UKRU

Бізнес-публікації

23 серпня

Нова GDPR-реальність


На зміну Data Protection Directive 95/46/EС у 2016 році була прийнята директива General Data Protection Regulation (GDPR). Вона набуде чинності 25 травня 2018 року. Згідно з нею, незалежно від свого місцезнаходження всі компанії, що обробляють персональні дані резидентів і громадян ЄС, мають стати GDPR compliant. Тобто відповідати новим нормам ЄС про зберігання, обробку і передачу персональних даних. Це стосується і українських компаній — як тих, що ведуть діяльність на території ЄС, так і тих, що продають товари та послуги громадянам і резидентам країн ЄС.
Директива DPD морально застаріла. Вона не була розрахована на сучасний рівень розвитку хмарних сервісів, технічні можливості для збирання і передачі даних і підвищені кибер-ризики. І після 4-х років підготовки і дебатів у квітні 2016 року Європарламент прийняв директиву GDPR. Останні зміни до законів ЄС (Сookies Directive, ePrivacy Regulation), а також судові прецеденти (справа Сноудена, справа Шремса) стимулюють людей виявляти все більшу ініціативу в питаннях захисту персональних даних. Людині важливо, де і як зберігається інформація про неї і хто до цього має доступ, наскільки надійні сховища і що робити у разі витоку даних. І основна мета GDPR — забезпечити право людини на приватність і на забуття.

Відповідальність за збереження даних несуть компанії, які їх збирають. Директива GDPR покликана стимулювати кожен суб'єкт (компанію), що обробляє персональні дані, забезпечити їхнє технологічно правильне зберігання і захист.

Основні аспекти, що регулюються GDPR:
• обробка і зберігання даних;
• згода користувача на збирання і обробку даних;
• забезпечення права доступу громадянина до своїх даних;
• право на забуття (фізичне видалення даних з усіх серверів);
• право на перенесення даних (на інші сервери або платформи);
• захист даних і відповідальність за нього.

Для цього компанія повинна розробити модельний пакет документації, що підтверджує алгоритми зберігання і обробки даних, забезпечення використання їх тільки для вузьких цілей, на які спрямована така обробка.

Окрім цього, необхідно впровадити технологічний пул захисту даних і план швидкого реагування (Emergency Plan). Це чіткі заходи технічного характеру, які будуть застосовані при виявленні витоку інформації. Сюди ж відноситься і повідомлення про витік упродовж 72-х годин в органи контролю. Це слугуватиме імунітетом від санкцій відносно втрати даних.

Кожна компанія повинна вирішити, чи будуть ці умови створені власними силами або варто звернутися до аутсорсингових компаній (юридичних і IT). Норма європейська, але й українські компанії мають стати GDPR compliant.

В Україні про відповідність GDPR варто замислитись інтернет-магазинам, що працюють на території Європи і отримують виручку в євро. Якщо компанія не відповідає GDPR, вона не має права працювати на території ЄС і з громадянами ЄС.

Якщо робота припускає взаємодію з контрагентом, то має бути проведений його аудит на відповідність нормам GDPR. І якщо відповідності немає — відмовитись від співпраці з такою компанією. Це працює і навпаки, коли ви виступаєте контрагентом: компанії можуть відмовитись від ваших послуг внаслідок невідповідності GDPR.

Страхування кібер-ризиків дозволить нівелювати можливі втрати компанії при витоку даних. Якщо компанія не готова займатися питаннями безпеки персональних даних, але хоче відповідати нормам GDPR, варто найняти зовнішніх консультантів і/або застрахувати кібер-ризики.

Це дуже вигідно, оскільки у разі витоку всі втрати будуть нівельовані. Кібер-ризики страхують в основному іноземні компанії, що працюють на ринку України, в нас така культура ще не розвинена. В майбутньому з'являться компанії, які візьмуть на себе і всю технічну частину, і всі ризики, пов'язані зі штрафами.

Підтверджуй безпеку, або піди з європейського ринку. На сьогодні GDPR не має суворого регламенту, і тільки після набуття його чинності будуть зрозумілі механізми роботи контролюючих органів. Це призведе до вироблення єдиних підходів до захисту даних і сертифікації компаній на відповідність сучасним вимогам до захисту персональних даних, але не відразу. Найголовніше зараз для всіх компаній, так чи інакше пов'язаних зі збором і зберіганням персональних даних, — підтвердити свою GDPR compliant, щоб мати можливість працювати на території ЄС.

Катерина Олійник, радник АО «Арцінгер»
Віталій Кузнецов, ІТ-директор АО «Арцінгер»

Джерело: http://www.bakertilly.ua