Европейский Регламент обеспечивает соблюдение сложных обязательств в отношении представления данных компаниям.
Общий Регламент по защите данных (GDPR) вступит в силу 25 мая 2018 года, и британское правительство подтвердило, что будет соблюдать это законодательство , пока страна пребывает в составе ЕС.
Менее, чем за 18 месяцев до вступления регламента в силу, многие компании остаются совершенно неподготовленными. Более половины (54%) организаций не смогли приступить к какой-либо подготовке, чтобы хотя бы минимально соответствовать стандартам GDPR. Эти данные получены в результате недавнего исследования , проведенного компанией по управлению информацией Veritas.
Регламент обеспечивает соблюдение сложных обязательств по представлению данных компаниям, чья действующая политика в настоящее время не удовлетворяет этим требованиям. Нарушения повлекут за собой огромные штрафы.
Что такое GDPR?
Регламент был принят Европейским парламентом в апреле 2016 года после четырех лет кропотливых обсуждений. Он призван усилить защиту данных в соответствии с современной озабоченностью относительно сохранности личной информации. Регламент применим как к государствам-членам ЕС, а также к организациям за его пределами, в том случае, если речь идет об обработке информации граждан Евросоюза.
Правила были согласованы таким образом, чтобы облегчить их соблюдение. Один свод законов будет применяться во всех 28 государствах-членах ЕС. Нарушения повлекут за собой огромные штрафы. Нарушение может привести к штрафу в размере до 20 миллионов евро (? 17 млн) или четырех процентов глобального оборота, в зависимости от того, что больше.
Радикальное законодательство представляет ряд требований и создает ряд оперативных проблем для британских компаний, что требует тщательного планирования и дополнительных ресурсов.
Разъяснение GDPR: компании боятся
Почти 40% предприятий опасаются серьезного несоответствия требованиям, в то время, как только одна треть компаний (31%) обеспокоены ущербом репутации в результате применения неправильной политики по защите данных. Эти данные были получены компанией Veritas в результате опроса более 2500 старших специалистов, ответственных за принятие решений в компании.
Коллективная ответственность имеет особое значение для предотвращения воплощения в жизнь этих опасений. GDPR требует защиты конфиденциальности по определению и по умолчанию, что подразумевает применение программ всестороннего соблюдения в рамках всей организации.
Рекомендуется реализация требований к безопасности данных в рамках всей организации на каждом этапе каждого бизнес-процесса, начиная планированием и заканчивая выпуском продукции.
Разъяснение GDPR: бизнес-обязательства
Неясность царит в вопросе о том, кто несет ответственность за применение регламента. Почти одна треть (32%) респондентов считают, что ответственен директор по информационным технологиям, в то время как 21% опрошенных убеждены, что вся ответственность должна быть возложена на директора по информационной безопасности, 14% считают ответственным генерального директора и 10% — директора по управлению данными компании.
Согласно отчету AvePoint и CIPL, все они несут ответственность.
«GDPR и соблюдение конфиденциальности данных тесно связаны со стратегией компании в отношении защиты данных, больших объемов данных и аналитики, а также с инновациями в сфере управления данными», — говорится в отчете.
«Это также поддерживает тот факт, что данные имеют решающее значение для многих бизнес-процессов, продуктов и услуг. Вот почему применение GDPR должно стать результатом согласованных усилий в рамках всей организации. Директор по управлению данными компании (CDO) должен работать рука об руку с директором по информационным технологиям (CIO), директором по информационной безопасности (CISO) и другими руководителями высшего звена».
«Совет директоров должен иметь понимание относительно применения GDPR и принимать участие во внесении соответствующий изменений», — говорит Марк Томпсон, ведущий консультант в области аудита и налогообложения консультационной фирмы KPMG. «Это должно привести к дополнительному финансированию программы по усилению конфиденциальности».
Разъяснение GDPR: сообщение о нарушении безопасности
Контроллеры сбора данных должны уведомлять органы, отвечающие за защиту данных, о любых нарушениях, подвергающих риску право частных лиц на защиту конфиденциальности, в течение 72 часов с момента их обнаружения, а также уведомлять любых пострадавших в случае нарушений данных с высокой степени риска — как можно скорее. Когда обработчик данных обнаруживает нарушения, его обязанность уведомить контроллера.
Многие организации уже имеют разработанную процедуру сообщения о нарушениях и внутренний план для предоставления отчетности.
«Это позволит компаниям соответствовать новым требованиям относительно уведомления властей и лиц, пострадавших в результате нарушения», — говорится в докладе AvePoint и CIPL.
«Тем не менее, в отличие от США, где уведомление о нарушение безопасности является обязательными почти в каждой юрисдикции, лишь меньшинство организаций проводят «холостой прогон» своего плана уведомления о нарушениях, имеют киберстраховку, поддерживают отношения с общественностью или судебными экспертами».
Разъяснение GDPR: данные с высокой степенью риска
Проведение официальной оценки воздействия на конфиденциальность данных (DPIAs) требуется при использовании новых технологий, а также в отношении любых данных с высокой степенью риска для прав и свобод гражданина.
Создание системы оценки рисков является самым разумным способом управления конфиденциальностью данных и обеспечения соответствия Регламенту. Управление уполномоченного по вопросам информации (ICO) рекомендует включить е в систему оценки рисков описание операций по обработке и целей, в соответствии с которыми они проводились, оценку потребности обработки относительно цели, оценку рисков и принимаемых мер по их устранению.
Разъяснение GDPR: передача и обработка данных
Новые права в отношении передачи данных позволяют человеку передавать свои персональные данные другому контроллеру в машиночитаемом формате. Организации должны также защищать право людей на уничтожение информации, когда она перестает быть актуальной или необходимой. Должны быть разработаны процедуры, обеспечивающие поддержку обоим из этих требований.
Политика и практика обработки данных также требуют пересмотра, поскольку обработчики информации теперь подчиняются GDPR обязательствам. Теперь должны вестись внутренние записи относительно любой деятельности по обработке данных, с пометкой данных и их классификации.
Разъяснение GDPR: что насчет брексита?
Применение такого преобразовательного регламента представляет собой серьезную проблему для британского бизнеса, дополненную приготовлением Великобритании о выходу из Европейского Союза. Промедление в действиях было бы неразумным.
Компании, находящиеся за пределами Евросоюза, по-прежнему должны соблюдать регламент, когда их данные проходят через территорию ЕС, даже если они не имеют никакого влияния на направление этих данных. Неопределенность неизбежно приведет к риску возникновения нарушений, если на месте не будет применяться всеобщее соглашение о передаче данных. Великобритания, скорее всего, следовать Регламенту как до, так и после выхода из состава ЕС.
«Великобритания станет «третьей страной» в соответствии с правилами передачи данных в GDPR», — говорит Алистер Моэн , партнер из лондонского офиса международной юридической фирмы Morrison & Foerster.
«В этом случае персональные данные могут быть экспортированы только компанией, находящейся в ЕС в третью страну, например, в Великобританию, если имеется «адекватный уровень защиты» для таких данных или если были оговорены другие условия».
«Для этого может потребоваться внедрение компаниями альтернативных механизмов передачи данных для передачи из ЕС в Великобританию, по крайней мере, в течение того периода времени, пока подтверждается статус адекватности».
Разъяснение GDPR: позитивный настрой
Применение GDPR может показаться чрезмерно сложным, но регламент, как ожидается, окажет положительное влияние, как на общество, так и на организации, ответственные за его соблюдение.
«GDPR также дает возможность организациям подойти к вопросу соблюдения конфиденциальности данных стратегически и целостно, по мере того, как он становится ключом к их стратегии данных и цифровому преобразованию бизнеса», — говорит Божана Беллами, президент компании CIPL.
С помощью соответствующего планирования, политики, обучения персонала и регулирования, организации смогут извлечь выгоду из более широкой поддержки, в том случае, если общество будет чувствовать, что персональные данные надежно защищены», — говорит уполномоченная по информации, Элизабет Денхэм.
«Я рассматриваю это, как хорошую новость для Великобритании. Одна из ключевых движущих сил к переменам в способе защиты данных состоит в важности и непрерывном развитии цифровой экономики в Великобритании и по всему миру. Именно поэтому ICO и правительство Великобритании настаивали на реформе законодательства ЕС в течение нескольких лет», — написала она в своем блоге в ноябре .
«Цифровая экономика в основном построена на сборе и обмене данными, включая большой объем персональных данных, в том числе, очень личных. Рост в цифровой экономике требует уверенности общества в надежной защите этой информации».