Компании, которые собирают данные о гражданах в странах Европейского Союза (ЕС), должны соблюдать строгие правила защиты данных клиентов. Общий регламент по защите данных (GDPR) устанавливает стандарт прав потребителей в отношении их данных, а компаниям придется обеспечивать соответствие и исполнение данного стандарта.
Соблюдение GDPR вызывает некоторые опасения и ожидания у служб безопасности. Например, GDPR достаточно широко трактует то, что представляет собой личную информацию (personally identifiable information, PII). Компаниям необходимо обеспечить такой же уровень защиты таких вещей, как IP-адрес человека или данные файлов cookie, как и для имени, адреса и номера социального страхования.
GDPR оставляет много возможностей для интерпретации. Например, в нем говорится, что компании должны обеспечивать «разумный» уровень защиты персональных данных, но не определяется, что считать «разумным». Это дает регулирующему органу GDPR большую свободу действий, когда дело доходит до назначения штрафов за утечку данных и несоблюдение требований.
Что такое GDPR?
GDPR — это постановление, принятое Европейским парламентом в апреле 2016 года , заменившее устаревшую директиву о защите данных от 1995 года. Он содержит положения, которые требуют от предприятий защищать персональные данные и конфиденциальность граждан ЕС при транзакциях, осуществляемых в государствах-членах ЕС. GDPR также регулирует экспорт персональных данных за пределы ЕС.
Положения одинаковы во всех 28 государствах-членах ЕС, а это означает, что у компаний есть только один стандарт, которому нужно соответствовать в ЕС. Однако этот стандарт довольно высок и требует от большинства компаний крупных инвестиций для его соблюдения.
Почему существует GDPR?
Обеспокоенность общественности по поводу конфиденциальности привела к созданию GDPR. В Европе уже давно действуют строгие правила использования компаниями персональных данных своих граждан. GDPR заменяет Директиву ЕС о защите данных , которая вступила в силу в 1995 году. Это было задолго до того, как Интернет стал центром онлайн-бизнеса, которым он является сегодня. Следовательно, директива устарела и не учитывает многих способов хранения, сбора и передачи данных сегодня.
Насколько реальна общественная обеспокоенность по поводу конфиденциальности? Она возрастает с каждой новой громкой утечкой данных. Согласно отчету RSA о конфиденциальности и безопасности данных, для которого RSA опросила 7500 потребителей во Франции, Германии, Италии, Великобритании и США, 80% потребителей заявили, что потеря банковских и финансовых данных является главной проблемой. Утечка данных безопасности (например, паролей) и идентификационной информации (например, паспортов или водительских прав) была названа проблемой 76% респондентов.
Тревожная статистика для компаний, которые имеют дело с данными потребителей, заключается в том, что 62% респондентов отчета RSA заявили, что будут винить компанию, а не хакера, в утечке данных в случае взлома. Авторы отчета пришли к выводу, что «по мере того, как потребители становятся более информированными, они ожидают большей прозрачности и оперативности от обработчиков их данных».
Отсутствие доверия к тому, как компании обращаются с их личной информацией, заставило некоторых потребителей принять собственные контрмеры. Согласно отчету RSA, 41% респондентов заявили, что намеренно фальсифицируют данные при подписке на услуги онлайн. Проблемы безопасности, желание избежать нежелательного маркетинга или риск перепродажи данных были среди их главных опасений.
Отчет также показывает, что потребителям нелегко простить компании, если произойдет нарушение, раскрывающее их личные данные. Семьдесят два процента респондентов в США заявили, что будут бойкотировать компанию, которая, по всей видимости, игнорирует защиту их данных. Пятьдесят процентов всех респондентов заявили, что они с большей вероятностью будут делать покупки в той компании, которая сможет доказать, что серьезно относится к защите данных.
«Поскольку предприятия продолжают цифровую трансформацию, более широко используя цифровые активы, услуги и большие данные, они также должны нести ответственность за ежедневный мониторинг и защиту этих данных», — делается вывод в докладе.
Какие типы конфиденциальных данных защищает GDPR?
GDPR защищает следующие типы персональных данных:
- Основная идентификационная информация, такая как имя, адрес и идентификационные номера.
- Веб-данные, такие как местоположение, IP-адрес, данные файлов cookie и RFID-метки.
- Здоровье и генетические данные
- Биометрические данные
- Расовые или этнические данные
- Политические взгляды
- Сексуальная ориентация
На какие компании распространяется GDPR?
Любая компания, которая хранит или обрабатывает личную информацию о гражданах ЕС в государствах ЕС, должна соблюдать GDPR, даже если у компании нет делового присутствия в ЕС. Конкретными критериями применимости данного регулирования к компаниям являются:
- Присутствие в стране ЕС.
- Нет присутствия в ЕС, но обрабатывает персональные данные жителей Европы.
- Более 250 сотрудников.
- Менее 250 сотрудников, но обработка данных влияет на права и свободы субъектов данных, не является случайной или включает определенные типы конфиденциальных персональных данных.
Это означает, что почти все компании должны соблюдать GDPR.
В ходе опроса, проведенного Propeller Insights и спонсируемого Netsparker Ltd., руководителям было задано вопрос, какие отрасли больше всего пострадают от GDPR. Большинство (53%) отметили, что больше всего пострадал сектор технологий, за ним следуют интернет-торговля (45%), компании-разработчики программного обеспечения (44%), финансовые услуги (37%), онлайн-услуги/SaaS (34%) и розничная торговля (33%).
Кто в моей компании несет ответственность за соблюдение требований?
GDPR определяет несколько ролей, которые отвечают за обеспечение соответствия: контролер данных, обработчик данных и сотрудник по защите данных (DPO).
Контроллер данных определяет, как обрабатываются персональные данные и цели, для которых они обрабатываются. Контролер также несет ответственность за обеспечение соблюдения требований внешними подрядчиками.
Обработчиками данных могут быть внутренние группы, которые обрабатывают записи персональных данных, или любая аутсорсинговая фирма, которая выполняет всю или часть этой деятельности. GDPR возлагает на обработчиков ответственность за нарушения или несоблюдение требований. Таким образом, возможно, что и ваша компания, и партнер по обработке, например поставщик облачных услуг, будут нести ответственность и получать штрафные санкции, даже если вина полностью лежит на партнере по обработке.
GDPR требует, чтобы контролер и обработчик назначили ответственного за защиту персональных данных (DPO) для надзора за стратегией безопасности персональных данных и соблюдением GDPR. Компании обязаны иметь DPO, если они обрабатывают или хранят большие объемы данных граждан ЕС, обрабатывают или хранят специальные персональные данные, регулярно контролируют субъектов персональных данных или являются государственным органом. Некоторые государственные организации, такие как правоохранительные органы, могут быть освобождены от требования к наличию DPO.
Какое отношение GDPR имеет в кибербезопасности?
Многие требования GDPR не имеют прямого отношения к кибербезопасности, но процессы и системные изменения, необходимые для его соблюдения, могут повлиять на существующие системы и процессы обеспечения безопасности.
GDPR может также изменить отношение представителей бизнеса и групп безопасности к данным. Большинство компаний рассматривают свои данные и процессы, которые они используют для их анализа, как актив, но это восприятие изменится, говорит Льюис. «Учитывая необходимость получения явного согласия на обработку персональных данных, а также более детального отслеживания состава данных и информационных потоков, у компаний теперь существует целый набор обязательств, связанных с накоплением данных», — говорит Льюис.
Как GDPR влияет на контракты с третьими сторонами и клиентами?
GDPR возлагает равную ответственность на контролеров данных (организацию, владеющую данными) и обработчиков данных (внешние организации, которые помогают управлять этими данными). Если сторонний обработчик не соответствует требованиям, это означает, что и ваша организация не соответствует требованиям. В новом постановлении также предусмотрены строгие правила сообщения о нарушениях, которые должен соблюдать каждый участник цепочки. Организации также должны информировать клиентов об их правах в отношении персональных данных.
Это означает, что во всех существующих контрактах с обработчиками персональных данных (например, поставщиками облачных услуг, поставщиками SaaS или поставщиками услуг по расчету заработной платы) и клиентами необходимо прописывать обязанности сторон в отношении персональных данных. Пересмотренные контракты также должны определить последовательные процессы управления и защиты данных, а также способы сообщения о нарушениях.
«Самая большая работа приходится на закупочную деятельность компании — ваши отношения с поставщиками, которые обрабатывают данные от вашего имени», — говорит Мэтью Льюис, руководитель практики банковского дела и регулирования в поставщике юридических услуг Axiom. «Существует целая группа поставщиков, которые имеют доступ к персональным данным, и GDPR очень четко определяет, что вам необходимо убедиться, что все эти третьи стороны соблюдают GDPR и обрабатывают данные соответствующим образом».
Контракты с клиентами также должны отражать нормативные изменения, говорит Льюис. «Клиентские контракты принимают различные формы, будь то онлайн-переходы по ссылкам или официальные соглашения, в которых вы берете на себя обязательства относительно того, как вы будете просматривать, получать доступ и обрабатывать данные».
Прежде чем эти контракты будут пересмотрены, бизнес-руководители, ИТ-специалисты и специалисты по безопасности должны разобраться, как данные хранятся и обрабатываются, и согласовать соответствующий процесс отчетности. «Технологическим группам, директору по информационной безопасности и команде по управлению данными требуется довольно серьезная работа, чтобы понять, какие данные обрабатываются в компании, где они хранятся и как они передаются за пределы компании. Как только вы разберетесь с этими потоками данных и их влиянием на бизнес, вы сможете начать определять поставщиков, на которых вам следует сосредоточиться как с точки зрения информационной безопасности, так и с точки зрения управления этими отношениями в будущем и того, как вы зафиксируете это в контракте», — говорит Льюис.
«Данные покидают фирму разными способами», — говорит Льюис. «Директор по информационной безопасности и технологические группы должны иметь возможность отслеживать все это, а также вам необходимо обеспечить защиту». Эти меры защиты должны быть прописаны в контракте, чтобы сторонние фирмы понимали, что они могут и чего не могут делать с данными.
Льюис отмечает, что, пройдя процесс определения обязательств и ответственности, он подготавливает компанию к принятию оперативных мер по соблюдению требований GDPR. «Если один из ваших поставщиков говорит: «Вас взломали прошлой ночью», знают ли они, кому звонить и как реагировать в рамках соблюдения нормативных требований», — говорит он.
72-часовой период отчетности об инцидентах, требуемый GDPR, делает особенно важным, чтобы поставщики знали, как правильно сообщать о нарушениях. «Если поставщика взломали, а вы один из тысяч клиентов, уведомят ли они ваш отдел закупок, лицо, ответственное за работу с клиентами, или кого-то, кто занимается дебиторской задолженностью? Это может произойти по-разному», — говорит Льюис.
В контракте должно быть четко определено, каким образом информация попадет к лицу в вашей организации, ответственному за сообщение о нарушении. «Регулирующий орган не скажет, что у вас не должно было быть нарушения. Они скажут, что у вас должны были быть политики, процедуры и структура реагирования, чтобы быстро решить эту проблему», — говорит Льюис.
Что произойдет, если моя компания не соблюдает GDPR?
GDPR предусматривает суровые штрафы за несоблюдение требований в размере до 20 миллионов евро или 4% годового оборота, в зависимости от того, что больше.
По данным GDPR Enforcement Tracker, по состоянию на март 2024 года ЕС наложил 2022 штрафа. Подавляющее большинство этих штрафов составляют от нескольких тысяч до десятков тысяч евро. Самый крупный штраф был наложен в мае 2023 года на Meta Platforms Ireland Limited на сумму 1,2 миллиарда евро. Этот штраф был наложен из-за недостаточных правовых оснований для обработки персональных данных.
Регуляторы признали, что у них нет ресурсов, чтобы справиться с объемом сообщений о нарушениях, которые они получили, поэтому потребуется время для установления идентифицируемых прецедентов.
На данный момент способность демонстрировать добросовестное стремление соблюдать требования должна защитить компании от суровых наказаний. В своей речи в 2018 году Лиз Денхэм, информационный комиссар Великобритании, сказала организациям, обеспокоенным штрафами GDPR:
«…Надеюсь, теперь вы знаете, что принуждение — это крайняя мера…. Крупные штрафы будут наложены на те организации, которые систематически, умышленно или по неосторожности нарушают закон. Те организации, которые отчитываются самостоятельно, сотрудничают с нами для решения проблем и демонстрируют эффективные механизмы подотчетности, могут ожидать, что это станет важным фактором при рассмотрении любых нормативный мер».
Какие требования GDPR повлияют на мою компанию?
Требования GDPR вынуждают компании изменить способы обработки, хранения и защиты персональных данных клиентов. Например, компаниям разрешается хранить и обрабатывать персональные данные только с согласия человека и «не дольше, чем это необходимо для целей обработки». Должна быть возможность передачи персональных данных от одной компании к другой, и компании должны удалять персональные данные по запросу.
Этот последний пункт также известен как право на забвение. Есть некоторые исключения. Например, GDPR не отменяет каких-либо юридических требований о хранении в организации определенных данных. Это будет включать требования к медицинским записям HIPAA.
Некоторые требования напрямую влияют на команды безопасности. Во-первых, компании должны быть в состоянии обеспечить «разумный» уровень защиты данных и конфиденциальности гражданам ЕС. Что в GDPR подразумевается под «разумным», не очень четко определено.
Сложным требованием является то, что компании должны сообщать об утечках данных надзорным органам и лицам, пострадавшим от утечки, в течение 72 часов с момента обнаружения утечки. Еще одно требование — проведение оценки воздействия — призвано помочь снизить риск нарушений путем выявления уязвимостей и способов их устранения.
Как выглядит успешный проект GDPR?
Трудно представить компанию, более пострадавшую от GDPR, чем ADP. Компания предоставляет облачные услуги по управлению человеческим капиталом (HCM) и бизнес-аутсорсингу для более чем 650 000 компаний по всему миру. ADP хранит персональные данные миллионов людей по всему миру, и ее клиенты ожидают, что компания будет соответствовать требованиям GDPR и поможет им сделать то же самое. Если будет установлено, что ADP не соответствует GDPR, она рискует не только штрафами, но и потерей бизнеса для клиентов, ожидающих, что ADP их защитит.
Глобальная направленность и масштаб ADP в некотором смысле являются преимуществом, когда речь идет о соблюдении GDPR. Они уже придерживались существующих правил конфиденциальности и безопасности, поэтому переход к соблюдению требований GDPR был не таким высоким, как мог бы быть. «Мы уже знакомы с законами о конфиденциальности в Европе. Мы не начинаем с нуля с GDPR», — говорит Сесиль Жорж, директор по конфиденциальности ADP. «GDPR требует от нас соблюдения требований не только как компании, но и как поставщика услуг. Мы помогаем нашим клиентам соблюдать GDPR».
Несмотря на то, что ADP подготовлена лучше, чем многие другие компании, Жорж говорит, что ее проект GDPR был масштабным и глобальным. «Мы начали еще до того, как обсуждался GDPR», — говорит она. Компания начала картирование потоков данных и оценку конфиденциальности новых продуктов несколькими годами ранее.
Проект GDPR ADP привлек людей из многих подразделений компании, и Жорж считает, что это было необходимо для успеха. «Мы участвуем во всех операциях и функциональных группах. Это не просто проект обеспечения конфиденциальности или соблюдения требований. На самом деле это касается всей организации, и мы координируем свои действия с менеджерами проектов по всей компании, чтобы убедиться, что мы внедряем правильные процессы», — говорит она.
Механизмы защиты персональных данных, такие как шифрование, уже существовали в ADP. «С точки зрения безопасности мы пришли к выводу, что речь идет больше об общении с нашими клиентами, чтобы убедиться, что они имеют правильную информацию о том, что мы делаем», — говорит Жорж. «Им, возможно, придется транслировать это сообщение своим сотрудникам или своим клиентам».
Поскольку ADP является обработчиком данных для других компаний, ADP предприняла дополнительный шаг по определению обязательных корпоративных правил, касающихся защиты персональных данных. «Внедряя обязательные корпоративные правила в качестве обработчика данных, мы надеемся, что наши клиенты поймут, что мы хотим облегчить их жизнь, и обязуемся защищать их персональные данные в соответствии со стандартами, требуемыми в ЕС, независимо от того, где находятся и как обрабатываются данные граждан ЕС», — говорит Жорж.
«Существуют разные сценарии применения GDPR в зависимости от особенностей бизнеса и имеющихся в наличии инструментов защиты данных», — говорит Жорж. «После того, как проведена оценка и разработан план обеспечения соответствия, в соответствии с GDPR необходимо документировать процедуры обработки и защиты данных».
Что должна делать моя компания, чтобы соответствовать требованиям GDPR?
Если ваша организация не уверена в своем соответствии нормативным требованиям и вы определили значительный риск несоблюдения требований, выполнение этих шагов поможет вам встать на правильный путь.
Инициатива должна исходить от высшего руководства. Компания по управлению рисками Marsh подчеркивает важность руководства организации в определении приоритетов в реализации мер по обеспечению кибербезопасности. Соблюдение глобальных стандартов гигиены данных является частью этой инициативы.
Вовлеките все заинтересованные стороны. Одни лишь ИТ-отделы плохо подготовлены к выполнению требований GDPR. Создайте рабочую группу, в которую войдут специалисты по маркетингу, финансам, продажам, операциям — любая группа внутри организации, которая собирает, анализирует или иным образом использует персональные данные клиентов. Имея представительство в целевой группе GDPR, они смогут лучше обмениваться информацией, которая будет полезна тем, кто внедряет необходимые технические и процедурные изменения.
Периодически проводите оценку рисков. Вы хотите знать, какие данные о гражданах ЕС вы храните и обрабатываете, и понимать связанные с ними риски. Помните, что оценка риска должна также определять меры, принятые для снижения этого риска. Ключевым элементом этой оценки будет выявление всех теневых ИТ, которые могут собирать и хранить персональные данные. Теневые ИТ и более мелкие точечные решения представляют наибольший риск несоблюдения требований; вы можете игнорировать их на свой страх и риск.
И их очень много. По словам Мэтта Фишера, ведущего эксперта в области ИТ и старшего вице-президента Snow Software, известно, что более 39 000 приложений содержат персональные данные. «Эффект айсберга представляет серьезный риск для соблюдения организациями GDPR, поскольку многие из них сосредоточены на 10% приложений, содержащих персональные данные, которые видны над поверхностью», — говорит он.
Фишер ссылается на то, как организации распределяют свои расходы на ИТ и технологии: около половины этих расходов принадлежит бизнес-подразделениям, что может поставить под угрозу соблюдение GDPR», — говорит он.
«Начать оценку рисков — самое сложное», — говорит Фишер. «В первую очередь организации должны получить полную картину всей своей ИТ-инфраструктуры и провести инвентаризацию всех приложений в своих подразделениях. Это, в сочетании с конкретным пониманием того, какие приложения могут обрабатывать персональные данные, значительно сводит к минимуму масштабы проекта, а также затрачиваемое на него время».
Наймите или назначьте DPO, если вы еще этого не сделали. GDPR не говорит, должен ли DPO быть отдельной должностью, поэтому предположительно компания может назначить кого-то, кто уже выполняет эту роль, при условии, что этот человек может обеспечить защиту персональных данных без конфликта интересов. В противном случае вам придется нанять DPO. В зависимости от организации этот DPO не обязательно должен работать полный рабочий день. В этом случае возможен вариант виртуального DPO. Правила GDPR позволяют DPO работать с несколькими организациями, поэтому виртуальный DPO будет похож на консультанта, который привлекается по мере необходимости.
Создайте и поддерживайте план защиты данных. У большинства компаний уже есть план, но им необходимо будет пересмотреть и обновить его, чтобы убедиться, что он соответствует требованиям GDPR. Периодически пересматривайте и обновляйте его.
Не забывайте о мобильных устройствах: согласно опросу руководителей ИТ и служб безопасности, проведенному Lookout, Inc., 64% сотрудников получают доступ к личным данным клиентов, партнеров и сотрудников с помощью мобильных устройств. Это создает уникальный набор рисков несоблюдения GDPR. Например, 81% респондентов опроса заявили, что большинству сотрудников разрешено устанавливать личные приложения на устройства, используемые в рабочих целях, даже если это их собственные устройства. Если какое-либо из этих приложений получает доступ к персональным данным и сохраняет их, они должны делать это в соответствии с требованиями GDPR. Это сложно контролировать, особенно если учесть все несанкционированные приложения, которые используют сотрудники.
Документируйте свой прогресс соблюдения GDPR: «Пока часы тикают, организации должны демонстрировать, что они добиваются прогресса в заполнении Отчета об обработке данных (RoPA) — статьи 30 регламента GDPR, которая сосредоточена на инвентаризации рискованных приложений — легкая цель для регулирующих органов», — говорит Фишер. «Создание RoPA — это важная часть, на которой следует сосредоточиться на этом этапе, поскольку он позволяет организациям определять, где обрабатываются персональные данные, кто их обрабатывает и как».
Внедрите меры по снижению риска. После того как вы определили риски и способы их снижения, вы должны принять эти меры. Для большинства компаний это означает пересмотр существующих мер по снижению рисков. «После инвентаризации приложений и завершения RoPA команда GDPR теперь может выявлять и исследовать любые риски, связанные с данными, и определять соответствующий уровень безопасности, который считается необходимым для защиты этих данных», — говорит Фишер.
Если ваша организация небольшая, при необходимости обратитесь за помощью. GDPR повлияет на небольшие компании, на некоторые более существенно, чем на другие. У них может не быть ресурсов, необходимых для удовлетворения потребностей. Можно привлечь внешние ресурсы для предоставления консультаций и технические эксперты, которые помогут им в этом процессе и сведут к минимуму внутренние сбои.
Планы реагирования на инциденты. GDPR требует, чтобы компании сообщали о нарушениях в течение 72 часов. Насколько хорошо группы реагирования минимизируют ущерб, напрямую повлияет на риск получения компанией штрафов за нарушение. Убедитесь, что вы можете адекватно сообщить и отреагировать на инцидент в течение установленного периода времени.
Настройте процесс постоянной оценки. Вам надо убедиться, что вы продолжаете соблюдать требования, а это потребует постоянного мониторинга и улучшения. Некоторые компании рассматривают возможность стимулирования и наказания, чтобы гарантировать, что сотрудники следуют новой политике. Согласно опросу Veritas Technologies , 47% респондентов, скорее всего, добавят обязательное соблюдение политики GDPR в контракты сотрудников. 25% процентов могут отменить бонусы или льготы в случае нарушения GDPR, а 34% говорят, что будут вознаграждать сотрудников за соблюдение GDPR.
Делайте все это с прицелом на улучшение своего бизнеса. Согласно опросу Varonis Systems, 74% респондентов считают, что соблюдение требований GDPR станет конкурентным преимуществом. Соблюдение требований повысит доверие потребителей. Что еще более важно, это технологические улучшения, необходимые для удовлетворения требований GDPR, которые должны обеспечить эффективность управления и защиты данных в организациях.
Источник: https://www.csoonline.com/article/562107/general-data-protection-regulation-gdpr-requirements-deadlines-and-facts.html
