Новое европейское регулирование в области защиты личных данных
23.01.2018
В соответствии с постановлением Европейской комиссии о защите данных (GDPR), которое вступит в силу 25 мая 2018 года, любая организация, содержащая личные данные граждан Европейского Союза (ЕС), независимо от их собственного местонахождения, будет обязана нести ответственность за их сохранность.
Несоблюдение данного постановления потенциально может обойтись компаниям четырьмя процентами годового оборота или 20 млн. евро.
Постановление касается организаций, которые собирают или обрабатывают личные данные жителей ЕС, независимо от того, находятся ли эти компании в Европейском Союзе или за его пределами. Т.е. любая компания, которая ведет бизнес с гражданином Европейского Союза, скоро подпадет под общее регулирование защиты данных (GDPR).
Предметом заботы постановления являются персональные данные - это любая информация, относящаяся к человеку, независимо от того, связана ли она с его личной, профессиональной или публичной жизнью. Это может быть имя, домашний адрес, фотография, адрес электронной почты, банковские данные, сообщения на сайтах социальных сетей, медицинская информация или IP-адрес компьютера.
Исторически сложилось так, что множество компаний собирают огромное количество данных о пользователях и не слишком заботятся об их сохранности. Годы ненадлежащего использования показали, как мало усилий прилагали организации к пониманию, где хранятся, как используются и вообще какие данные существуют. Иногда это происходило в конкурентных целях, иногда злонамеренно, а иногда из неопределенного желания просто иметь эти данные на всякий случай. Именно в связи с таким положением дел Европейский союз занялся разработкой GDPR.
Ключевыми угрозами соблюдения требований GDPR на сегодня являются:
- Отсутствие знаний о том, где хранится информация о персональных данных;
- Неспособность идентифицировать «токсичную» информацию, старые данные и, откровенно говоря, бесполезные данные;
- Отсутствие возможности своевременно реагировать на запросы о предоставлении информации.
Все это вынуждает многие организации серьезно отнестись к положениям GDPR и начать внедрять технологии, направленные на его соблюдение.
И это может быть огромной возможностью для бизнеса. Поскольку многие организации ищут помощь в правильном контроле за персональными данными.
Для начала организациям, затронутым грядущими изменениями, можно предложить предпринять простые шаги по следующим направлениям работы с данными:
- Сбор - определите, какие персональные данные действительно необходимы вашей организации и собирайте только их;
- Использование - упростите маркетинговое использование данных;
- Хранение - удалите данные, которые вам не нужны.
Далее, необходимо определить оптимальное для организации решение и его поставщика, который поможет внедрить систему управления с высоким уровнем контроля и политикой безопасности без необходимости становиться экспертами в этой области.
GDPR направлен прежде всего на защиту пресловутой privacy граждан. Для организаций это означает появление еще одного мотива для обеспечения информационной безопасности своей инфраструктуры. В подобных вопросах хорошо зарекомендовали себя DLP-системы. Они помогут привести ваш бизнес в соответствие с вводимым законодательством и избежать солидных штрафов.