В недавней заметке " Европейские ценности: Privacy in Working Life " я рассказывал про ограничения использования средств мониторинга для контроля сотрудников в Европе. Недавно нашел еще одно важное требование, на которые стоит ориентироваться при внедрении SIEM, DLP и других средств мониторинга в ЕС.
На днях работал с GDPR, занимался вопросами "Data protection impact assessment" (DPIA, Art.35). В нем есть следующие положения:
1. В тех случаях, когда тип обработки данных, в частности при использовании новых технологий, а также принимая во внимание характер, объем, контекст и цели обработки, вероятнее всего приведет к высокому риску для прав и свобод физических лиц, контролёр должен, до этой обработки, осуществить оценку воздействия предусмотренных операций обработки на защиту персональных данных. Отдельная оценка может быть проведена в отношении ряда аналогичных операций обработки, который представляет подобные высокие риски.
3. Оценка воздействия на защиту данных, предусмотренная параграфом 1, требуется, в том числе, в случае:
(a) системной и масштабной оценки персональных особенностей, касающихся физических лиц, которая основана на автоматизированной обработке, включая составление профиля, и на которых основаны решения, порождающие правовые последствия, связанные с физическим лицом, либо подобным образом значительно влияют на физическое лицо;
(b) масштабной обработки особых категорий данных, предусмотренных Статьей 9 (1), либо персональных данных, связанных с уголовными приговорами и правонарушениями, в соответствии со Статьей 10; или
(c) систематического мониторинга сфер, открытых для всех пользователей в широких масштабах.
Ну, я посмотрел и решил, что наши внутренние процессы обработки ПДн вроде как и не подпадают под необходимость проведения DPIA, но решил чуть углубиться в тему и изучить разъяснения от WP29 " Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ".
В частности, в документе приводятся примеры процессов обработки ПДн, для которых нужно (или не нужно) проводить DPIA. И тут мы видим:
Examples of processing: A company systematically monitoring its employees’ activities, including the monitoring of the employees’ work station, internet activity, etc
Possible Relevant criteria: Systematic monitoring, Data concerning vulnerable data subjects.
DPIA likely to be required? Yes
Т.е. при внедрении, например, SIEM, DLP или других средств мониторинга ИБ в европейских офисах компании нам необходимо проводить оценку воздействия на защиту данных (DPIA), должна содержать как минимум (см.GDPR Art.35.7):
- (a) систематизированное описание предусмотренных операций обработки данных, а также целей обработки, в том числе, когда это применимо, законные права, осуществляемые контролёром;
- (b) оценку необходимости и соразмерности операций обработки по отношению к целям;
- (c) оценку рисков в отношении прав и свобод субъектов данных, предусмотренных параграфом 1; и
- (d) меры, предусмотренные в отношении рисков, в том числе гарантии, меры безопасности, а также механизмы для обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента, принимая во внимание права и законные интересы субъектов данных и иных заинтересованных лиц.
Также стоит помнить, что если такая при оценке у нас выявится "высокий риск в отсутствии мер, принятых контролером для минимизации последствий такого риска", то до начала такой обработки (до начала внедрения средств мониторинга) необходимо проконсультироваться с Надзорным органом (Supervisory authority), предоставив ему результаты DPIA, сведения о целях и способах предполагаемой обработки, сведения о мерах и средствах защиты прав и свобод субъектов данных, реквизиты DPO и любую иную информацию по запросу. Об этом сказано в Art.36.1 и 36.3 GDPR.
Вот как-то так, придется подготовить много аналитики для обоснования возможности использования средства мониторинга...
Кстати, у французского надзорного органа CNIL есть отличные методички для расчета DPIA и, что вообще замечательно, бесплатное ПО - https://www.cnil.fr/en/privacy-impact-assessment-pia
Я как-нибудь напишу про них подробнее...
P.S. При использование систем антифрод и при составлении профилей по информации из соц.сетей тоже необходимо проведение DPIA. Вот соответствующие примеры от WP29:
- An institution creating a national level credit rating or fraud database.
- The gathering of public social media data for generating profiles.
