Защита персональных данных: европейский подход

Тенденции
Кирилл Кошурин
29.06.2017
Количество просмотров
3859
Во всем мире все более остро встает вопрос о защите персональных данных. В этом нет ничего удивительного, ведь в наш век информационных технологий идентификация человека является ключом к оказанию многих услуг, таких, например, как предоставление кредитов или выплата пособий и налоговых вычетов.

А поскольку все большее количество подобных услуг предоставляется людям удаленно и не подразумевает обязательного личного присутствия, можно с уверенностью сказать, что требования к безопасности персональных данных (ПД) будут становиться все жестче.

В Европе кражи личности чаще всего использовались для выставления ложных счетов и получения государственных пособий.

Сам вопрос о комплексном подходе к безопасности ПД возник в 1964 году, одновременно с термином «кража личности» (Indentity theft), который означает преступление, совершенное с использованием персональных данных человека с целью получения материальной выгоды. Такие преступления были распространены во второй половине XX века в США. Самые частые случаи касались использования медицинских данных для получения рецептурных препаратов обманным путем. В Европе кражи личности чаще всего использовались для выставления ложных счетов и получения государственных пособий.

Для борьбы с мошенничеством такого рода во многих странах на законодательном уровне разрабатываются все новые требования безопасности к компаниям, так или иначе работающим с персональными данными. Этот процесс носит постоянный характер, поскольку информационные технологии развиваются и вместе с ними появляются все новые инструменты, обеспечивающие безопасность информации. Но, с другой стороны, подобное развитие толкает преступников на изобретение все новых методов хищения данных.

Выход нового регламента в Европе 2016 году

В 1995 году на территории Европы была введена директива, обязывающая страны, входящие в состав ЕС, обеспечить защиту персональных данных граждан. Но спустя некоторое время стало ясно, что данный подход несколько неудобен. Дело в том, что директива, в отличие от регламента, не является инструментом прямого воздействия и должна вводиться через национальное законодательство.

В 2012 году было решено создать общий регламент по защите данных на территории ЕС (General Data Protection Regulation – GDPR), который придет на смену директиве 1995 года.

В итоге каждая европейская страна выпустила свои законы о защите персональных данных, которые зачастую не совпадали с законами остальных стран ЕС. Многие международные компании, передающие данные через границы, стали испытывать большие трудности, связанные с соблюдением законов разных стран. Именно поэтому в 2012 году было решено создать общий регламент по защите персональных данных на территории ЕС (General Data Protection Regulation – GDPR), который придет на смену существовавшей прежде директиве.

После нескольких лет переговоров регламент наконец был утвержден 25 мая 2016 года. В течение двух лет, до 25 мая 2018 года, все компании, которые хранят, передают и обрабатывают личные данные европейцев, обязаны обеспечить безопасность таких данных в соответствии с положениями GPDR. Стоит отметить, что это также касается компаний, находящихся за пределами стран ЕС, работающих с ПД граждан европейских стран.

Новый регламент спровоцировал массовый перевод информационных структур европейских предприятий в облака.

По сравнению с действующей директивой в регламент внесено много новых требований, которые в большинстве случаев усложняют жизнь компаниям, работающим с ПД. Одним из таких изменений является, например, обязанность уведомлять специальные органы (Data Protection Authorities – DPA) об утечке персональных данных в течение 72 часов. Также были введены довольно ощутимые штрафы за нарушение данного регламента, которые составляют до 4 % годового оборота компании-нарушителя, или 20 миллионов евро.

Персональные данные переносят в облака

Новый регламент спровоцировал массовый перевод информационных структур европейских предприятий в облака. Чтобы лучше понять причины такой массовой миграции, необходимо знать, что в GPDR все предприятия делятся на две основные роли:

Контролеры данных

– это предприятия, деятельность которых включает в себя сбор персональных данных, их передачу, а также работу с ними. Основные требования к таким компаниям заключаются в соблюдении правил, касающихся согласия граждан на хранение, обработку и передачу их ПД.

Обработчики данных

– это предприятия, которые хранят ПД непосредственно на своих серверах. Такие компании обязаны обеспечить высокий уровень информационной безопасности данных – от ограничения физического доступа к оборудованию до строгих требований к сценариям резервного копирования и настройки брандмауэров. Обеспечение соответствия такой роли – сложный и дорогой процесс. Для многих компаний затраты на соответствие требованиям GDPR в качестве обработчика данных являются очень существенными, и такие вложения вряд ли будут профильными для бизнеса. Именно поэтому все большее число европейских предприятий переводят свои информационные системы в облака. Таким образом IaaS-провайдер берет на себя роль обработчика данных, а компания-заказчик оставляет за собой только роль контролера данных.

Затраты на соответствие требованиям GDPR в качестве обработчика данных являются очень существенными, поэтому все большее количество европейских предприятий переводят свои информационные системы в облака, подтвердившие соответствие GDPR.

Сложнее дело обстоит с гибридным облаком, когда необходимо оставить часть сервисов, например, резервное копирование, на собственных серверах. При таком сценарии сервис-провайдер берет на себя только часть обязательств по защите ПД и заказчик по-прежнему остается обработчиком данных, а значит, в случае возникновения проблем нести ответственность будет именно он. По сути это означает только то, что необходимо выбрать надежного поставщика услуг и тщательно выстроить схему взаимодействия с ним. Но такое решение все равно выгоднее, чем самостоятельное обеспечение полного соответствия требованиям GDPR, хоть и накладывает определенные неудобства на заказчика.

Вместо заключения

В России, как и в остальном мире, наблюдается тенденция перевода информационных структур предприятий в облака. Так или иначе, любая компания при переносе своих сервисов в облако, независимо от причины, должна выбрать надежного поставщика облачных услуг. Критериями такого выбора обычно являются не только хорошая техническая оснащенность поставщика, но также опыт работы и количество успешно реализованных проектов.

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Решения
Хостинг и репликация баз данных Oracle в облако NetApp сервис-провайдера
09.06.2015
Количество просмотров
2865

Хостинг и репликация баз данных Oracle в облако NetApp сервис-провайдера

Решения NetApp для баз данных Oracle давно зарекомендовали себя как надежные инструменты, способные не только сократить затраты на ИТ, но и упростить инфраструктуру и минимизировать проблемы, связанные в том числе с репликацией и резервным копированием данных. В этом посте мы решили «окунуться» в особенности технологий NetApp, с помощью которых организуется резервная площадка для баз данных Oracle.
Решения
vCloud Director: как создать безопасное подключение между двумя организациями
21.03.2017
Количество просмотров
4179

vCloud Director: как создать безопасное подключение между двумя организациями

Истории успеха
Кейс, критичные онлайн-сервисы крупнейшей сети гипермаркетов «Твой Дом» в облаке «ИТ-ГРАД»
03.04.2020
Количество просмотров
5501

Кейс, критичные онлайн-сервисы крупнейшей сети гипермаркетов «Твой Дом» в облаке «ИТ-ГРАД»

Торговый город-спутник, мир красивых вещей, мегаполис творчества, хорошего настроения и особого стиля жизни — все это олицетворяет сеть гипермаркетов «Твой Дом», которая является одним из узнаваемых брендов компании Crocus Group. Сегодня «Твой Дом» представлен пятью гипермаркетами в Москве и области, а также торговым центром в Воронеже. Более 20 лет опыта в ритейле, широкий ассортимент товаров на любой вкус, высокое качество сервиса, а также использование облачных технологий — позволяют компании сохранять лидирующие позиции на рынке.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.