Загальне
Петренко С. В.
Рівненський державний гуманітарний університет
General Data Protection Regulation (GDPR) та захист даних в LMS Moodle
GDPR (General Data Protection Regulation)
З 25 травня 2018 року набули чинності нові вимоги Європейського парламенту (реглмамент) щодо захисту персональних даних - General Data Protection Regulation (GDPR).
Регламент замінює Директиву про захист даних і містить положення й вимоги щодо опрацювання особистої інформації суб'єктів всередині Європейського Союзу. Бізнес-процеси, які опрацьовують персональні дані, повинні бути одразу побудовані за принципом «приватність за призначенням і за замовчуванням», що означає, що персональні дані необхідно зберігати з використанням псевдонімів чи повної анонімізації та використовувати налаштування найвищого рівня приватності за замовчуванням так, щоб дані не були доступні публічно без очевидної згоди та не могли бути використані для ідентифікації суб'єкта без додаткової інформації, що зберігається окремо. Ніякі особисті дані не можуть бути оброблені, якщо це не має під собою законних підстав, визначених регламентом, або якщо контролер чи оператор даних не отримав явної, очевидної згоди від власника даних. Підприємство повинне давати змогу відкликати такий дозвіл у будь-який час.
Оператор персональних даних має чітко заявити, які дані збирає і як, з якою метою їх опрацьовує, як довго зберігає і чи ділиться ними з будь-якими третіми сторонами. Користувачі мають право затребувати мобільну копію даних, зібраних оператором, у загальноприйнятому форматі, і право на вилучення їхніх даних за певних обставин. Установи повинні повідомляти про будь-яке порушення захисту даних, яке має негативний вплив на конфіденційність користувачів впродовж 72 годин.
На перший погляд, GDPR не має ніякого відношення до України, проте важливою особливістю регламенту є принцип екстериторіальної дії його норм (ст.3 GDPR). Тому компаніям, які обробляють персональні дані резидентів ЄС, незалежно від місцезнаходження таких компаній, варто дотримуватись регламенту. [2]
Зауважимо, що загальний регламент суттєво розширив права резидентів ЄС в сфері контролю за їхніми персональними даними. Нововведеннями є: право запитувати інформацію про місце і мету обробки даних, категорію даних, що обробляються, третіх осіб, яким надаються персональні дані, період обробки персональних даних, джерела отримання персональних даних, а також право на підтвердження факту обробки персональних даних особи.
У GDPR закріплено за суб'єктами даних «право бути забутим» (right to be forgotten) або «право на забуття» (right to be erasure). Це право дублюється з Директиви 95/46/ЕС. Суб’єкти даних мають право на видалення будь-якої інформації про персональні дані особи (в тому числі, будь-яка інформація з результатів пошуку, посилання, повідомлення тощо). Таке право суб’єктів персональних даних кореспондується обов’язком контролера здійснити видалення подібної інформації. Будь-яка компанія, що обробляє персональні дані, зобов’язана видаляти такі дані за запитом суб’єкта таких даних, якщо це не суперечить інтересам суспільства або іншим фундаментальним правам та свободам людини.
Однією з новацій, введених GDPR, є право на переносимість даних (right to data portability). Це право полягає в тому, що компанії зобов’язані надавати на безоплатній основі електронну копію персональних даних іншій компанії на вимогу самого суб’єкта персональних даних.
GDPR встановлює вимоги щодо форми отримання згоди на обробку даних. Згода особи на обробку персональних даних повинна мати вираження у формі ствердження або в формі чітких активних дій користувача. Згода на обробку буде недійсною, якщо у користувача не було вибору або не було можливості відкликати свою згоду без завдання шкоди собі самому. Згода також не може виражатися у вигляді мовчазної дії, так званих, конклюдентних дій. Якщо особа виявила намір відкликати згоду на обробку персональних даних, то в такому випадку інформація про процедуру відкликання має бути розміщена таким чином, щоб користувач зміг її знайти без зайвих зусиль.
Повідомлення про порушення GDPR. У випадку виявлення порушень Регламенту, компанії зобов’язані повідомити контролюючі органи про будь-які порушення, пов’язані з захистом і обробкою персональних даних, впродовж 72 годин після виявлення подібного порушення. Загальноєвропейським контролюючим органом є Європейська рада з захисту даних (European Data Protection Board). Також окремо на рівні держав-членів ЄС діють регулюючі органи, які виступають національними регуляторами в сфері захисту персональних даних [5].
Регламентом передбачено накладення адміністративних штрафів. За «незначні» порушення вимог GDPR штраф може складати до 10 мільйонів євро або 2% від загального світового річного обороту попереднього фінансового року. За більш серйозні порушення (наприклад, за недотримання принципів захисту даних) передбачений більш високий розмір штрафу – до 20 мільйонів євро або 4% від загального світового річного обороту попереднього фінансового року. [1] Штраф накладається на компанію незалежно, розташована вона в ЄС чи ні.
В 2017 році Кабінет Міністрів України прийняв рішення про необхідність адаптування захисту персональних даних в країні відповідно до Регламенту ЄС. Проте якщо в ЄС Регламент був прийнятий у 2016 році та країни мали 2 роки для підготовки до вимог, то в Україні постанову було прийнято в жовтні 2017 року. На даний момент Україна знаходиться в списку країн з низьким рівнем захисту персональних даних, що знижує не тільки привабливість ведення бізнесу та можливу співпрацю з іншими країнами, але й імідж України в цілому [4].
Рекомендації з впровадження GDPR в Moodle
Вся інформація, яка може бути пов'язана з фізичною особою вважається особистими даними. Кожен обліковий запис користувача та всі дії, пов'язані з цим обліковим записом користувача, класифікуються як особиста інформація. Це також поширюється на пов'язану інформацію, таку як лог-файли веб-сервера.
Штаб-квартира Moodle (Moodle HQ) інтенсивно надає допомогу у дотриманні вимог до GDPR, як-то:
звернення до спільноти через форуми та соціальні медіа, щоб оцінити потреби різних організацій щодо того, яким чином вони повинні дотримуватися вимог GDPR;
розробка набору функцій (доступних у Moodle 3.5 і через плагіни і деякі мінімальні зміни в ядрі, для Moodle 3.3 і 3.4), які допоможуть сайтам Moodle задовольнити вимоги відповідності GDPR.
Функції охоплюють наступні галузі:
Включення нових користувачів, у тому числі, перевірка віку та місцеположення для виявлення неповнолітніх, версії політик конфіденційності та відстеження згоди користувачів;
Обробка запитів доступу до даних та запитів на стирання та ведення реєстру даних.
Відтак, доцільно враховувати рекомендації для адміністраторів LMS Moodle, як-то:
Якщо Ваш сайт хоститься на сервері в державі-члені ЄС, то GDPR на Вас не розповсюджується, однак переваги захисту даних, які надає ця норма, є універсальними і ви можете добровільно дотримуватися цього законодавства на користь користувачів вашого сайту.
Користувачі Вашого сайту повинні приймати політику конфіденційності сайту. Адже згідно GDPR користувачі повинні знати про свої права та процеси, за допомогою яких вони можуть реалізувати свої права. Якщо Ви змінюєте політику, то користувачі мають заново її прийняти, щоб вони могли продовжувати користуватися сайтом.
Якщо Ваш сайт використовується неповнолітніми, ви повинні переконатися, що згода отримана від їх законного опікуна. Потрібно мати на увазі, що збір та обробка особистої інформації про неповнолітніх може вплинути на оцінку ризику. Необхідно дотримуватися особливої обережності, щоб належним чином забезпечити цю інформацію та зберегти її якнайшвидше.
Якщо Ви збираєте та зберігаєте дані, які, ймовірно, можуть призвести до високого ризику для прав і свобод користувачів, то необхідно виконати оцінку впливу на захист даних. Наприклад, на високий ризик вказують:
обробка в великих масштабах спеціальних категорій даних, у тому числі
расове чи етнічне походження
політичні погляди
релігійні чи філософські переконання
членство в профспілках
генетичні дані
біометричні дані
дані, що стосуються здоров'я
сексуальна орієнтація
дані, що стосуються статевого життя фізичної особи
кримінальні судимості і т.п.
Якщо Ви не впевнені, чи слід вважати дані, зібрані від ваших користувачів, "високим ризиком", то варто звернутися до законодавства і звернутися за професійною консультацією.
Якщо Ви використовуєте будь-яку зібрану особисту інформацію для цілей маркетингу, необхідно отримати окрему згоду від кожного користувача для використання даних для цієї мети.
Якщо Ви використовуєте будь-яку зібрану особисту інформацію для цілей дослідження, необхідно або отримати конкретну згоду від кожного користувача для використання даних для цієї мети, або повністю анонімізувати дані, перш ніж використовувати їх для дослідження.
Прикладом інструменту, призначеного для анонімізації всіх даних на сайті moodle, є [3]. Якщо Ви передаєте будь-які зібрані дані стороннім сервісам, то Ви несете відповідальність за ці дані. Це включає в себе сайти та служби, які інтегруються з Moodle, такі як: Google Analytics, LTI, Репозиторії (Документи Google, OneDrive і т.д.), Системи аутентифікації і т. п. Проте Ви повинні отримати згоду користувача на передачу цих даних кожній третій стороні. Якщо список послуг третіх сторін змінюється, ви повинні повторно отримати згоду від всіх користувачів сайту для кожного нового сайту/служби третьої сторони. Ви також повинні вжити розумних заходів, аби кожна третя сторона належним чином захистила особисті дані користувачів, включаючи:
Перегляньте політику конфіденційності третьої сторони, щоб переконатися, що вона відповідає вашим власним;
Відстеження та сповіщення користувачів вашого сайту про зміни в політиці конфіденційності третьої сторони;
Визначте механізм обробки запитів на видалення або виправлення особистих даних з кожною третьою стороною, щоб можна було слідувати за цим процесом, коли ви отримаєте один із цих запитів для вашого власного сайту.
Якщо для забезпечення безпеки даних Ви не використовуєте найкращі практики і процедури, то необхідно переглянути свої правила та процедури, аби переконатися, що ви не розміщуєте особистих даних користувачів на сайтах під загрозою.
Кращими практиками і процедурами для забезпечення безпеки даних є:
псевдонімізація та шифрування персональних даних;
здатність забезпечити постійну конфіденційність, цілісність, доступність і стійкість систем обробки та послуг;
можливість своєчасно відновити доступність та доступ до персональних даних у випадку фізичного або технічного інциденту;
процес регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів для забезпечення безпеки обробки.
Визначте політику та процедури для розкриття порушень даних. Ці політики та процедури повинні включати в себе повідомлення Спостережного органу упродовж 72 годин про порушення даних і повідомляти всіх потерпілих користувачів, якщо вони негативно вплинули (розкриті особисті дані).
Особа, яка відповідає за захист даних, повинна володіти знаннями в управлінні ІТ-процесами, безпекою даних (включаючи боротьбу з кібер-атаками) та мати знання з інших важливих питань безперервності бізнесу щодо утримання та обробки особистих та конфіденційних даних. Інформація про цю особу має міститися у політиці конфіденційності Вашого ресурсу.
Ви маєте відпрацювати механізм, з яким користувачі сайту можуть робити запити на стирання, модифікацію, або отримання всіх своїх персональних даних, які містяться на Вашому ресурсі. Для сайту Moodle, який не використовує плагіни GDPR, відповідним механізмом буде адреса електронної пошти, зарезервована для цієї мети, яка контролюється адміністратором вашого сайту Moodle. Після отримання запиту необхідно вжити розумних кроків для забезпечення автентичності запиту та ідентичності користувача, що робить запит. Виправлення особистих даних можна обробити, змінивши дані в Moodle безпосередньо за допомогою облікового запису адміністратора. Стирання персональних даних може бути оброблено або видаленням облікового запису користувача, або редагуванням облікового запису користувача, щоб видалити всю ідентифікаційну інформацію та зробити її неактивною. Записи персональних даних можна отримати з “Адміністрування сайту -> Звіти -> Журнали”, завантаживши всі журнали для одного користувача як файл CSV. Ймовірно, будуть додаткові персональні дані про користувача, що зберігається за межами Moodle, наприклад, журнали доступу до веб-сервера.
Якщо Ваша організація налічує більше 250 співробітників, то вам необхідно вести детальний облік всіх оброблюваних персональних даних.
Політику сайту можна використовувати для збору згоди для цілей дотримання вимог GDPR. Документ щодо політики сайту повинен ретельно переглядатися, щоб переконатися, що він охоплює всю необхідну інформацію.
У Moodle 3.4.2, щоб увімкнути політику сайту, введіть URL-адресу сторінки в URL-адресі "Політика сайту" (sitepolicy) у розділі "Налаштування політики" в адміністративній частині сайту. (У версіях Moodle до 3.4.2 параметр "URL політики сайту" (sitepolicy) можна знайти в розділі "Правила сайту" в адміністративній частині сайту.)
Сторінка політики сайту повинна містити всі наведені нижче відомості. Політика сайту відображатиметься у iframe як частина процесу входу в систему, тому вона не вимагає колонтитулів.
Рекомендується створити файловий ресурс на головній сторінці сайту Moodle і скопіювати URL-адресу цього ресурсу для використання в якості політики сайту. Це означає, що правила користування сайтом завжди доступні для користувачів, і їх можна легко оновлювати в межах Moodle. Зауважимо, що цей метод несумісний з налаштуванням "Примусити користувачів входити в систему (forcelogin)" (також у "Політиках сайту" в адміністрації сайту), оскільки файловий ресурс більше не буде видимим, доки користувач не увійде в сайт.
Політика сайту повинна включати всю наступну інформацію на “простій” мові:
Яка інформація збирається.
Мета всієї обробки, яка повинна бути виконана на даних користувачів. Маркетинг повинен бути зазначений окремо з окремою «згодою».
Ідентифікатор контролера даних та контактна інформація.
Перелік прав.
Період зберігання даних.
Механізм зняття згоди.
Механізм запиту на виправлення або видалення персональних даних.
Механізм запиту запису всіх персональних даних.
Список третіх сторін, з якими дані будуть спільно використовуватися (Це включає в себе такі інтеграції, як LTI, портфелі, плагіат, сховища, аутентифікація тощо), включаючи:
Контактні дані офіцера з захисту даних для кожного з них.
Політику конфіденційності для кожного.
Чи будуть використовуватися особисті дані для будь-якого автоматизованого процесу прийняття рішень, включаючи значення та деталі процесу (наприклад, аналітику).
Плагіни GDPR
Плагін Policies plugin та Data privacy plugin включені в стандартний дистрибутив Moodle 3.5. Встановлення розроблених плагінів саме по собі не буде достатнім для задоволення вимог GDPR. Також потрібна правильна конфігурація та реалізація необхідних процесів і процедур. Важливо зауважити, що задля впевненості у повній відповідності регламенту варто залучати юристів у сфері ІТ.
Policies plugin
Цей інструмент забезпечує новий процес входу користувача, що надає змогу визначати декілька політик (сайт, конфіденційність, треті сторони), відстежувати згоди користувачів і керувати оновленнями та версією політик.
Інструмент політики є частиною набору функцій конфіденційності Moodle, які допомагають сайтам стати сумісними з GDPR.
Можливості плагіну:
Погодження з правилами - дозволено для ролі користувачів, що пройшли аутентифікацію.
Керування політиками - дозволено лише для менеджера за умовчанням.
Перегляд звітів про угоди користувачів - допускається лише роль менеджера за умовчанням.
Надання згоди від імені інших користувачів - допускається лише роль менеджера за умовчанням.
Data privacy plugin
Функція конфіденційності даних забезпечує робочий процес для користувачів, які подають запит на дані (також відомий як запит на доступ до суб'єкта або SAR), а адміністратор сайту або службовець з конфіденційності обробляє ці запити.
Можливості плагіну:
Керувати реєстром даних.
Керувати запитами даних.
Здійснювати запити даних для дітей.
Завантажити експортовані дані для всіх (в 3.5.2).
Завантаження власних експортованих даних (в 3.5.2).
З огляду на проєвропейський вектор розвитку України, швидкої інтеграції всіх сфер в Європейську спільноту, нам потрібно вже сьогодні закладати фундамент задля відповідності європейським нормам безпеки в мережі Інтернет і особливо відповідності світовим стандартам безпеки в освітній сфері. Адже цей, досить невеликий сегмент, в масштабах усіх необхідних змін в країні, на нашу думку, є принципово важливим і основоположним.
Форум обговорення доповіді вилучати не можна - він є невід'ємним елементом регламенту проведення конференції.
Список використаних джерел
Art. 83 GDPR General conditions for imposing administrative fines // [Електронний ресурс]. – Режим доступу : https://gdpr-info.eu/art-83-gdpr/
General Data Protection Regulation // [Електронний ресурс]. – Режим доступу : https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
GitHub repository for Moodle plugin // [Електронний ресурс]. – Режим доступу : https://github.com/moodlehq/moodle-local_anonymise
Євгенія Лугановська. GDPR в Україні: стратегічний план чи необдумане рішення? / Є. Лугановська // [Електронний ресурс]. – Режим доступу : https://delo.ua/business/gdpr-v-ukrajini-strategichnij-plan-chi-neobduman-348025/
Валентин Гвоздій. General Data Protection Regulation / В. Гвоздій // [Електронний ресурс]. – Режим доступу : http://unba.org.ua/publications/3320-general-data-protection-regulation.html