Новые правила по защите данных: что предпринять украинским компаниям

25 мая вступил в силу европейский регламент по защите данных, более известный как GDPR (General Data Protection Regulation). Его внедрение коренным образом меняет принцип сбора и обработки личных данных клиентов компаниями. Несмотря на то что регламент принят Европейским Союзом, его действие распространяется и на организации вне ЕС, клиентами которых могут быть граждане Союза. А это значит, что нововведение напрямую касается и украинского бизнеса.

В первую очередь это относится к организациям, у которых есть постоянное присутствие в ЕС (филиалы и представительства). Однако задуматься о соответствии новому регламенту нужно всем компаниям, клиентами которых потенциально могут быть граждане Евросоюза. К примеру, если компания продает товары или оказывает услуги через интернет, а ее веб-сайт доступен на языке государства — члена ЕС и предусматривает возможность оплаты в евро, то GDPR относится и к ней. Другими словами, привести свою деятельность в соответствие с регламентом стоит разработчикам приложений и облачных решений, IT-компаниям, социальным сетям, интернет-магазинам, туристическим фирмам, консалтинговым компаниям, банкам, и многим другим.

Штрафы за несоблюдение регламента — огромны: от 10 миллионов евро (или не более 2% годового оборота) в случае отсутствия ответственного за хранение данных сотрудника до 20 миллионов евро (или не более 4% годового оборота) за нарушение основополагающих принципов обработки личных данных.

Чтобы соответствовать требованиям GDPR, организациям необходимо провести серьезную подготовительную работу. В первую очередь регламент ставит два важных условия: минимизация и обезличивание данных.

В первом случае, компании стоит проанализировать, какие именно данные она собирает и с какой целью. Часто бывает так, что организация запрашивает значительно больше данных, чем ей на самом деле нужно, а цель их использования непонятна клиенту. Поэтому стоит стремиться к оптимизации этого процесса — собирать только действительно необходимую информацию и четко объяснять, для чего это делается.

Обезличивание данных, в свою очередь, необходимо для того, чтобы по собранной компанией информации нельзя было идентифицировать конкретного пользователя. Конечно, это не означает, что личные данные нельзя собирать совсем, но хранить их надо раздельно. Таким образом, идентификация личности будет возможной только при объединении разных массивов данных. В этом случае компания сохранит всю важную информацию о своих клиентах, но обезопасит их от проблем с ее утечкой.

Еще одно нововведение GDPR — разделение субъектов, которые работают с персональными данными, на два типа. Первые — контроллеры — определяют цели и средства обработки данных. Операторы (процессоры), в свою очередь, непосредственно осуществляют обработку данных от имени контроллера.

Если говорить о конкретных шагах, которые предприятиям необходимо сделать, то их несколько:

• Внедрить надежные механизмы авторизации пользователей, чтобы уберечь их личные данные от взлома.
• Внедрить механизмы защиты данных во все приложения, которые разрабатывает компания.
• Внедрить механизмы защиты данных в облачную инфраструктуру.
• Оценить потенциальные риски и подготовиться к ним, чтобы предупредить возможные проблемы.

Помимо этого, для соответствия требованиям GDPR компания должна иметь сотрудника, который будет ответственным за защиту персональных данных и постоянного представителя или представительство в ЕС.

Конечно, при внедрении новых политик конфиденциальности и защиты данных каждую организацию ожидает период адаптации.  Необходимо модернизировать устройства, обновить программное обеспечение и принять меры безопасности — это все очень важные и необходимые шаги. Кроме того, эти меры нужны не только для соответствия требованиям GDPR, но и для того, чтобы обеспечить пользователям конфиденциальность и безопасность на таком уровне, на котором они этого ожидают.

Новый регламент значительно расширяет права субъекта данных (пользователя). Помимо права на обезличивание, он также получает право на забвение, право на получение полной копии своих данных, право на беспрепятственный перенос данных от одного контроллера к другому, право на хранение персональных данных на своем личном устройстве и другие права.

Тщательная проверка на соответствие требованиям GDPR поможет компаниям избежать серьезных проблем в будущем, и заняться этим необходимо уже сегодня.