23 октября 2018 года представители Facebook официально сообщили, что хакеры получили доступ к персональным данным аккаунтов, в частности, к ФИО, основным электронным адресам, а также последним добавленным номерам мобильных телефонов. Всего месяц назад данная социальная сеть уже сообщала о подобной проблеме. Жертвами очередных кибератак стали около 50 млн. аккаунтов.
Подобные явления - не редкость. Киберпреступники регулярно взламывают социальные сети, популярные мессенджеры, базы данных различных компаний и так далее, а персональная информация клиентов разлетается по мошенникам, которые в лучшем случае просто рассылают спам, в худшем - оформляют финансовые сделки на крупные суммы. Поможет ли Регламент по защите персональных данных (GDPR, General Data Protection Regulation), вступивший в силу 25 мая 2018 года, установить четкий контроль над сбором и обработкой персональных данных?
GDPR в реальной жизни
«Усы, лапы и хвост - вот мои документы!»
В мультфильме «Трое из Простоквашино» почтальон Печкин не хотел отдавать посылку без документов, подтверждающих личность получателя. Если бы действие происходило в наше время, например, во Франции, то согласно новому Регламенту о защите персональных данных почтальон должен был сначала получить разрешение на использование запрашиваемой информации. Однако вряд ли бы он подтвердил сохранность этих данных, если бы просто переписал их на бумажный бланк для сдачи в почтовое отделение. Так для кого разработан Регламент? И как с ним ужиться в реальном мире?
GDPR подразумевает унификацию правил по сбору, обработке и хранению персональной информации для всех компаний, чьими клиентами являются граждане стран Европейского союза, а также те, кто временно пребывает на территории этих стран (в частности, путешественники, выезжающие за границу с туристической целью). Что такое персональные данные? Это любая информация, которая позволяет идентифицировать конкретного человека. Более того к этому определению относятся сведения о физической, физиологической, генетической, умственной, экономической, культурной и социальной идентичности.
Согласно Регламенту субъекты персональных данных получают больше прав. В частности право на доступ к ясной прозрачной информации, зачем той или иной компании нужны персональные данные и как они будут их использовать и хранить. Также они могут требовать внести правки или подать заявку на полное уничтожение личных персональных данных, когда компания закончит выполнять свои обязательства.
Например, гражданин Беларуси, у которого в отеле в Германии запрашивают паспорт для заполнения регистрационной формы, должен дать согласие или несогласие на обработку персональной информации. А сотрудник отеля четко и ясно сообщить, что данные требуются для внесения информации о клиенте в базу конкретной гостиницы для дальнейшего оформления взаиморасчетов при выезде. После того, как все задачи будут выполнены, клиент имеет право требовать удалить информацию о себе.
6 важных пунктов Общего регламента о защите персональных данных (GDPR):
клиент должен понимать, какие от него требуются персональные данные и для чего. Поэтому в интересах компании предоставить максимально доступное объяснение, с которым клиент может ознакомиться и дать/не дать свое разрешение на эти действия;
сбор персональных данных должен быть ограничен конкретными целями, изначально заявленными компанией. Если помимо выполнения первоначальных целей данные будут использованы, например, в рекламных целях, необходимо уведомить об этом пользователя заранее;
исходя из целей компании количество категорий персональных данных должно быть сокращено до необходимого минимума. То есть компания не должна запрашивать у клиента больше данных, чем требуется для выполнения конкретных функций;
так как работа компании завязана (частично или полностью) на обработке персональных данных, то необходимо тщательно следить за точностью этой информации. Пользователь имеет право требовать исправить некорректные данные, что должно быть выполнено незамедлительно;
персональные данные - конфиденциальная информация, поэтому они должны храниться в изначальной форме (то есть с возможностью идентификации клиента) ровно тот срок, который необходим для выполнения конкретной задачи, ради которой эти данные были собраны;
персональные данные должны быть защищены от несанкционированной или незаконной обработки, незапланированного компанией уничтожения и повреждения.
Модернизация по GDPR
Хранение персональных данных под контролем
Требования Регламента во многом касаются технической базы той или иной компании, которые обязаны их соблюдать. В частности, персональные данные клиентов должны храниться таким образом, чтобы их можно было легко перезаписать, предоставить в структурированном виде или удалить, причем безвозвратно. Более того ответственные сотрудники организации должны позаботиться о защите: принять меры по шифрованию данных, а также обеспечению целостности и устойчивости систем обработки - регулярно должны проводиться тестирования для оценки организационных мер и обеспечения безопасности обработки персональных данных.
Сервисная компания Balt Assistance Ltd. в своей работе использует все необходимые меры защиты. Для этого штатные сотрудники IT-департамента разработали собственную информационную систему FREGAT, которая позволяет безопасно собирать данные клиентов и обрабатывать их для урегулирования тех или иных страховых случаев. Также в Balt Assistance Ltd. позаботились и о сохранности персональных данных: 12 мощных серверов с высокой отказоустойчивостью позволяют надежно архивировать информацию. Зачем это нужно? Процесс урегулирования страхового случая не завершается получением клиентом медицинской помощи. Важность сохранения всех данных очень высока: нередко случается, что от медицинских учреждений приходят счета спустя несколько месяцев или даже лет после закрытия дела, и для решения финансовых вопросов необходимо поднимать архивную информацию по тому или иному случаю.
Социальные сети и GDPR
А была ли безопасность?
В первые дни, как только Регламент о защите персональных данных вступил в силу, в компетентные органы поступило множество жалоб от пользователей социальных сетей и мессенджеров, в частности на Facebook, Instagram и WhatsApp. Письма касались нарушений в условиях сбора, обработки и передачи персональных данных. Постепенно все больше пользователей начнут искать личную выгоду в данном Регламенте и некой халатности некоторых компаний. Например, эксперты полагают, что мошенники могут шантажировать те или иные организации вероятностью подачи жалобы на нарушение GDPR. Так как штрафы очень велики - 20 млн евро или 4% от ежегодного оборота компании, то шантажисты будут предлагать незаконную сделку: урегулирование конфликта за относительную небольшую сумму на руки, к примеру, 30 000 евро. Поэтому как покажет себя Регламент в полной силе мы сможем узнать только на практике.
Конечно, ни одна социальная сеть, ни один мессенджер не сможет гарантировать 100%-ую безопасность хранения данных. Однако в нашей деятельности - организации помощи застрахованным туристам - речь идет не только о риске обнародовать мобильный номер или электронную почту клиента. В работе сервисной компании по каждому страховому случаю приходится оперировать теми или иными документами, в частности, копиями паспортов, полиса, фотографиями телесных повреждений и заболеваний, медицинских и иных документов. Это конфиденциальная информация, потеря которой может нанести урон не только застрахованному лицу, но и репутации компании. Поэтому Balt Assistance Ltd. так тщательно готовит к публикации новое приложение GIPPARS, которое будет отвечать всем требованиям GDPR.
Клиент сможет «залить» в личный кабинет GIPPARS копии всех документов еще до начала путешествия. Данные автоматически загружаются в информационную систему FREGAT при регистрации страхового случая, а вся информация надежно хранится на сервере, располагающемся в офисе компании. Специалисты IT-департамента контролируют все процессы, происходящие в данном мобильном приложении (в отличие от популярных мессенджеров, где при сбое связи или передачи данных сотрудники ассистанса не могут своими силами решить проблему). При анализе всех существующих способов связи с ассистансом мобильное приложение GIPPARS является универсальным и максимально надежным для организации медицинской помощи во всех странах мира.