1 63 Table of Contents 65 134

Журнал "Системы Безопасности" № 1‘2020

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 60 G DPR-террористы. Какие ассоциации воз- никают, когда вы в первый раз прогова- риваете про себя это словосочетание? Евро- союз, комплаенс, опасность, фанатизм, а может быть – абсурд, шутка, игра слов. По мнению автора, каждая из этих ассоциаций по-своему верна. Термин "GDPR-террорист" является второй про- изводной от более мягкого "GDPR-активист", вошедшего в обиход граждан Евросоюза (далее – ЕС) после вступления в силу в 2018 г. регламентирующих документов под общим названием General Data Protection Regulation (далее – GDPR). "GDPR-активист" – это термин, обозначающий члена организованной группы лиц, критически настроенной против обработчиков персональ- ных данных, работающих на территории ЕС, действия которых субъективно нарушают, и это подтверждено активистами документально, основные требования GDPR, в том числе права и свободы граждан ЕС – владельцев персональ- ных данных (в терминах GDPR). При этом, до вмешательства активистов, со стороны регуля- торов и правоохранительных органов в отноше- нии нарушителей GDPR не было предпринято должных мер воздействия или юридического преследования. Суждение о нарушении обработчиками GDPR носит сугубо экспертный характер, на первом досудебном этапе оно ничем не подтвержде- но. Однако GDPR-активисты не стесняются февраль – март 2020 www.secuteck.ru Персональные данные в терминах GDPR Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому физическо- му лицу (субъекту данных), по которой прямо или косвенно можно его определить. К такой информации относятся в том числе фамилия, имя, отчество субъекта, данные его фактиче- ского местоположения, онлайн- идентификаторы, технические реквизиты и параметры сессии, один или несколько факторов и параметров, характеризующих генетическую, культурную, рели- гиозную, социальную идентич- ность субъекта данных. При таком подходе даже MAC-адрес сетевого адаптера мобильного устройства и динамический IP- адрес ноутбука могут быть при- знаны персональными данными субъекта G eneral Data Protection Regulation (генеральный регламент по защите персональных данных) – серия директив (регламент (EU) 2016/679, директива (EU) 2016/680), введенных в действие 25 мая 2018 г. на всей территории Евросоюза. Целями GDPR являются: l защита персональных данных граждан ЕС в любом виде и в любом объеме; l защита прав и свобод граждан ЕС в защите их данных; l ограничение перемещения персональных данных в рамках ЕС. После введения в действие GDPR усиливает существующие и вводит новые права для граждан ЕС, а также дает им инструменты контроля над своими личными данными (обрабатываемыми в любом виде), а именно: l легкий доступ к их данным, включая предоставление обработчиками подробной информации о том, как именно и где обрабатываются эти данные; l право на переносимость данных: применение формализованных пра- вил передачи персональных данных граждан ЕС между поставщиками услуг; l право на удаление персональных данных: если гражданин ЕС больше не хочет, чтобы его персональные данные обрабатывались и у обра- ботчика нет законных оснований для хранения и дальнейшей обра- ботки персональных данных гражданина ЕС, то данные должны быть незамедлительно отовсюду удалены; l право знать, если данные гражданина ЕС были несанкционированно скомпрометированы: компаниям и организациям придется незамед- лительно информировать граждан ЕС – владельцев персональных данных в случае нарушения информационной безопасности их дан- ных, по факту инцидента они (обработчики) также обязаны в крат- чайшие сроки уведомить соответствующий орган в ЕС по надзору за защитой персональных данных и выполнению требований GDPR. Кроме того, GDPR предоставляет гражданам ЕС рабочие инструменты для реализации своих прав, упрощая механизмы обращения в надзор- ные органы, например жалобы в электронном виде и пр. Под действия GDPR попадает полностью или частично автоматизиро- ванная обработка физическими или юридическими лицами, государст- венными органами и другими институтами и организациями персональ- ных данных граждан ЕС на территории ЕС и за его пределами. Любая некоммерческая деятельность (в том числе безвозмездное оказание услуг гражданам ЕС), связанная с обработкой персональных данных, также попадает под действие ст. 2 и 3 GDPR, который имеет экстерри- ториальное действие и применяется ко всем компаниям, обрабатываю- щим персональных данные граждан ЕС, независимо от страны нахож- дения такой компании Активисты в эпоху диджитализации Часть 1. GDPR-террористы Этой статьей автор начинает серию публикаций под общим названием "Активисты в эпоху диджитализации. Влияние и последствия для организаций". В них будут изло- жены имевшие место в период 2018–2020 гг. неизвестные факты из мировой и отече- ственной практики, подтверждающие существование организованных групп активных граждан и иллюстрирующие их деятельность в реальном и виртуальном простран- стве, сопряженную с нанесением имиджевого, финансового и иного материального ущерба различных организациям Алексей Плешков Независимый эксперт по информационной безопасности

RkJQdWJsaXNoZXIy Mzk4NzYw