UKRU

Бизнес-публикации

23 августа 2018

Новая GDPR-реальность


На смену Data Protection Directive 95/46/EC в 2016 году была принята директива General Data Protection Regulation (GDPR). Она вступит в силу 25 мая 2018 года. Согласно ей, независимо от своего местонахождения все компании, обрабатывающие персональные данные резидентов и граждан ЕС, должны стать GDPR compliant. То есть соответствовать новым нормам ЕС о хранении, обработке и передаче персональных данных. Это касается и украинских компаний - как тех, которые ведут деятельность на территории ЕС, так и тех, которые продают товары и услуги гражданам и резидентам стран ЕС.
Директива DPD морально устарела. Она не была рассчитана на современный уровень развития облачных сервисов, технические возможности для сбора и передачи данных и повышенные кибер-риски. И после 4-х лет подготовки и дебатов в апреле 2016 года Европарламент принял директиву GDPR. Последние изменения в законы ЕС (маркеры Directive, ePrivacy Regulation), а также судебные прецеденты (дело Сноудена, дело Шремс) стимулируют людей проявлять все большую инициативу в вопросах защиты персональных данных. Человеку важно, где и как хранится информация о нем и кто к этому имеет доступ, насколько надежны хранилища и что делать в случае утечки данных. И основная цель GDPR - обеспечить право человека на приватность и на забвение.

Ответственность за сохранность данных несут компании, которые их собирают. Директива GDPR призвана стимулировать каждый субъект (компанию), обрабатывающую персональные данные, обеспечить их технологически правильное хранение и защиту.

Основные аспекты, которые регулируются GDPR:
• обработка и хранение данных;
• согласие пользователя на сбор и обработку данных;
• обеспечение права доступа гражданина к своим данным;
• право на забвение (физическое удаление данных из всех серверов);
• право на перенос данных (на другие серверы или платформы);
• защита данных и ответственность за нее.

Для этого компания должна разработать модельный пакет документации, подтверждающей алгоритмы хранения и обработки данных, обеспечения использования их только для узких целей, на которые направлена такая обработка.

Кроме этого, необходимо внедрить технологический пул защиты данных и план быстрого реагирования (Emergency Plan). Это четкие меры технического характера, которые будут применены при обнаружении утечки информации. Сюда же относится и сообщение об утечке в течение 72-х часов в контролирующие органы. Это будет служить иммунитетом от санкций в отношении потери данных.

Каждая компания должна решить, будут ли эти условия созданы собственными силами или стоит обратиться к аутсорсинговым компаниям (юридическим и IT). Норма европейская, но и украинские компании должны стать GDPR compliant.

В Украине о соответствии GDPR стоит задуматься интернет-магазинам, работающим на территории Европы и получающим выручку в евро. Если компания не отвечает GDPR, она не имеет права работать на территории ЕС и с гражданами ЕС.

Если работа предполагает взаимодействие с контрагентом, то должен быть проведен его аудит на соответствие нормам GDPR. И если соответствия нет - отказаться от сотрудничества с такой компанией. Это работает и наоборот, когда вы выступаете контрагентом: компании могут отказаться от ваших услуг вследствие несоответствия GDPR.

Страхование кибер-рисков позволит нивелировать возможные потери компании при утечке данных. Если компания не готова заниматься вопросами безопасности персональных данных, но хочет отвечать нормам GDPR, стоит нанять внешних консультантов и/или застраховать кибер-риски.

Это очень выгодно, поскольку в случае утечки все потери будут нивелированы. Кибер-риски страхуют в основном иностранные компании, работающие на рынке Украины, у нас такая культура еще не развита. В будущем появятся компании, которые возьмут на себя и всю техническую часть, и все риски, связанные со штрафами.

Подтверждай безопасность, или уйди с европейского рынка. На сегодня GDPR не имеет строгого регламента, и только после его вступления в силу будут понятны механизмы работы контролирующих органов. Это приведет к выработке единых подходов к защите данных и сертификации компаний на соответствие современным требованиям по защите персональных данных, но не сразу. Самое главное сейчас для всех компаний, так или иначе связанных со сбором и хранением персональных данных, - подтвердить свою GDPR compliant, чтобы иметь возможность работать на территории ЕС.

Екатерина Олейник, советник АО «Арцингер»
Виталий Кузнецов, ІТ-директор АО «Арцингер»

Источник: http://www.bakertilly.ua