Обробка персональних даних: як бізнесу управляти ризиками
19/ 02/ 2025
Автори: Віталій Мельянков, старший юрист ЮФ «Василь Кісіль і Партнери»; Владислав Іванов, юрист ЮФ «Василь Кісіль і Партнери»
Прогноз Google Cloud Security на 2025 передбачає популяризацію використання штучного інтелекту для кібератак [1]. Визнається також зацікавленість цілих держав у збільшенні потенціалу для атак.
Ефективність кібератаки додатково підвищується від отримання персональних даних осіб (підбір пароля стає легшим, наявність доступу до біометричної інформації дає змогу скопіювати зовнішність та голос особи). Через це посилюються вимоги до захисту персональних даних – у Європейському союзі загальна сума штрафів за 2024 рік перевищила 1 мільярд євро [2].
Тому природною є подальша робота парламенту над євроінтеграційним Проектом Закону України «Про захист персональних даних» № 8153 від 25.10.2022 («Законопроект»), який формує додаткові вимоги та підвищує штрафи. Приміром, в розмірі від 3% до 5% загального річного обороту такої юридичної особи але не менше ніж 300 000 гривень за кожне окреме порушення за вимог обробки даних про релігійні переконання [3].
Ми очікуємо як можливе збільшення кількості кібератак, так і посилення державного нагляду у сфері захисту інформації. Нижче про те, як можна підготуватись до такого сценарію. Варто почати з (1) оцінки ризиків, (2) створення механізму запобігання порушенням, а також (3) плану реагування на порушення.
1. Оцінка ризиків.
Визначення і оцінка ризиків є першим кроком в управлінні ними. Законопроект передбачає обов’язковість такої оцінки ще до початку обробки даних [4].
А. Визначення обсягу обробки. Для початку необхідно визначити, які дані та яким чином обробляються. Допоможуть відповіді на наступні питання:
Які персональні дані обробляються?
З якою метою вони обробляються?
Яким чином обробляються?
Хто має доступ до цих даних?
Які заходи забезпечення захисту персональних даних здійснюються?
Б. Окреслення ризиків. Далі необхідно детальніше проаналізувати (1) залучення до обробки третіх осіб, (2) масові та регулярні процеси обробки, (3) випадки обробки чутливих даних [5] та даних вразливих категорій населення, а також (4) встановити, чи можуть рішення, які мають серйозні наслідки (наприклад, відмова в кредиті чи роботі), прийматися програмою автоматично на основі аналізу персональних даних [6]. Приміром, якщо для обробки використовуватиметься стороннє програмне забезпечення із штучним інтелектом, необхідно оцінити, чи не має місце передача даних розробникам без правових підстав. Якщо так – необхідно запобігти порушенню шляхом, наприклад, отримання згоди на передачу даних. Детальніше про заходи запобігання порушенням нижче.
2. Запобігання порушенням.
Кожна обробка даних має унікальні особливості, тож заходи безпеки мають бути застосовані відповідно до потреб. Однак типовими є наступні заходи:
1) Фізична Безпека – контроль доступу до носіїв інформації, приміром:
Охорона та захищеність приміщень (пожежна безпека, фізична охорона, контроль доступу);
Контроль зберігання документів (сейфи, виділені приміщення, резервне копіювання);
Контроль розміщення обладнання (планування що мінімізує несанкціонований доступ до обладнання).
2) Цифрова Безпека – контроль налаштування пристроїв, приміром:
Шифрування даних (128 AES, 256 AES, DES, 3DES, Skipjack);
Резервне копіювання (автоматичне у межах пристрою, збереження копії на інших пристроях);
Контроль доступу (ведення записів про доступ до інформації та її змін; захищена авторизація – двохфакторна автентифікація, RSA ключі);
Налаштування техніки (налаштування фаєрвол та контроль портів, встановлення антивірусів).
3) Організація внутрішніх процесів –захист власних ресурсів власними силами, приміром:
Призначення особи, відповідальної за безпеку даних (таке призначення є обов’язковим у деяких випадках як за законопроектом [7], так і за чинним законодавством [8]);;
Надання працівникам чи підрядникам доступу до інформації лише у межах, необхідних для виконання обов’язків;
Дотримання принципів приватності за проектуванням та приватності за замовченням (як буде роз’яснено нижче).
4) Організація зовнішніх процесів – налагодження взаємодії із іншими та залучення сторонньої допомоги, приміром:
Сертифікація (приміром, ISO/IEC 27001 [9]);
Аудити;
Перевірка підрядників;
Наявність підстав для обробки даних (обробка персональних даних може здійснюватися виключно на підставах, визначених законодавством [10]. Такий підхід є сталим та уніфікованим для більшості країн, і це навряд зміниться найближчим часом).
Галузеві вимоги до фізичної та цифрової безпеки. Для деяких видів діяльності, встановлюються обов’язкові для дотримання безпекові вимоги. Приміром, Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, затверджене постановою правління Національного банку України від 28 вересня 2017 року № 95 вимагає обов’язкового призначення особи, відповідальної за інформаційну безпеку банку (Chief information security officer, CISO) [11], вимоги до шифрування [12].
Принципи. Поряд із формуванням галузевих вимог, популярності набирає і створення загальних принципів. Законопроект очікує дотримання принципів приватності за проектуванням (Privacy by design) та приватності за замовченням (Privacy bydefault) [13].
Приватність за проектуванням. При роботі з персональними даними потрібно з самого початку дбати про їхню безпеку. Це стосується в першу чергу стадії планування.
Приватність за замовчуванням. При роботі з персональними даними їх захист необхідно забезпечувати незалежно від скарг чи звернень конкретної особи. Якщо потенційне порушення зафіксоване, але жодна особа на нього не скаржилась – все одно варто його дослідити.
3. План реагування на порушення захисту даних.
Поради вище дозволять мінімізувати ризики, втім жодна система безпеки не ідеальна. Варто підготувати план реагування на порушення захисту персональних даних. З цією метою допоможе надати відповіді на питання, які можуть стати основою вашого плану реагування на порушення захисту персональних даних:
Які механізми виявлення загроз та витоків даних вже наявні? Чи розуміють працівники, що таке порушення закону про захист даних і які можуть бути наслідки?
Чи є в компанії чіткі правила повідомлення про проблеми з даними та реагування на такі повідомлення?
Радимо оцінку, механізми запобігання порушенням, а також порядок реагування на порушення варто закріплювати у документах – періодичних звітах (фіксування ризиків), положенні про обробку та захист даних (формування обов’язкових правил безпеки та механізму реагування на порушення). В одній з наших наступних публікацій сфокусуємось на проходженні перевірок Уповноваженого Верховної Ради України з прав людини, до яких повинен бути готовий кожен відповідальний бізнес, оскільки вони здійснюються як за скаргами, так і в ході планових перевірок незалежно від наявності порушень.
[1] Cybersecurity Forecast 2025 report: https://cloud.google.com/security/resources/cybersecurity-forecast
[2] GDPR FINES DATABASE від INPLP: https://gdpr-fines.inplp.com
[3] Частина 3 статті 59 Законопроекту: https://itd.rada.gov.ua/billinfo/Bills/Card/40707
[4] Стаття 35 Законопроекту https://itd.rada.gov.ua/billinfo/Bills/Card/40707
[5] Стаття 7 Закону України «Про захист персональних даних» https://zakon.rada.gov.ua/laws/show/2297-17#Text
[6] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 https://ec.europa.eu/newsroom/article29/items/611236
[7] Стаття 41 Законопроекту https://itd.rada.gov.ua/billinfo/Bills/Card/40707
[8] Пункт 5.1. «Порядку повідомлення … », затвердженого Наказ Уповноваженого Верховної Ради України з прав людини08.01.2014 № 1/02-14
[9] ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements https://www.iso.org/standard/27001
[10] Стаття 11 Закону України «Про захист персональних даних» https://zakon.rada.gov.ua/laws/show/2297-17#n102
[11] Пункт 25 Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України
[12] Пункт 46 Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України
[13] Стаття 29 Законопроекту https://itd.rada.gov.ua/billinfo/Bills/Card/40707
