Генеральный регламент защиты данных (GDPR), который вступит в силу 25 мая 2018, подготовлен с целью повлиять на все государства – члены Европейского Союза, а также на страны, которые обрабатывают данные граждан ЕС.
Однако, проведённое всего год назад исследование МЦД даёт основания считать, что более четверти (26%) участников рынка чувствуют, что их бизнес не подготовлен для перехода на условия GDPR.
Что могут сделать компании для обеспечения своего соответствия? Вот 10 простых мер, которые может предпринять организация.
1. Продолжайте планировать переход на новый регламент
В прошлом году Стив Вуд, глава международной стратегии и разведки Управления комиссара по информации (ICO), успокоил озабоченность по поводу Брексита, заявив, что после «ввода в действие в странах ЕС, генеральный регламент будет действовать в отношении многих организаций в Великобритании».
Это означает, что пока Британия готовится к своему выходу из ЕС, многие её коммерческие структуры и организации по-прежнему будут подпадать под действие GDPR (да, и в конце концов, британские компании по-прежнему будут обрабатывать поступающие их ЕС данные).
2. Повышать знания
Важно обеспечить, чтобы все ключевые фигуры, принимающие решения внутри вашей организации, знали о последствиях регламента и как он влияет на их повседневные действия.
Согласно проведенному в 2017 году компанией Gigamon Обзору кибер готовности Великобритании, только 41% ИТ-специалистов сказали, что они «полностью в курсе дел» последствий GDPR, а 9% ответили, что они вообще не имеют об этом понятия.
Цифры свидетельствуют, что необходимо проделать определённую работу, чтобы обеспечить, что все организации следуют в фарватере новых предложений.
3. Установите, как ваша организации обращается с данными
Согласно действующей Директиве ЕС о защите данных, за соответствие условиям защиты данных отвечают только операторы персональных данных.
Но как следует из объяснений ICO, GDPR налагает также прямые законодательные обязанности на тех, кто обрабатывает данные.
Важно установить, является ли ваша организация оператором персональных данных или обработчиком персональных данных.
Поэтому важно установить, является ли ваша организация лицом, работающим с персональными данными (оператором), или обрабатывает данные, хотя возможно совмещение этих ролей.
Один из лучших способов подготовиться для GDPR – это провести аудит ваших нынешних методов, означающий, что доскональное понимание того, как ваша организация обращается с персональными данными, является задачей первостепенной важности.
4. Изучите все грани обработки данных в вашей организации
Важно установить, где хранятся персональные данные до того, как оценивать безопасность такого места, кто отвечает за управление такими данными, и находятся ли они в общем пользовании.
Крайне важно вовлечь в данный процесс отдел ИТ – это даст вам лучшее представление о текущих возможностях вашей организации.
5. Изучите предыдущие случаи утечки даных
Изучение любых прежних нарушений для вашей системы даст вам более чёткое представление о возможностях реагирования организации на будущие атаки, и предложить лучшую картинку того, способны ли действующие процедуры соответствовать будущим требованиям.
Об утечке данных необходимо докладывать в течение 72 часов с момента обнаружения.
Одна из нестандартных мер, которые предполагается ввести по регламенту GDPR, это то, что об утечках данных необходимо доложить в течение 72 часов с обнаружения, сопроводив детальной информацией относительно характера и серьёзности атаки.
Угроза внушительных штрафов в отношении любой организации, которая не будет соответствовать требованиям, является серьёзным стимулом организациям, чтобы навести у себя порядок.
6. Назначьте инспектора по защите персональных данных
Согласно IAPP, инспектор будет значимым лицом для официальных органов или других организаций, занятых регулярным мониторингом проблематики персональных данных в широком масштабе.
Инспектор действует самостоятельно и отчитывается на высшем уровне управления внутри самой организации.
Их главная задача – досконально понимать регламент защиты данных и внедрять требования, необходимые для получения согласия.
7.Будьте в курсе правил, регулирующих права лиц
Одно из основных ключевых положений регламента – это укрепление прав лиц, включая право на забвение и переносимость данных, что означает – от вас могут потребовать предоставить лицу такие данные, которые могут попасть конкуренту.
От коммерческих структур требуется содействовать реализации этих прав, в этих целях важно обеспечить соответствующие процедуры.
8. Ознакомиться с положениями относительно согласия
Регламент по защите данных направлен на получение большей ясности в вопросах согласия. Новые меры потребуют от компаний получать недвусмысленное заявление или «чёткое подтверждение», когда дело касается обработки данных.
Компании подвергнутся новым мерам, ограничивающим способность детей давать своё согласие на обработку персональных данных без родительского согласия.
Одно из основных ключевых положений регламента – это укрепление прав лиц.
Поэтому стоит изучить, какая практика уже принята, когда речь заходит о том, чтобы объяснить субъектам данных, как будет использоваться и обрабатываться их информация.
9. Определите свой главный контролирующий орган
Многие организации, подпадающие под регламент защиты данных, будут работать на международном уровне, и, следовательно, могут стать объектом других директив, которые будут выше регламента GDPR.
Бывает трудно вычислить, какой контролирующий орган защиты данных является главенствующим, когда расследуется жалоба, но согласно Статьи 56 регламента защиты данных, он определяется по месту нахождения главенствующего ведомства организации в ЕС.
Это может представлять определённые сложности для компаний, работающих в многочисленных местах, поэтому в случае сомнений, следует установить, где принимаются важные решения относительно обработки данных, т.к. это, вероятно, ваш главный контролирующий орган.
10. Выделяйте больше ресурсов
Все эти соображения могут стать причиной большого давления на инфраструктуру организации, поэтому необходимо, чтобы компании выделяли добавочные ресурсы, с помощью которых они бы соответствовали налагаемым требованиям.
Недавний номер технической документации WLS предупреждает, что без планирования наперёд, что коммерческие структуры могут «встать перед фактом, что им необходимо внедрять новые требования в ситуации, когда они не зарезервировали достаточные ресурсы для достижения соответствия».
Так что, выделение ресурсов в самом начале процесса – это прекрасный способ облегчить любое потенциальное давление в дальнейшем.
Для получения более подробной информации по Генеральному регламенту защиты данных, ESET создал страницу, специально посвященную данной проблематике, чтобы помочь вам убедиться в том, что вы будете вовремя и полностью готовы.
Источник: WeLiveSecurity
