Блог

Проекты с открытым исходным кодом и GDPR

Персональные данные – это богатство, которое генерируется пользователями и используется организациями.

Широко распространенный закон о защите персональнызх данных – GDPR -  прямо или косвенно затрагивает почти каждый уголок планеты, несмотря на то, что этот Регламент создан для резидентов ЕС.

Целью GDPR является передача прав на неприкосновенность частной жизни и акцентирование ответственности компаний, которые обрабатывают персональные данные.

А что означает GDPR для проектов с открытым исходным кодом?

Если вы используете открытый исходный код в своих проектах, то у вас есть новые обязательства в соответствии с законом.
Теоретически, практика прозрачности и открытого обмена делает принципы открытого кода и правила GDPR близкими друг к другу. GDPR также верит в прозрачность от имени контроллеров и процессоров данных, а также в доступность для субъектов данных. Однако, эти две идеи зачастую переходят в конфронтацию друг к другу, когда мы говорим о приватности «по дизайну». 

Статья 25 GDPR требует, чтобы обработчики данных и контроллеры рассматривали приватность как основную часть проекта, а не что-то, что нужно было бы решить в конце разработки.

Статья 25 законодательства гласит:
«Контролер должен как во время определения средств обработки, так и во время самой обработки принимать соответствующие технические и организационные меры, такие как псевдослучайные меры, которые предназначены для реализации принципов защиты данных...»

Природа проектов с открытым исходным кодом отвергает это. И код, и его уязвимости доступны всему миру. Теоретически, открытый исходный код не имеет большого значения, если он не раскрывает никакой личной идентификационной информации о субъекте данных ЕС.

Основное противоречие между принципами GDPR и проектами с открытым исходным кодом частично связано с проблемой известных уязвимостей, существующих в программах с открытым исходным кодом.
Уязвимости являются «строительными блоками» программного обеспечения, и они могут составлять до 80% базы кода.
Изучение известных уязвимостей – это «изюминка» проектов с открытым исходным кодом. Но… при этом, хакеры ждут своего часа, чтобы увидеть не только какие уязвимости существуют, но и как эксперты намерены их исправлять.

Другими словами, использование открытого исходного кода по желанию и без каких-либо других мер предосторожности является серьезным риском для безопасности, если вы также обрабатываете данные резидентов ЕС.

Беспокойство небезосновательно. Взлом Equifax 2017 года был продуктом хакеров, нацеленных на известную уязвимость в веб-приложении компании, в котором использовалась платформа с открытым исходным кодом Apache Strust 2. Это привело к кошмару GDPR: хакеры украли личную информацию 145,9 миллионов человек.

Как GDPR влияет на обязательства по обеспечению безопасности проекта с открытым исходным кодом


Есть две статьи GDPR, которые конкретно применяются к проектам с открытым исходным кодом:
  • статья 25 (Privacy by Design);
  • статья 32 (безопасность обработки).

GDPR требует приватности посредством дизайна в соответствии со статьей 25, но означает ли это, что об открытом источнике теперь не может быть и речи? Скорее всего, нет, но контроллеры данных и процессоры данных, которые должны соблюдать законодательство, должны теперь быть намного более осторожными в том, как они интегрируют компоненты с открытым исходным кодом в свои продукты.
Чтобы соответствовать требованиям GDPR, вы должны убедиться, что вы не используете открытый исходный код с известными уязвимостями.

Как вы реализуете статью 32? Ответ заключается в надежных системах мониторинга для мониторинга кода и обеспечения «уровня безопасности, соответствующего риску». Вам также нужно будет указать свои обязательства в отношении приватности в своей Политике Приватности.

Для начала вам нужна правовая основа для сбора, хранения, обработки или передачи любых личных данных, даже если они находятся в свободном доступе. Персональные данные - это любые данные субъекта данных ЕС, которые могут идентифицировать человека напрямую или в контексте, или информация, которая может идентифицировать кого-либо косвенно или быть связанной с ним.

Если ваша обычная деятельность связана с какими-либо персональными данными, находящимися под защитой GDPR, вам необходимо будет соблюдать стандарты конфиденциальности, которые теперь применяются к обработчикам данных и контроллерам.
Это включает в себя написание Политики Приватности, которая охватывает ваши действия по сбору и обработке данных.
Если вы управляете сообществом открытого исходного кода, вам нужно убедиться, что вы включаете соответствующие положения в свою Политику Приватности.
На практике это означает:
• Создание правовой основы для обработки информации
• Сбор согласия перед сбором любых данных
• Практика минимизации данных
• Предоставление субъектам данных доступа к их собственным данным
• Безопасное хранение и обработка данных
• Стирание данных с использованием надлежащих процедур
• Публикация полной и актуальной Политики Приватности
Несмотря на то, что концепция открытого исходного кода и GDPR имеют общие цели, GDPR действительно представляет собой проблему для использования открытого исходного кода. Компании, подпадающие под действие GDPR, должны бдительно следить за тем, какой код они используют и как они его используют.
Во многих случаях это означает использование дополнительных инструментов, чтобы убедиться, что код не содержит известных уязвимостей, которые могут создать угрозу безопасности и привести к потере приватности для субъектов данных.
Если вы управляете сообществом открытого исходного кода, у вас также есть обязательства защищать конфиденциальность ваших участников, применяя стандарты GDPR в обработке данных.

Трудно переоценить необходимость соблюдения GDPR. Невыполнение этого требования может привести к серьезным финансовым и имиджевым рискам вашей компании. 

По материалам https://www.privacypolicies.com/

Читайте по теме:
Пользовательское соглашение и сайт, созданный на бесплатном конструкторе
Бабушки тоже должны знать требования GDPR
GDPR и обязательные документы для сайта
Made on
Tilda