Новости рынка 12.03.18

Как подготовиться к новому регламенту GDPR о защите персональных данных?

25 мая 2018 года начинает действие в 28 странах Европейского Союза регламент GDPR «Общие положения о защите данных», заменяя собой Директиву 95/46/EC. Требования регламента относятся к любой компании в мире, в работе которой происходит обработка и хранение персональных данных лиц, проживающих в ЕС (в том числе и резидентов). Новый акт предоставляет людям больше прав относительно управления персональными данными, осуществляемого компаниями.

Определение персональных данных в GDPR значительно шире, чем ранее существовавшее. Сюда входит информацию, касающаяся конкретного человека: личные, публичные или профессиональные данные - имена, адреса и финансовая информации, и все то, что может идентифицировать личность (например, IP-адреса, идентификация пользователей при регистрации для входа в систему, данные биометрической идентификации, данные о географическом местоположении, видеоматериалы, статистика лояльности клиента, посты и фото в социальных сетях).

Чтобы соответствовать требованиям GDPR, вы должны обеспечивать защиту не только большего числа видов данных в будущем, но и затрачивать больше усилий на идентификацию существующих данных.

12 шагов на пути к GDPR:

Осведомленность: прежде всего, убедитесь, что каждый сотрудник компании в курсе, что GDPR вступает в силу с 25 мая следующего года. Определите влияние, которое окажет Регламент на деятельность вашей организации
Документирование информации: непростое действие, поэтому начинать нужно как можно раньше. Исследования недавно показали, что менее 1% британских компаний на данный момент точно знают, какими же конкретно персональными данными владеют, в какой форме, и где они хранятся
Передача конфиденциальной информации: вы должны изучить текущую документацию о конфиденциальности и вовремя внести необходимые изменения для реализации GDPR
Права человека: процессы компании должны полностью их учитывать, в том числе и удаление конфиденциальной информации о себе по требованию, в электронной форме или в “бумажном” формате
Запросы к доступу: необходимо обновление текущих процедур и планов удовлетворения запросов с учетом новых возможностей, предоставленных клиентам новыми правилами
Юридически обоснованный подход к обработке персональных данных, а также их документированию и обновлению
Согласие: текущие подходы к их получению и документированию необходимо пересмотреть, если они не отвечают новым требованиям
Детский фактор: вы должны подумать о том, нужно ли устанавливать системы для проверки возраста людей и получения согласия родителей или опекунов на любую деятельность по обработке данных
Нарушение конфиденциальности данных: убедитесь, что у вас есть эффективные процедуры обнаружения, отчетности и проведения расследований нарушения персональных данных
Оценка влияния на неприкосновенность: теперь вы должны ознакомиться с кодексом практики ICO по оценке влияния на неприкосновенность частной жизни, а также с последними рекомендациями и как их стоит применять относительно вашей организации
Ответственные за защиту данных: большинству аудиторских организаций они, может, и не потребуются, но многим организациям, у которых на руках множество персональных данных, просто придется вводить новую должность
Международный вопрос: если вдруг ваша организация ведет свою деятельность более чем в одном государстве ЕС, придется определить и отметить в отчетности основной для вас орган контроля безопасности персональных данных

GDPR не определяет каких-либо конкретных средств управления защитой данных, которые должна использовать организация. Компания может сама определять необходимые средства обеспечения безопасности собранных данных, конфиденциальности и управления рисками.

ISO 27001

Регламент повысил ставки за утечку информации. Теперь за удавшуюся хакерскую атаку придётся заплатить не только репутацией, но серьёзным штрафом. Иными словами, придётся заплатить за ненадлежащую заботу о конфиденциальности, целостности и доступности персональных данных пользователей. Потому уже на начальном этапе разработки ПО стоит позаботиться о системе его защиты. Авторы Регламента особенно относятся к шифрованию в качестве меры, но список открытый и предполагается, что разработчики ПО самостоятельно выберут самый сильный набор мер защиты. Безусловно, для этого подойдут классические меры для обеспечения конфиденциальности, целостности и доступности информации, с той лишь поправкой, что планируемый уровень защиты должен соответствовать актуальному уровню технических возможностей (state-of-the art). Этого напрямую требует регламент в статье 32.

Взявшись за технические меры безопасности (надежные шифрование и хэширование, двухфакторная авторизация и др.), помните также про организационные (оценка рисков, мониторинг, корпоративные правила, скрининг сотрудников и т.д).

Хотя Регламент и не называет конкретных стандартов в области информационной безопасности, сертификация из семейства ISO 27xxx — системное решение этого вопроса. Наличие сертификатов позволит легко продемонстрировать заказчикам и надзорным органам внедрённые данные меры и снять большинство вопросов при заключении сделок и разбирательствах об утечках персональных данных.

Важно!

Об утечках персональных данных следует сообщать немедленно или по крайней мере в течение 72 часов в единый надзорный орган – DPA. Лица, которых это коснулось, должны быть оповещены, если ожидаются негативные последствия. Однако если эти данные соответствующим образом зашифрованы или обезличены и эта критичная защита не была взломана, то людей оповещать не следует.

Руководство компаний не готово к GDPR
Руководство компаний излишне самоуверенно и недостаточно серьезно готовится к вступлению в силу регулирующего акта Евросоюза GDPR.

Согласно результатам опроса Trend Micro, руководство компаний знает о принципах, которые заложены в документе, более того, 85% подробно изучили его требования, а 79% компаний уверены, что их данные находятся в полной безопасности. Несмотря на высокий уровень осведомленности, руководство не всегда знает, какие именно персональные данные должны быть защищены: 64% не знали, что дата рождения клиентов относится к категории персональных данных, 42% респондентов не относят к этой категории маркетинговые базы данных адресов электронной почты, 32% таковыми не считают физические адреса, а 21% – почтовые адреса клиентов. 66% респондентов спокойно относятся к сумме штрафа за отсутствие требуемых мер по защите данных. Только 33% признают, что эта сумма может составить до 4% их годового оборота. Большинство опрошенных считают, что ущерб репутации является самым серьезным последствием утечки данных.