Любая компания, деятельность которой связана со сбором, хранением и обработкой персональных данных (ПДн), должна соответствовать требованиям регуляторов. Это необходимо делать как в России, так и Европе, причем во втором случае компания столкнется с более жесткими штрафными санкциями в случае нарушений.
В РФ работа с ПДн должна соответствовать Федеральному закону "О персональных данных" N 152-ФЗ от 27 июля 2006 года, в Европе — GDPR, общему регламенту защиты личной информации пользователей. Под катом — описание процесса проведения аудита на соответствие ФЗ № 152 и GDPR, который выполнила компания ITGLOBAL.COM Security для сервиса аренды микромобильного транспорта Whoosh.
Немного об инфраструктуре компании и организации хранения данных
Инфраструктура компании-клиента Whoosh, собирающая и обрабатывающая ПДн, состоит из облачной шеринговой платформы, к которой подключаются пользовательские и сервисные мобильные приложения, а также IoT модули. Это, можно сказать, “сердце” электросамоката, собирающее и передающее данные о состоянии устройства, его местонахождении, статусе заряда и актуальную информацию о текущей поездке. Не стоит забывать и о поставщиках внешних решений, партнерах, включая сервисы страхования и процессинга, которые также могут обрабатывать ПДн.
У компании есть и внутренние сервисы: почта, 1С и ряд других классических корпоративных сервисов. Каждый из них также работает с персональными данными, поэтому "внутренняя кухня" тоже подлежит оценке регуляторами.
Максимальный объем ПДн попадает в систему при регистрации новых юзеров. Информация о пользователях хранится на серверах той страны, в соответствии с которой работает сервис: так информация о российских пользователях попадает на российские сервера, информация о европейских — консолидированно на серверах Ирландии. После того, как данные зарегистрированы, они могут передаваться на обработку партнерам — например, процессингу или страховым и аналитическим сервисам.
Как проходил аудит инфраструктуры
Прежде, чем начинать работу в новой стране, лучше привести инфраструктуру и бизнес-процессы в соответствие местному локальному законодательству при помощи экспертов в данной области. Они выявят недостатки, которые можно оперативно исправить. При запуске сервиса шеринга электросамокатов проводилась оценка соответствия Федеральному закону "О персональных данных" N 152-ФЗ от 27 июля 2006 года.
Основные пункты аудита на соответствие ФЗ:
1. Выделение ИСПДн
2. Определение требований к ИСПДн
3. Проверка текущего состояния инфраструктуры и процессов.
4. Разработка рекомендаций по устранению несоответствий.
5. Консалтинг по требованиям и взаимодействию с регулятором.
Затем проводился аудит на соответствие европейским нормативам. Речь о GDPR, Общем регламенте защиты данных. Он позволяет руководящим органам Европейского союза установить единые требования по защите персональных данных. Они имеют отношение и к экспорту данных из ЕС. По словам авторов GDPR, цель документа — дать гражданам ЕС контроль над собственными персональными данными.
Сервис Whoosh начинает работу на европейском рынке в 2022 году, так что аудит был необходим. Основные пункты аудита на соответствие GDPR:
1. Оценка применимости требований GDPR и локального законодательства.
2. Анализ текущего состояния инфраструктуры и процессов.
3. Составление рекомендаций по внедрению регламента с учетом планов бизнеса по развитию.
4. Консалтинг по процессам внедрения.
Что касается европейского законодательства, то исходя из практики, необходимый этап — детальный анализ по поиску несоответствий, в ходе которого аудитор оценивает информационную безопасность бизнес-процессов компании и разрабатывает рекомендации для приведения в соответствие, в случае найденных нарушений. Кроме того, он изучает и то, как компания собирает, хранит и обрабатывает персональные данные клиентов. Ну и заключительный этап — аудит на соответствие GDPR и локальному закону страны, в которой компания собирается начать работу. Для Whoosh такими странами стали Португалия, Венгрия, Польша и еще несколько государств.
В целом процесс можно показать так:
Результат приведения в соответствие
Эксперты провели детальный аудит как регламентирующих документов по обработке и защите информации, так и ИТ-инфраструктуры, состоящей из облачных корпоративных сервисов и не только (электронная почта, хранилище данных, внутренние системы по управлению самокатами и IoT-устройствами и другие). Соответственно, сервис получил объективную оценку соответствия своих бизнес-процессов, задействованных в обработке персональных данных, GDPR и законодательству отдельно выбранной страны-участницы Европейского союза. Результат подан в виде отчета с такими пунктами:
Выстраивание схем потоков данных.
Анализ по каждому пункту регламента и законодательству отдельно выбранной страны.
Рекомендации по устранению несоответствий.
В документе подробно описаны действия, которые необходимо выполнить компании Whoosh для того, чтобы устранить выявленные несоответствия. Большинство замечаний касались разделов, связанных с регламентом обработки ПДн и совсем немного - технической составляющей.
Также разработаны и внедрены внутренние нормативные и организационно-распорядительные документы по порядку обработки и защиты персональных данных, которых не хватало в компании.
Руководитель компании-аудитора Александр Зубриков: “Whoosh привела свои бизнес-процессы и инфраструктуру в соответствие как по ФЗ-152 так и по GDPR (согласно локальному законодательству страны Европейского союза, в которой планируется начать работу), до начала реальной обработки персональных данных. Соответственно, удалось минимизировать риск утечки персональных данных и возможное нарушение прав граждан России и Европейского союза”.
Что делать компании, которая только начинает работать в РФ и/или Европе
Стоит напомнить, что советы и материалы статьи имеют отношение только к компаниям, которые работают с персональными данными клиентов. Лучше всего начать с разведки — почитать закон, обратиться к специалистам, оценить существующие требования. Есть два основных варианта решения задачи хранения данных:
Привлечь в команду эксперта, который разбирается в регламентировании хранения и обработки персональных данных пользователей в России и/или Европе.
Обратиться к консультанту на стороне.
Требования законов и регламентов не самые простые. Выполнить их можно, но если компания хорошо осознает, что и в какой очередности необходимо делать, работа будет проведена гораздо быстрее и эффективнее. В целом, на это нужно время, но такая задача под силу любому бизнесу.
Что касается зарубежного рынка, то алгоритм подготовки к работе в другой стране примерно такой же, как описано выше. Правда, стоит помнить, что за нарушение GDPR грозят поистине "драконовские" штрафы, так что выполнять требования Регламента ЕС нужно очень тщательно. Максимально возможный размер штрафов, которые предусмотрены законодательством, достигает 20 млн евро или 4% годового оборота компании – в зависимости от того, какая сумма больше.
“Требования российского 152-ФЗ ориентированы в большей степени на юридическую и организационную часть обработки данных. Требования к технической части представлены в приказе ФСТЭКа РФ №21. В России они должны быть выполнены в зависимости от того, с какими категориями данных работает организация. GDPR, а именно ст. 25 (1) GDPR, в этом отношении предъявляет меньше конкретики к применению технических систем, но подразумевает разумный подход в соответствии с текущим уровнем научно-технического прогресса, затратами на внедрение, рисками при обработке ПД, а также характером, масштабом, контекстом и целью обработки. То есть, организация самостоятельно определяет для себя, какие меры защиты внедрять (за исключением требований к шифрованию, восстановлению и регулярным проверкам). Но и ответственность при таком подходе бОльшая, чем при выполнении чек-листа по требованиях регуляторов в РФ” – комментирует Анастасия Гайнетдинова, аудитор информационной безопасности ITGLOBAL.COM Security.
Риск попасть под проверку, как в РФ, так и ЕС, не очень большой, но он всегда есть. Вряд ли регулятор по собственной инициативе придет проводить ревизию, хотя не исключено и такое. Во многих случаях проверки начинаются после жалобы пользователей. Например, нет возможности удалить свои данные из системы - найдутся пользователи, которых это не устраивает. Они могут обратиться в РКН в РФ или к DPO компании в ЕС, после чего шанс попасть под проверку увеличивается в разы.
Обязательно нужно разделить данные отечественных и зарубежных пользователей, поскольку требования к работе с ними в ЕС и РФ разные. В случае несоблюдения этих требований компании, допустившей нарушение, грозят штрафы, из-за чего "провинившаяся" организация будет терпеть убытки.
В целом, и российские, и зарубежные законы направлены на противодействие утечкам данных и/или их неправомерного использования. Важный момент - как в ФЗ-152, так и в GDPR предусмотрена уголовная ответственность за значительные нарушения закона.
Виды деятельности и ответственность компаний
Требования регуляторов разные для разных категорий данных. Основное требование здесь — собирать не все подряд данные, а исходить из принципа минимально необходимой информации. То есть работать лишь с теми персональными данными, которые реально нужны компании.
В качестве вывода стоит сказать, что надеяться, что регуляторы не обратят внимания на компанию, не приходится. Лучше подготовиться, чтобы потом не было мучительно больно. Да, придется потратить ресурсы, включая время и деньги, но это того стоит. Если попасть под проверку, не будучи к этому готовым, компания может быть наказана регулятором очень серьезно.