человека. Поэтому стоит тщательно следить, что позволено делать в инфосистеме, зная личный код», — отметил эксперт в области защиты личных данных.

Увеличились и атаки на инфосистемы, цель которых, к примеру, — шифрование данных и затем требование заплатить за восстановление изначальной ситуации или просто ухудшение работы системы. Бывали и случаи, когда личные данные просто обнародовались.

Что делать, чтобы личные данные были защищены?

Для профилактики нарушений, связанных с защитой личных данных, стоит подходить к проблеме системно и целостно. Андрес Оявер посоветовал расставить приоритеты и понять взаимосвязь процессов.

Во всём мире, по словам Оявера, устанавливают всё более жёсткие требования по защите личных данных — и их применение в международной конкуренции теперь скорее обыденность, чем исключение из правил.

«По этой причине организации рассматривают это всё больше как часть стоимости товаров и услуг, а нарушения в этой области измеряют не только денежным штрафом, но и вместе с тем и как ущерб собственной репутации», — добавил Андрес Оявер.

Большой вызов, считает эксперт, это своеобразная «уборка», то есть стоит вдумчиво просмотреть, что и как было сделано до сих пор: нужно удалить ненужные базы данных, ограничить доступ к ним сообразно необходимости и применить меры безопасности против атак извне.

*Представление о личных данных должно быть точное и понятное

У каждой организации должна быть ясная картина — какие данные для чего используются.

* Продумай, какие данные с какой целью используются

Эксперт рекомендует не начинать сбор данных до тех пор, пока не ясно на 100%, понадобятся ли они. Лишние данные увеличивают в случае инцидента величину нарушения и степень влияния на частную жизнь человека. Хороший метод — составление оценки воздействия личных данных.

* Планируйте принципы защиты данных для ваших продуктов или услуг (privacy by design, или интегрированная защита данных)

Требования, изложенные в оценке воздействия, часто могут быть выполнены при проектировании/дизайне товара или услуги, когда основы защиты личных данных учтены уже на этой стадии. Например, для ряда веб-решений есть смысл использовать аутентификацию личности, при сборе данных — избегать наличия лишних полей для ввода данных и чётко разделять обязательные и добровольные поля.

* Запишите понятным и простым языком, что вы делаете с личной информацией (Privacy Notice, или уведомление о конфиденциальности)

Прозрачность обработки данных не только является юридическим требованием, но и помогает оптимизировать мышление организации. Если вы попытаетесь честно объяснить своему клиенту, что вы делаете с его личной информацией, это может выявить проблемные области, которые необходимо решить.

* Пусть ваши продукты или услуги будут протестированы независимым экспертом с точки зрения конечного пользователя

Таким образом можно получить отчёт о недостатках, несущих риски в плане обеспечения защиты данных, с чёткими инструкциями от эксперта, который, ежедневно занимаясь защитой данных, может выявить важные недостатки и расставить их по степени «проблемности».

* Выполняйте обязательство по уведомлению Инспекции по защите данных, если происходит худшее

Примите во внимание и то, что в случае киберинцидента вам поможет Департамент государственной инфосистемы (RIA). Хороший пример недавнего сотрудничества связан с кибератакой на известного продавца автомобилей.

* Создайте целостное решение по обеспечению информационной безопасности

Информационная безопасность — одна из важнейших составляющих защиты данных. Физические, организационные и инфотехнологические меры безопасности полезны, когда речь идет о защите бизнес-секретов, но они должны быть обязательно применены, когда речь идет об использовании личных данных отдельных личностей. Уровень мер по обеспечению информационной безопасности должен выбираться в соответствии с рисками, связанными с характером имеющихся данных.

Читайте по теме:

Поставил галочку — доступ к личным данным разрешён?

Биометрические данные для идентификации — что нужно знать

Если идея или продукт украдены — что делать

топЭстония