Защита персональных данных: европейский подход

Во всем мире все более остро встает вопрос о защите персональных данных. В этом нет ничего удивительного, ведь в наш век информационных технологий идентификация человека является ключом к оказанию многих услуг, таких, например, как предоставление кредитов или выплата пособий и налоговых вычетов. А поскольку все большее количество подобных услуг предоставляется людям удаленно и не подразумевает обязательного личного присутствия, можно с уверенностью сказать, что требования к безопасности персональных данных (ПД) будут становиться все жестче.

В Европе кражи личности чаще всего использовались для выставления ложных счетов и получения государственных пособий.

Сам вопрос о комплексном подходе к безопасности ПД возник в 1964 году, одновременно с термином «кража личности» (Indentity theft), который означает преступление, совершенное с использованием персональных данных человека с целью получения материальной выгоды. Такие преступления были распространены во второй половине XX века в США. Самые частые случаи касались использования медицинских данных для получения рецептурных препаратов обманным путем. В Европе кражи личности чаще всего использовались для выставления ложных счетов и получения государственных пособий.

Кражи личности в Европе

Для борьбы с мошенничеством такого рода во многих странах на законодательном уровне разрабатываются все новые требования безопасности к компаниям, так или иначе работающим с персональными данными. Этот процесс носит постоянный характер, поскольку информационные технологии развиваются и вместе с ними появляются все новые инструменты, обеспечивающие безопасность информации. Но, с другой стороны, подобное развитие толкает преступников на изобретение все новых методов хищения данных.

Выход нового регламента в Европе 2016 году

В 1995 году на территории Европы была введена директива, обязывающая страны, входящие в состав ЕС, обеспечить защиту персональных данных граждан. Но спустя некоторое время стало ясно, что данный подход несколько неудобен. Дело в том, что директива, в отличие от регламента, не является инструментом прямого воздействия и должна вводиться через национальное законодательство.

В 2012 году было решено создать общий регламент по защите данных на территории ЕС (General Data Protection Regulation – GDPR), который придет на смену директиве 1995 года.

В итоге каждая европейская страна выпустила свои законы о защите персональных данных, которые зачастую не совпадали с законами остальных стран ЕС. Многие международные компании, передающие данные через границы, стали испытывать большие трудности, связанные с соблюдением законов разных стран. Именно поэтому в 2012 году было решено создать общий регламент по защите персональных данных на территории ЕС (General Data Protection Regulation – GDPR), который придет на смену существовавшей прежде директиве.

General Data Protection Regulation – GDPR

После нескольких лет переговоров регламент наконец был утвержден 25 мая 2016 года. В течение двух лет, до 25 мая 2018 года, все компании, которые хранят, передают и обрабатывают личные данные европейцев, обязаны обеспечить безопасность таких данных в соответствии с положениями GPDR. Стоит отметить, что это также касается компаний, находящихся за пределами стран ЕС, работающих с ПД граждан европейских стран.

Новый регламент спровоцировал массовый перевод информационных структур европейских предприятий в облака.

По сравнению с действующей директивой в регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям, работающим с ПД. Одним из таких изменений является, например, обязанность уведомлять специальные органы (Data Protection Authorities – DPA) об утечке персональных данных в течение 72 часов. Также были введены довольно ощутимые штрафы за нарушение данного регламента, которые составляют до 4 % годового оборота компании-нарушителя, или 20 миллионов евро.

Персональные данные переносят в облака

Germany_Netherlands_Sweden

Новый регламент спровоцировал массовый перевод информационных структур европейских предприятий в облака. Чтобы лучше понять причины такой массовой миграции, необходимо знать, что в GPDR все предприятия делятся на две основные роли:

Контролеры данных – это предприятия, деятельность которых включает в себя сбор персональных данных, их передачу, а также работу с ними. Основные требования к таким компаниям заключаются в соблюдении правил, касающихся согласия граждан на хранение, обработку и передачу их ПД.

Обработчики данных – это предприятия, которые хранят ПД непосредственно на своих серверах. Такие компании обязаны обеспечить высокий уровень информационной безопасности данных – от ограничения физического доступа к оборудованию до строгих требований к сценариям резервного копирования и настройки брандмауэров. Обеспечение соответствия такой роли – сложный и дорогой процесс.

Для многих компаний затраты на соответствие требованиям GDPR в качестве обработчика данных являются очень существенными, и такие вложения вряд ли будут профильными для бизнеса. Именно поэтому все большее число европейских предприятий переводят свои информационные системы в облака. Таким образом IaaS-провайдер берет на себя роль обработчика данных, а компания-заказчик оставляет за собой только роль контролера данных.

Затраты на соответствие требованиям GDPR в качестве обработчика данных являются очень существенными, поэтому все большее количество европейских предприятий переводят свои информационные системы в облака, подтвердившие соответствие GDPR.

Сложнее дело обстоит с гибридным облаком, когда необходимо оставить часть сервисов, например, резервное копирование, на собственных серверах. При таком сценарии сервис-провайдер берет на себя только часть обязательств по защите ПД и заказчик по-прежнему остается обработчиком данных, а значит, в случае возникновения проблем нести ответственность будет именно он. По сути это означает только то, что необходимо выбрать надежного поставщика услуг и тщательно выстроить схему взаимодействия с ним. Но такое решение все равно выгоднее, чем самостоятельное обеспечение полного соответствия требованиям GDPR, хоть и накладывает определенные неудобства на заказчика.

Вместо заключения

В России, как и в остальном мире, наблюдается тенденция перевода информационных структур предприятий в облака. И одной из самых частых причин тому в последнее время становится необходимость соблюдать соответствие информационных структур компаний требованиям ФЗ-152 «О защите персональных данных». Мы подробно раскрывали эту тему в наших предыдущих постах здесь и здесь.

Так или иначе, любая компания при переносе своих сервисов в облако, независимо от причины, должна выбрать надежного поставщика облачных услуг. Критериями такого выбора обычно являются не только хорошая техническая оснащенность поставщика, но также опыт работы и количество успешно реализованных проектов.

Поделиться в социальных сетях

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Оставить комментарий