Правила ЕС о передаче данных, направленные на защиту конфиденциальности, предполагают применение новых методов шифрования

Некоторым компаниям, вероятно, придется значительно изменить способы защиты данных, чтобы продолжить работу с европейскими резидентами, в соответствии с проектом руководящих принципов, выпущенным на прошлой неделе Европейским союзом, которые требуют усиленных мер защиты конфиденциальности для информации, передаваемой за пределы блока.

Согласно проекту правил, компании будут вынуждены применять строгие методы шифрования и гарантировать, что личные данные европейцев не могут быть расшифрованы, если они будут перемещать эту информацию в США и другие страны за пределами ЕС.

Эксперты по конфиденциальности полагают, что эти рекомендации, вероятно, будут способствовать использованию новых методов шифрования данных.

Руководящие принципы представляют собой попытку отреагировать на значительную неопределенность, возникшую после июльского постановления верховного суда ЕС, в котором говорилось, что соглашение о защите конфиденциальности между ЕС и США является незаконным. Это соглашение было заключено в 2016 году и позволило осуществлять трансатлантическую коммерческую передачу данных, но суд заявил, что слежка правительства США представляет собой угрозу конфиденциальности, и что европейцы не имеют достаточных возможностей для возмещения ущерба в американской правовой системе.

Суд ЕС также постановил, что компании могут продолжать использовать отдельный, широко используемый международный метод передачи данных, известный как стандартные договорные положения, но только с дополнительными гарантиями, гарантирующими защиту данных от слежки.

Проект руководящих принципов регулирующих органов означает, что «передача данных в третьи страны строго ограничена», — сказал Лукаш Олейник, независимый исследователь и консультант по кибербезопасности из Брюсселя.

Кроме того, Европейская комиссия, исполнительный орган ЕС, на прошлой неделе опубликовала проект пересмотра своих стандартных договорных положений, которые представляют собой предварительно утвержденные контракты, определяющие, как компании могут передавать данные в страны, не входящие в блок. Новые статьи ужесточают требования для компаний, передающих данные деловым партнерам или дочерним компаниям за границу.

Проект руководящих принципов регулирующих органов будет применяться к странам, не входящим в союз из 27 членов, у которых нет так называемого решения о соответствии с блоком. Власти ЕС на данный момент предоставили 12 странам, включая Канаду и Новую Зеландию, заключение о достаточности, считая их законы о конфиденциальности достаточно строгими, чтобы компании могли перемещать туда личные данные европейцев без особых мер предосторожности.

Регулирующие органы перечислили несколько вариантов, которые компании могут использовать для продолжения передачи данных за границу без нарушения Общего регламента ЕС о конфиденциальности данных 2018 года. Руководящие принципы не требуют, чтобы компании применяли определенные меры, но оговаривают, что компании нарушают закон ЕС, когда они передают данные без столь же строгих мер защиты, как их рекомендации. Проект будет открыт для общественного обсуждения до 30 ноября.

Проект стандартных договорных положений Европейской комиссии также включает обновления в ответ на июльское решение суда. Согласно проекту, который будет открыт для комментариев до 10 декабря, фирмы за пределами ЕС должны будут информировать деловых партнеров, если какое-либо государственное учреждение или разведывательный орган подаст юридически обязательный запрос на доступ к данным европейцев. Комиссия предварительно одобряет эти положения о конфиденциальности.

Компаниям необходимо будет оценить, угрожают ли законы других стран конфиденциальности, а это означает, что им потребуется достаточная и точная информация об иностранном законодательстве, — сказал Анри Куяла, глобальный специалист по конфиденциальности в HERE Global BV, компании, предоставляющей услуги цифрового картографирования, контрольный пакет акций которой принадлежит Volkswagen. AG, Audi , BMW AG и Daimler AG . По его словам, оценка может стать более сложной, если в странах, где находятся поставщики компаний, изменятся законы.

По словам Куяла, нормативная поддержка таких методов, как гомоморфное шифрование и многосторонние вычисления, вероятно, расширит использование этих методов. Технология гомоморфного шифрования позволяет выполнять вычисления с зашифрованными данными без их дешифрования. Защита с помощью многосторонних вычислений разделяет данные между компьютерами, поэтому их нельзя использовать для идентификации человека без дополнительной информации.

«Это может существенно повлиять на подход компаний к шифрованию», — сказала Кейтлин Феннесси, директор по исследованиям торговой группы International Association of Privacy Professionals.

По словам Феннесси, для многих компаний соблюдение новых руководящих принципов по передаче данных будет означать, что команды по кибербезопасности и конфиденциальности будут более тесно сотрудничать. Вместе они должны будут разработать технические меры, такие как политика шифрования, сказала она. «Специалистам по конфиденциальности придется работать рука об руку с профессионалами в области безопасности больше, чем когда-либо в прошлом», — сказала она.

По материалам: The Wall Street Journal