В качестве новой политики ЕС по защите данных повлияет на украинский бизнес
Опубликованно 05.12.2017 00:03
В мае прошлого года в результате долгих дискуссий Европейский парламент принял GDPR регулирования. И в мае 2018 года, он вступит в силу. И самый важный момент для украинского бизнеса здесь заключается в том, что инструмент не ограничивается рамками Европейского Союза, и применимы ко всем организациям, занимающимся данными граждан ЕС, а также Украины. Другими словами, основная цель GDPR является обеспечение защиты персональных данных (ПДН) граждан ЕС без привязки к тому, что на территории какой страны они хранятся. Главное требование для компаний, которые работают с данными граждан ЕС, — скрупулезно защитить конфиденциальность этих данных. Кто готовиться к GDPR
По сути, это три класса организаций: обществ, учрежденных в ЕС и участвует в ПД лечения европейцами, независимо от физического расположения головного офиса компании, которые не базируются в ЕС, но связаны с обработкой ПД граждан ЕС в рамках товаров/услуг. В поправках к GDPR уточняет, что подпадает под ответственность предпринимателей, которые непосредственно продают свою продукцию европейцам. В первую очередь, подпадают под сферу онлайн-услуг (интернет-магазинов), которые продают свои товары в их силами выполняется форматом и принимать евро в качестве оплаты, веб-сайт, который имеет домен верхнего уровня государства-члена ЕС (например, использование .ЛП) и поставки в страны ЕС и использования целевой рекламы, направленной на граждан ЕС компании, которые следят за виртуальные действия граждан Европейского Союза: отслеживая их поведение в Интернете, на PD для составления "социального портрета" с целью изучения и прогнозирования покупательского вкуса (центров обработки данных)
То есть, главный вывод для украинских предпринимателей должен быть тот факт, что постановление касается не только установленных в организациях ЕС, но и тех, кто просто работают на европейском рынке.
GDPR, содержащий 99 статей, по сути, является дополненной и более "сильные" интерпретации Директивы 1995 года (принципиальная разница между ними заключается в том, что регулирование приобретает законодательную власть на всей географической территории Европейского Союза на дату утверждения. В свою очередь, Директива действует только посредством признания местными органами власти каждой европейской страны. Формат правил призван способствовать принятию единообразной практики в рамках ЕС). Важно, что GDPR обязывает компанию осуществлять любые специфические методы защиты данных. Организации вправе самостоятельно выбрать систему управления внутренней безопасности данных. Главное — конечный результат — надежная защита личных данных. Особенно важны статьи правил
Пожалуй, наиболее существенные моменты новых правил, которые должны быть учтены украинских компаний, имеющих отношение к приведенной выше классификации, являются следующие положения: присутствие представителя компании на территории Европейского Союза, основной задачей которого является, чтобы выразить свои интересы в процессе взаимодействия с соответствующим регулятором. официального согласия на обработку ПД: изменения в условиях регистрации документа на обработку ПДН. Во-первых, субъекты ПДН имеют возможность отозвать свое согласие на использование персональных данных. А во-вторых, для каждой цели использования персональных данных должно быть отдельное соглашение. Общие документы считаются недействительными. согласия несовершеннолетние должны быть в сопровождении родительского согласия. своевременное представление отчетности о взлома/компрометации ПДН: организации возложена обязанность сообщать регулятору о случаях взлома. Уведомление должно быть получено не позднее, чем через 72 часа после появления информации о компрометации данных. обязательное назначение ответственных за работу с ДД физических лиц, оценка риска воздействия манипулирования персональных данных на их носителей, учитывая все детали работы с ПД. расширенные права субъектов ПДН: право в любое время запросить копии ПД; требовать разъяснения целей обработки или полное забвение ПД.
И конечно, самый животрепещущий вопрос-это штрафы
Положение налагает на нарушителей максимального наказания, с властью, чтобы присвоить конкретные суммы, поступившие в местные органы власти государств-членов Европейского Союза.
Существует две категории наказаний в зависимости от глубины и масштаба нарушения: 20 млн евро или 4% от годового дохода за нарушение основных положений, права субъектов ПДН, стандарты на передачу персональных данных и т. д. 10 млн. евро или 2% от годового дохода за нарушение порядка получения согласия на хранение и обработку по делам несовершеннолетних ПДН, за невыполнение технических норм работы с ПДН, отсутствие представителя в ЕС и т. д.
Смягчающим моментом является тот факт, что в некоторых случаях вместо штрафа может ограничиться выговором. Например, когда контроллер распознает незначительные правонарушения. Что делать: разрабатывать план действий
Какие меры должны быть приняты для тех, кто теоретически может попасть под удар?
1. Для анализа деятельности компании на соответствие требованиям GDPR
Для начала, важно определить, является ли отношение Вашей компании к личным данным граждан ЕС, будь он вступает в контакт с такими данными. И если такое пересечение имеет место быть, чтобы оценить для себя риски такой деятельности. Если она является ключевой для компании, то учитывать положения GDPR и стремиться к соответствию. Вы должны четко определить, к какой категории относится Ваша компания. Если вы делаете прямой сбор данных и контроль их качества — ответственность значительно возрастает. Очень лояльные законодательные санкции для тех, кто использует персональные данные в промежуточном текущих процессов. А также сбор, анализ и обработку данных не является главной и единственной дочерней компании, деятельность компании. Но грубо говоря, есть только два пути: либо ограничить их деятельность на территории ЕС или приведены в соответствие с требованиями GDPR. Если вы продаете в Европу, но не соответствуют GDPR, Вы не сможете ее продать.
2. Для диагностики процессов сбора, обработки и хранения ПД
3. Пересмотреть существующую согласия на обработку ПД, и разработать план, чтобы сделать необходимые изменения
4. Для выполнения процедур получения и регистрации согласия субъекта ПД, для автоматизации основных процессов в ИТ-системах
5. Чтобы проверить наличие процедур выявления и расследования случаев злоупотреблений и утечки ПДН
6. Анализировать возможные риски при передаче ПДН третьим лицам
7. Чтобы определить, является ли назначение Уполномоченного по защите ПДН и представитель компании в ЕС (во-первых, наличие в штате человека, который лично отвечает за управление каждого отдельного процесса является первым условием для эффективного управления этим процессом. А во-вторых, это прямое требование GDPR. В случае нарушения и следствия, отсутствие ответственного сотрудника будет отягчающим обстоятельством при вынесении решения о штрафе)
Это также важно для анализа прошлых инцидентов компрометации данных, если они имели место в Вашей компании.
Чтобы проверить свои возможности, в плане реагирования на будущие атака, рассмотрим, что произошло в прошлом нарушений, и задать себе вопрос, готовы ли вы соответствовать новым требованиям GDPR. Помните, что информацию о нарушении, необходимо предоставить регулятору в течение 72 часов после обнаружения инцидента. Если ваша компания не в состоянии сделать это, этот недостаток может привести к штрафу. Поэтому нужно уже сегодня задуматься о своевременный ответ. Не последнюю роль играет и обучение. Одной из главных целей GDPR-обеспечить больший контроль за конфиденциальность личных данных каждого человека. Значение и частной жизни каждого, особенно детей. В компании такую культуру, уважения к чужой жизни должны преподаваться на уровне корпоративных ценностей.
И в дополнение к техническим мерам, важно также повышать осведомленность о проблеме среди сотрудников.
В любом случае, обратный отсчет. Менее чем за семь месяцев GDPR вступит в силу. Не стоит недооценивать риски и потенциальный ущерб от штрафов в случае несоблюдения компаниями положений регламента. Сможете заплатить штраф только очень крупные компании, но для малого и среднего бизнеса такие суммы будут катастрофическими. По неофициальным данным, один из пяти европейских компаний готовы к новому законодательству. Но для компаний, расположенных за пределами ЕС, этот показатель является гораздо более удручает.
Несмотря на то, что дата вступления в силу постановления неумолимо приближается, компании не особо торопятся латать существующие дыры. "Когда дело доходит до соблюдения новых непонятных законов, большинство крупных предприятий работают на странная логика: либо ждать, пока все "утрясется" само по себе, либо пытаются приспособиться к новым правилам постфактум", - отмечает Кен Крупа, технический директор, MarkLogic. И в его словах, к сожалению, есть изрядная доля истины. Сегодня GDPR, безусловно, выглядит очень сложное положение. Но надо посмотреть на это с другой стороны: новые правила могут быть отнесены инновации, ввести вопрос репутации для ведущих компаний. Современный подход к персональные данные могут быть разбиты для бизнеса конкурентное преимущество, позиционируя себя как компанию с передовой подход к хранению и обработке персональных данных заказчика. Это в идеале.
На самом деле, большинство компаний в страх перед неизвестным "закрыть глаза", как дети, прячась в темноте от монстров.
Момент "встречи" с несовершенством собственной системой затягивается, что, конечно, не решит проблему. Проблема решается знаний и тщательного анализа своей деятельности по взаимодействию с гражданами ПД-ЕС. Существует множество организаций, которые подпадают под GDPR, по причинам, которые даже не захватила столь значительным: например, кто-то из ЕС подписались на рассылку компании. И это негласное обязательство соблюдать правила. И таких подводных камней может быть много. Поэтому важно помнить, что необходимо выполнить все намеченное, потому что Европейское законодательство, в отличие от внутреннего, он оставляет лазейки, и следовать это будет безоговорочно.
Категория: Гламур