В качестве новой стратегии ЕС по защите данных, влияющих на украинский бизнес


Опубликованно 13.03.2018 02:56

В качестве новой стратегии ЕС по защите данных, влияющих на украинский бизнес

В мае прошлого года, после долгих обсуждений, Европейский парламент принял регламент GDPR. И в мае 2018 года, он вступит в силу. И самый важный момент для украинского бизнеса здесь является то, что действие документа не ограничено в рамках Европейского союза и распространяется на все организации, которые обрабатывают данные граждан ЕС, и украинский в том числе. Другими словами, основная цель GDPR заключается в обеспечении защиты персональных данных (ПД) граждан европейского союза, без связи, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, тщательно, защитить конфиденциальность этих данных. Кто-то готовиться к GDPR

На самом деле, это три организации класса: компаний в ЕС и участвующих в обработке ПД европейских, независимо от физического расположения штаб-квартиры компании, которые не основаны в ЕС, но имеют отношение к обработке ПД, граждане Европейского союза в рамках реализации продуктов/услуг. В поправки к GDPR уточнить, что попадают под ответственностью предпринимателей, которые продают европейские продукты. В первую очередь, в линии визирования входят онлайн-услуг (интернет-магазины), которые продают их товары многоязычный формат и главная евро в качестве оплаты, сайт, который имеет домен верхнего уровня государства-члена ЕС (например, использование .pl), а также осуществляющих доставку в страны ЕС и используют поезде или рекламы на граждан ЕС компании, которые показывают виртуальные действия граждан Европейского союза: следуют их поведения в интернете, рассматриваются PD для установления социальных портретов" с целью изучения и прогнозирования предпочтений потребителей (центры обработки данных)

Это, основной вывод для украинских предпринимателей должен быть тот факт, что Правила применяются не только в установленных в ЕС, организации, но и те, которые просто работают на европейском рынке.

GDPR, содержащий 99 статей, по сути, является увеличенной и более "жесткой" интерпретации Директивы 1995 года (основное различие между ними в том, что правилами приобретает законодательную силу на всей территории Европейского союза на дату утверждения. В свою очередь директива приводится в действие только путем признания местной власти каждой европейской стране. Формат правил призван способствовать принятию единой практики на территории ЕС). Важно также, что GDPR не обязывает компании внедрять методы и методы защиты данных. Организация имеет право выбрать системы безопасности внутренних данных. Главное — конечный результат защиты персональных данных. Особенно важно, Правила

Может быть, самых важных пунктов нового регламента, который должен учитывать украинских предприятий, имеющих связи с выше классификации, положения: присутствие представителя компании на территории Европейского союза, главная роль которых выразить свои интересы в процессе общения с регулятором. наличие официального согласия на обработку ПД: изменения условий предоставления документа об обработке ПД. Первым является то, что актеры DD появилась возможность отозвать свое согласие на использование персональных данных. И второе: каждой цели использования ПД должна существовать отдельная согласия. Общие документы считаются недействительными. согласия несовершеннолетних должна опираться на согласие родителей. своевременно, отчет о взлома/компрометации DD: организация ввела обязан информировать регулятора о случаях пиратства. Уведомление должно поступить не позднее 72 часов после появления информации о компрометации данных. обязательно назначение лица, ответственного за работу с ПД человека, оценка риска влияния обработки персональных данных на их носителей из всех точек работать с DD. объем прав субъектов ПД: право в любое время запросить копию DD; требовать объяснение целей обработки или полного забвения DD.

И, конечно, самый животрепещущий-это штрафы

Регламент предусматривает максимальный учет штрафов, сила назначение каждой суммы, переданы местным органам власти государств-членов Европейского союза.

Существует две категории санкций, принимая во внимание глубину и степень нарушения: 20 млн. евро, или 4% от годового дохода за нарушение: основные положения, права субъектов ПД, правила передачи персональных данных и др. 10 млн. евро или 2% от годового оборота нарушение процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с DD, в отсутствие представителей ЕС и других

Смягчающим моментом является тот факт, что в некоторых случаях вместо штрафа, дело может ограничиться произношение. Например, если регулятор признает незначительные нарушения. Что делать: разработка плана действий

Какие меры стоит принять, что, теоретически, может попасть под удар?

1. Провести анализ деятельности компании в соответствии с требованиями GDPR

Для начала, важно определить, если деятельность вашей компании отношение к персональным данным граждан ЕС, влияет на эти данные. И если это пересечение имеет место быть — для оценки рисков этой деятельности. Если она является ключевой для бизнеса, то принимать во внимание положения GDPR и стремиться соответствовать. Вы должны четко указать, к какой категории принадлежит ваш бизнес. Если вы делаете непосредственно на сбор и проверка данных — ответственность увеличивается в разы. Много его там законодательные санкции на тех, кто использует персональные данные, посредников в процессе. И сбора, анализа и обработки данных не является основной, но только поддержки деятельности компании. Но, грубо говоря, существует только два пути: или ограничить их деятельность на территории Европейского союза, или в соответствии с требованиями GDPR. Если вы продаете в Европу, но не уважаете GDPR, вы не сможете продать.

2. Провести диагностику процессов сбора, обработки и хранения DD

3. Пересмотр согласия на обработку ПД, и составьте план изменений

4. Анализировать процедуры получения и регистрации согласия субъекта ПД, автоматизировать основные процессы в системах

5. Проверить наличие процедур выявления и расследования случаев нарушений и утечек DD

6. Анализировать возможные риски при передаче ПД третьим лицам

7. Определить необходимость назначить уполномоченного по вопросам защиты ПД и представитель компании в ЕС, во-первых, наличие статуса лица, который несет ответственность за контроль только процесса-это первое условие для правильного выполнения этого процесса. И во-вторых, это прямой запрос GDPR. В случае нарушения и расследования, отсутствие ответственного лица будет отягчающим обстоятельством в принятии решения о штрафе)

Важно также проанализировать прошлое инцидентов компрометации данных, если они имели место в вашей компании.

Для проверки его потенциала в плане реагирования на будущей атаки, узнайте, что произошло во время прошлых нарушений, и задайте себе вопрос, готовы ли вы отвечать новым требованиям GDPR. Помните, что информацию о нарушении, необходимо обеспечить регулятор в течение 72 часов после обнаружения инцидента. Если ваш бизнес не в состоянии это сделать, этот недостаток может повлечь за собой штраф. Поэтому необходимо уже сегодня задуматься о системе быстрого реагирования. Не последнюю роль играет также обучение персонала. Одной из основных целей GDPR-это усилить контроль на конфиденциальность личных данных каждого человека. Ценность и неприкосновенность частной жизни каждого, особенно детей. В компании подобную культуру уважения к жизни кого-то нужно привить на уровне ценностей компании.

И деятельности, важно также проводить повышение осведомленности на этот вопрос среди сотрудников.

В любом случае, обратный отсчет включен. Меньше, чем за семь месяцев GDPR вступает в силу. Не стоит недооценивать риски и потенциальный ущерб от санкций в случае не соблюдения компаниями положений регламента. Только очень крупные предприятия будут в состоянии заплатить штраф, но для малых и средних предприятий эта сумма будет катастрофическим. По неофициальным данным, только одна из пяти европейских компаний, готова к новому законодательству. И для компаний, расположенных за пределами ЕС, эта цифра гораздо более ярким.

Хотя дата вступления в силу Правил неумолимо приближается, компания не особо спешит заткнуть существующие отверстия. "Когда дело доходит до соответствия новым непонятным законам, большинство крупных компаний действуют по странной логике: либо ждать, пока все "успокоить" себя, либо пытаются приспособиться к новый год правила уже постфактум", - подчеркивает Кен Овсянка, технический директор MarkLogic. И в его словах, к сожалению, есть изрядная доля истины. Сегодня GDPR, безусловно, выглядит как глина регулирования. Но стоит посмотреть на это и с другой стороны: новые правила можно отнести к категории инноваций, внедрение которых — вопрос репутации для бизнеса. Современный подход персональных данных, вы можете обернуть его для компании конкурентные преимущества, позиционируя себя как компанию с передовой подход к хранению и обработке персональных данных клиентов. Это в идеале.

И действительно, большинство компаний в страхе неизвестного", закрывают глаза руками, как дети, которые прячутся в темноте монстров.

В момент "встречи" с несовершенством собственной системы, с задержкой, которые, конечно, не решит проблему. Решает проблему познания и углубленного анализа его деятельности на предмет взаимодействия с ПД граждан ЕС. Есть много организаций, которые подпадают под GDPR по причинам, которые еще не проверены, как существенные: например, кто-то, что ЕС подписался на рассылку компании. И это уже негласное обязательство соблюдать нормы Регламента. И таких ловушек может быть много. Таким образом, важно помнить: проверять нужно все детали, по сути, европейское законодательство, в отличие от отечественного, не оставляя пробелов, и следовать ему нужно без оговорок.



Категория: Бизнес