Он уже на подходе, так каковы юридические последствия нового законодательного акта для предприятий.
Существует определенное сходство между трилогией Дж. Р. Толкина «Властелин колец» и «Общим регламентом по защите данных» (GDPR), вступающим в силу завтра, 25 мая 2018 г. Как бы странно это ни звучало, но этот регламент устанавливает стандарты одинаковые для всех подданных Кольца Всевластья – GDPR призван править миром защиты данных таким же точно образом, как Кольцо Всевластья правило остальными Кольцами власти.
В реальной жизни это может быть напрямую связано с объединением различных уровней законодательства о защите данных в каждой из стран Европейского союза (ЕС). Только в этом случае Кольцо Всевластья заменяется единым набором правил защиты данных на всей территории ЕС. Таким образом, регламент стремиться защитить любую информацию, относящуюся к «идентифицированному или идентифицируемому лицу», касаясь также и вопроса экспорта персональных данных за пределы Европы.
Чтобы прояснить основные моменты, которые привносятся этим регламентом в деловую жизнь, сайт WeLiveSecurity побеседовал с Томашем Мичо, специалистом по защите данных компании ESET, который, в частности, отметил: «У нас в Словакии, где базируется компания ESET, специализирующаяся на кибербезопасности, уже имеется законная возможность назначать должностных лиц по защите данных, поэтому на предприятиях в странах с аналогичными требованиями законодательства применение GDPR не должно встретить каких-либо существенных трудностей».
По словам Мичо, предприятия уже затратили немало времени и усилий на выявление всех процессов и рассмотрение всех соглашений, в соответствии с рекомендациями специалистов по защите данных. «Более того, – пояснил Мичо, – поскольку GDPR имеет так называемый эффект «отдаленного действия», предприятиям необходимо применять одни и те же принципы ко всем своим соглашениям, в том числе со сторонними процессорами и субподрядчиками».
Основной целью нового регламента является минимизация необязательного сбора персональных данных, в том числе действия, препятствующие хранению данных, хранить которые необязательно, а также обеспечение безопасности всех перемещений персональных данных внутри компании. Однако самые большие проблемы для предприятий представляют требования к обеспечению «проектируемой конфиденциальности» (Privacy by Design), «конфиденциальности по умолчанию» (Privacy by Default), «права на стирание» (Right to Erasure), «права на забвение» (Right to be Forgotten) и «уведомления о нарушении безопасности данных» (Breach Notification).
С полным на то основанием компании всего мира, специализирующиеся на компьютерной безопасности, используют эту возможность, предлагая решения для смягчения основных рисков, связанных с этим регламентом – предлагая для продажи средства криптографической защиты, двухфакторной аутентификации и другие решения, закрывающие любые лазейки для киберпреступников, стремящихся получить доступ к персональным данным, которые должны защищаться в соответствии с GDPR.
И это не все. Хотя предприятия успешно применяют решения в области кибербезопасности, гарантирующие, что внутри компании персональные данные правильно обрабатываются и защищаются, есть и другие юридические требования, которые необходимо выполнять. Одно из них – предлагать клиентам простое для понимания объяснение процесса обработки данных, чтобы те имели прозрачную информацию о своих правах, вытекающих из этого нового регламента.
«Предприятия должны убедиться, что у них есть согласие, контракт или иные правовые основания для обработки всех персональных данных, защищаемых регламентом, в отношении всех их конечных пользователей. Это может привести предприятия среднего размера к необходимости тратить массу времени на то, чтобы снова связаться со всеми ними, если их правовые основания не соответствуют GDPR (в том числе с конечными пользователями, полученными предприятиями через третьих лиц или субподрядчиков)», – добавил Мичо.
Кроме того, у каждого человека также есть право запросить подробный список всех своих персональных данных, которые обрабатываются, и запросить их у любого поставщика, который работает с персональными данными клиентов, находящихся в ЕС, даже если компания физически в ЕС не находится. Это особенно сложно для всех предприятий, занимающихся электронной коммерцией, и предприятий, работающих с облачными сервисами. Именно по этой причине большинство новостных рассылок за последнюю пару недель начинаются словами: «Мы обновили нашу политику конфиденциальности».
При этом чтобы соответствовать требованиям GDPR, предприятия должны иметь в наличии информацию о конкретном человеке в любое время и обеспечивать ее криптографическую защиту. «Таким образом, – подчеркнул Мичо, – персональные данные, даже если система безопасности компании имеет брешь или взломана, остаются под защитой». Вероятно, самое серьезное требование – обеспечить «уведомления о нарушении безопасности данных» (Breach Notification), –которое обязывает предприятия иметь процедуры, обеспечивающие передачу информации о нарушении безопасности данных соответствующим органам по защите данных в течение 72 часов после его обнаружения.
Как бы то ни было, штрафы за несоблюдение регламента довольно болезненные – от 2до 4% годового оборота компании по всему миру; к таким расходам ни одна компания не может себе позволить относиться легкомысленно. Впрочем, недавний опрос компании IDC показывает, что при несоблюдении регламента «более вероятно, что регулирующие органы будут больше интересоваться прогрессом в достижении цели, чем стремиться наказать тех, кто еще не успел завершить процесс обеспечения соответствия GDPR».
Со временем мы увидим, станут ли эти знаменитые «правила одни для всех» одними для всех и обязательными для всех, как это задумано законодателями, или все мы встретимся в землях Мордора нереализованного GDPR.
Для получения дополнительной информации о GDPR компания ESET создала специальную страницу, чтобы у вас была вся информация, необходимая для того, чтобы разобраться в нем. Если вы хотите читать больше статей, похожих на эту, следите за сайтом WeLiveSecurity.
