Нове європейське регулювання в сфері захисту особистих даних

Відповідно до постанови Європейської комісії про захист даних (GDPR), яка набуде чинності 25 травня 2018 року, будь-яка організація, яка містить особисті дані громадян Європейського Союзу (ЄС), незалежно від їх власного місцезнаходження, буде зобов'язана нести відповідальність за їх збереження.

Недотримання цієї постанови потенційно може обійтися компаніям в чотири відсотки від їх річного обороту або в 20 млн. євро.

Постанова стосується організацій, які збирають або обробляють особисті дані жителів ЄС, незалежно від того, чи знаходяться ці компанії в Європейському Союзі або за його межами. Тобто будь-яка компанія, яка веде бізнес з громадянином Європейського Союзу, скоро підпаде під дію загального регулювання захисту даних (GDPR).

Предметом на який спрямована дана постанова є персональні дані – будь-яка інформація, що відноситься до людини, незалежно від того, чи пов'язана вона з особистим, професійним або громадським життям. Це може бути ім'я, домашня адресу, фотографія, адреса електронної пошти, банківські дані, повідомлення на сайтах соціальних мереж, медична інформація або IP-адреса комп'ютера.. 

Історично склалося так, що безліч компаній збирають величезну кількість даних про користувачів і не надто піклуються про їх збереження. Роки неналежного використання показали, як мало зусиль докладали організації до розуміння, де зберігаються, як використовуються і взагалі які дані існують. Іноді це відбувалося в конкурентних цілях, іноді зловмисно, а іноді від невстановленного бажання просто мати ці дані про всяк випадок. Саме в зв'язку з таким станом справ Європейський союз зайнявся розробкою GDPR.

Ключовими погрозами дотримання вимог GDPR на сьогодні є:

• Відсутність знань про те, де зберігається інформація про персональні дані;
• Нездатність ідентифікувати «токсичну» інформацію, старі дані і, відверто кажучи, непотрібні дані;
• Відсутність можливості своєчасно реагувати на запити про надання інформації.

Все це змушує велику кількість організацій серйозно поставитися до положень GDPR і почати впроваджувати технології, спрямовані на його дотримання.

І це може стати чудовою можливістю для бізнесу. Оскільки багато організацій шукають допомоги в правильному контролі за персональними даними.

Для початку організаціям, яких зачеплять прийдешні зміни, можна запропонувати зробити прості кроки за наступними напрямками роботи з даними:

• Збір – визначте, які персональні дані дійсно необхідні вашій організації і збирайте тільки їх;
• Використання – спростіть маркетингове використання даних;
• Зберігання – видаліть дані, які вам не потрібні.

Далі, необхідно визначити оптимальне для організації рішення і його постачальника, який допоможе впровадити систему управління з високим рівнем контролю і політикою безпеки без необхідності проведення якихось експертів в цій галузі.

GDPR спрямований перш за все на захист горезвісної приватності громадян. Для організацій це означає появу ще одного мотиву для забезпечення інформаційної безпеки своєї інфраструктури. У подібних питаннях добре зарекомендували себе DLP-системи. Вони допоможуть привести ваш бізнес у відповідність із нововведеннями в законодавстві і уникнути солідних штрафів