Очікувати від бізнесу належного захисту персональних даних – доволі природньо. Тому витік даних клієнтів призводить до збитків та втрати репутації. Ця проблема очевидна.
Менш очевидним є вирішення. Як налагодити бізнес так, щоб запобігти витоку даних? Треба створити окремий відділ, який займатиметься захистом персональних даних? Чи цим має займатись існуючий ІТ-департамент? А доплачувати за це треба?
Як для уникнення порушень, про які ми писали в публікації ”Як підготуватись до перевірки у сфері захисту персональних даних”, так і для створення реально діючого безпекового механізму, пропонуємо розпочати розбудову стратегії захисту даних з вибору моделі управління захистом персональних даних.
Що таке моделі управління захистом персональних даних та для чого її обирати?
Модель управління захистом персональних даних (“Модель”) – це спосіб організації захисту таких даних, що включає (1) працівників, (2) процеси, та (3) використовувані ресурси.
У науковій літературі можна знайти як альтернативні визначення Моделі, так і дослідження кожного з її окремих аспектів: дослідження інцидентів, які трапляються через людський фактор[1]; методології мінімізації ризику стороннього доступу до даних[2]; верифіковані у навчальних посібниках способи використання конкретного програмного забезпечення[3]. З точки зору бізнесу ж все як правило спирається в одне питання – як організувати захист мінімізуючи витрати, перешкоди для бізнес процесів, та штрафи? Цьому питанню буде присвячена ця публікація, і саме крізь цю призму було сформоване визначення Моделі.
Етап вибору Моделі визначає логіку побудови системи захисту персональних даних, тому є необхідним для послідовної стратегії їх захисту. Модель визначає і фундамент, і напрям подальшого розвитку. Модель має враховувати і управління ризиками, про що ми писали в публікації “Кібератаки за допомогою AI та штрафи за порушення обробки персональних даних: Як підготуватись?”.
Нерозуміння моделі управління захистом персональних даних в організації не є порушенням, але створює суттєвий ризик їх настання. Приміром, навіть за суттєвих витрат на безпекове програмне забезпечення, відсутність зрозумілої зони відповідальності персоналу може призвести до витоку даних.[4]
Моделі управління захистом персональних даних: переваги та недоліки
З точки зору бізнесу, Модель є радше спектром від централізованого (безпекою займається окремо створений відділ) до децентралізованого (усі працівники відповідають за безпеку даних) підходу.
Централізована Модель передбачає створення єдиної команди, відповідальної за захист персональних даних в організації. Якщо створювати спеціальну команду з захисту персональних даних недоцільно з огляду на низьку завантаженість такими питаннями, обов’язки може бути покладено як додаткові, наприклад, на юридичний або IT департамент, якщо його діяльність охоплює всю організацію. Законодавчих вимог щодо доплат за виконання таких обов’язків не встановлено, тож такі доплати залишаються на розсуд організації. У випадку централізованої моделі, одна й та ж команда розробляє загальну стратегію захисту персональних даних, розробляє політики та стандарти, виконує їх та здійснює моніторинг за їх дотриманням, відповідає на запити суб’єктів персональних даних та забезпечує дотримання інших вимог законодавства про захист персональних даних.
Переваги:
- Єдині стандарти. Централізований підхід знижує ризик суперечностей у підходах до захисту даних.
- Акумульований досвід. Централізована команда при вирішенні подібних питань не матиме необхідності вчитися з нуля, а використовуватиме минулі напрацювання.
- Швидша стандартизація. Запровадження нових політик чи виконання вимог проходить через один канал і запроваджується уніфіковано.
Поширені недоліки:
- Поверховість. Централізованій команді може не вистачати глибокого розуміння процесів конкретних підрозділів. Це особливо актуально під час здійснення оцінки законного інтересу під час обробки персональних даних. Наприклад, централізована команда, що спеціалізується суто на законодавстві про захист персональних даних, може не розуміти технічну специфіку роботи вебсайтів та не враховувати збір даних про комп’ютер під час відвідування вебсайту.
- Повільність. Централізована команда опрацьовує задачі зі всієї організації, тож вирішення задачі вимагає більше кроків, оскільки задача повинна пройти шлях до централізованої команди. Крім того, не пріоритетні задачі можуть довго відкладатися через надходження більш пріоритетних задач з інших підрозділів.
- Обмежена гнучкість. Централізована команда зазвичай діє за уніфікованими процедурами, які важко адаптувати до нестандартних або швидкозмінних ситуацій у конкретних підрозділах (наприклад, у проектних командах).
Децентралізована Модель передбачає надання підрозділам в організації повноважень впроваджувати та виконувати політики і стандарти управління даними, встановлені ними, адаптуючи правила та процеси для конкретних потреб в межах своєї роботи. В децентралізованій моделі повноваження в сфері захисту персональних даних можуть покладатися на працівників, які мають основний функціонал не пов’язаний з захистом персональних даних в межах їхніх структурних підрозділів.
Переваги:
- Глибинність. Локальні команди краще розуміють внутрішні процеси свого підрозділу та можуть більш практично розбудувати систему та реалізувати заходи з захисту персональних даних.
- Швидкість. Задачі можуть швидше доходити до локальних команд через фактичну наближеність, локальні команди не будуть відкладати вирішення задачі через надходження пріоритетніших задач з інших підрозділів.
- Гнучкість. Локальні команди краще можуть точково змінювати процеси та засоби, підлаштовуючись до специфіки своїх підрозділів.
Поширені недоліки:
- Неузгодженість. Децентралізована модель несе ризик неузгоджених підходів до захисту даних.
- Подвійна робота. Кожен підрозділ самостійно виробляє рішення, які вже могли бути створені або протестовані в інших, або витрачати час на обмін досвідом вирішення проблем захисту даних між командами.
- Вузькість. Локальні команди структурних підрозділів гірше бачать цілісну картину діяльності організації ніж команди, які забезпечуюіть захист даних у всій організації, тож можуть допускати стратегічні помилки, роблячи кроки, вигідні для їхніх підрозділів, але шкідливі для організації в цілому.
- Нерівномірність навантаження. Можлива ситуація, коли одна команда з захисту даних простоює, а інша команда перевантажена.
- Нерівномірна якість. Підрозділи відрізняються за досвідом, ресурсами й мотивацією, тож реалізація вимог може коливатися від високого до формального рівня.
Для усунення або мінімізації недоліків кожної Моделі, підходи можуть змішуватися в різних співвідношеннях централізованого та децентралізованого підходів в залежності від потреб організації, утворюючи змішану модель, яка на практиці здебільшого й застосовується.
Як обрати модель управління захистом персональних даних?
Кожна організація унікальна та не можна назвати єдину формулу визначення підходящої моделі управління захистом персональних даних, тож в кожному випадку необхідно розбудовувати свою систему захисту персональних даних виходячи зі специфіки роботи, зважаючи на такі особливості як розміри, структура, масштабованість, взаємодія зі споживачами та завантаженість такими питаннями.
Відповідна модель може бути зафіксована в положенні про обробку даних компанії. Необхідності прямо вказати тип моделі управління захистом даних немає, однак логіка побудови захисту персональних даних в організації визначатиметься саме обраною моделлю. В першу чергу це означає визначення відповідальності за встановлення правил захисту персональних даних в організації, а також відповідальності за їхнє виконання, тобто хто та в якій частині відповідає за захист даних в організації.
Розміри та структура
Централізована модель управління захистом персональних даних зазвичай доцільна в невеликих організаціях з невеликою кількістю підрозділів. Децентралізована модель управління захистом персональних даних доцільна в великих організаціях зі складною структурою, оскільки складніша структура ускладнює врахування особливостей локальних процесів та поглиблює недолік повільності збільшуючи кількість кроків необхідних щоб пройти шлях до централізованої команди.
Масштабованість
Якщо наразі організація невелика, централізована Модель може здатися доцільною, однак варто враховувати плани щодо розширення. Якщо планується розбудовувати організацію зі складною структурою, краще може бути одразу розбудовувати захист персональних даних за децентралізованою моделлю, щоб пізніше вдосконалювати, а не перебудовувати систему з нуля.
Взаємодія зі споживачами
Взаємодія зі споживачами вимагає певного рівня централізації. Якщо правила та комунікація щодо обробки даних відрізняються в різних підрозділах, це може створити плутанину для споживачів і призвести до репутаційних втрат. Наприклад, якщо один підрозділ відповідає на запити суб’єктів даних інакше, ніж інший, споживач може вважати, що організація не контролює свої процеси.
Завантаженість
Навіть якщо організація велика та має складну структуру, варто звернути увагу на те, чи багато підрозділів регулярно мають справу з обробкою персональних даних. Якщо навіть у великій організації тільки один або два департаменти постійно мають справу з персональними даними, ефективнішим може бути покласти відповідальність на централізовану команду. Це може дозволити забезпечити єдині стандарти з меншим впливом недоліків централізації, оскільки централізована команда постійно працюватиме в межах цих одного-двох департаментів, тож матиме можливість заглибитися в їхню специфіку роботи.
Крім того, певної централізації вимагає необхідність призначення відповідальної особи з питань захисту персональних даних відповідно до закону у випадку обробки чутливих даних. Якщо структурний підрозділ створюється або особа призначається на виконання вимог закону, такий підрозділ або особа повинні відповідати за всю організацію. Додатково звертаємо увагу, що хоча наразі вимоги до таких осіб законодавством України не вимагаються, євроінтеграційним проєктом Закону України «Про захист персональних даних» № 8153 пропонується встановити вимоги, що така особа повинна мати ступінь вищої освіти не нижче бакалаврського та досвід роботи у сфері захисту персональних даних.[5] Такі вимоги висуваються лише до осіб, які призначені відповідальними за захист персональних даних на виконання вимог законодавства у випадку обробки чутливих даних, тож інші працівники, залучені до захисту персональних даних, не зобов’язані відповідати таким вимогам ані в централізованій, ані в децентралізованій моделях.
Для вибору кращої моделі управління захистом персональних даних та розбудови ефективної системи захисту персональних даних, ми рекомендуємо проводити аудит захисту персональних даних в організації для визначення ризиків, навантаження, впроваджених заходів та структури системи захисту персональних даних в організації та визначення необхідності подальшого впровадження, зміни або удосконалення моделі управління захистом персональних даних.
Автори: Віталій Мельянков, старший юрист ЮФ «Василь Кісіль і Партнери», Владислав Іванов, юрист ЮФ «Василь Кісіль і Партнери».
[1]https://ir.lib.vntu.edu.ua/bitstream/handle/123456789/46187/151-%D0%A2%D0%B5%D0%BA%D1%81%D1%82%20%D1%81%D1%82%D0%B0%D1%82%D1%82%D1%96-217-1-10-20241029.pdf?sequence=1&isAllowed=y
[2] https://duikt.edu.ua/uploads/l_2162_16683938.pdf
[3] https://duikt.edu.ua/ua/lib/1/category/2351/view/2031
[4] https://archive.epic.org/privacy/data-breach/equifax/
[5] Стаття 41 проєкту Закону України «Про захист персональних даних» № 8153 від 25.10.2022
