ПРИМЕЧАНИЕ. Эта статья предназначена для того, чтобы проинформировать наших читателей о текущих проблемах конфиденциальности и безопасности данных, с которыми сталкиваются компании на глобальном рынке. Он никоим образом не предназначен для предоставления юридических консультаций или поддержки определенного курса действий. Для получения совета по вашей конкретной ситуации проконсультируйтесь со своим юрисконсультом.

Независимо от вашего взгляда на регулирующие и руководящие органы в целом, я думаю, мы можем согласиться с тем, что мир находится на переломном этапе в отношении личных данных и Интернета.

Согласно опросу IT Security Central и индексу уровня нарушений, почти два миллиона записей данных потеряны или украдены в течение одного рабочего дня. Два миллиарда человек охотно передают данные в Facebook каждый день, и почти 90 миллионов из них пострадали от скандала с Cambridge Analytica .

Как общество, мы пришли к быстрому и резкому осознанию того, что неправомерное использование наших данных не ограничивается спам-звонками и кражей кредитных карт. Персональные данные, попавшие в чужие руки, могут повлиять на национальные выборы и международную политику.

Примите участие в Общем регламенте защиты данных (GDPR) , обновленном Законе Европейского Союза о конфиденциальности персональных данных.

По крайней мере, GDPR - это попытка возложить ответственность на кого-то - или, в большинстве случаев, на какой-то бизнес или корпорацию - когда что-то идет не так с нашими данными. В своей основе он устанавливает право гражданина ЕС ожидать, что его данные будут разумно обрабатываться и защищаться.

А если это не так, он также устанавливает право гражданина ЕС ожидать последствий для плохих и халатных участников.

Если вы прочитали это и подумали: «Это относится только к европейским компаниям», угадайте еще раз. GDPR применяется к любой компании, которая собирает персональные данные гражданина ЕС.

Соблюдение GDPR потребует много тяжелой работы. А обнаружение несоблюдения требований приведет к огромным штрафам, которые вполне могут привести к банкротству.

Я более подробно расскажу о последствиях несоблюдения требований ниже, но сначала необходимо, чтобы вы понимали основы GDPR и то, как он применяется к вашему бизнесу.

Я отвечу на некоторые часто задаваемые вопросы о GDPR, а также дам вам некоторую информацию о том, как ваша ИТ-команда может помочь вам подготовиться к GDPR с улучшенным управлением базами данных и кибербезопасностью, чтобы вы не оказались в тупике .

Часто задаваемые вопросы о GDPR

Трудно привыкнуть к каким-либо новым правилам, но GDPR на самом деле является упрощением более старого набора правил: Директивы 95/46 / EC . Помимо того, что ее труднее сокращать, аргумент состоит в том, что эту директиву было труднее соблюдать, поскольку она давала каждой стране-члену ЕС некоторое пространство для маневра, чтобы интерпретировать защиту данных по-разному.

GDPR помогает объединить все правила из этих разных стран в ведение одного мандата и одного регулирующего органа.

Но хватит европейской юридической истории. Давайте поговорим о будущем Интернета, каким мы его знаем.

Что такое GDPR?

GDPR (Общий регламент Европейского Союза о защите данных) дает гражданам ЕС больший контроль над своими личными данными и их использованием третьими сторонами.

Короче говоря, если вы собираете персональные данные от граждан в Европейском Союзе, вам нужно будет следовать строгим правилам в отношении того, какие данные вы собираете, как вы управляете этими данными, а также как эти данные хранятся и защищаются после их передачи. владение вашей компании.

Когда вступает в силу GDPR?

Пятница, 25 мая 2018 г.

Итак, вам нужно внести последние штрихи в свои усилия по соблюдению требований прямо сейчас .

На кого распространяется GDPR?

Если ваш бизнес предлагает товары или услуги гражданам ЕС, вы подпадаете под действие GDPR. Конец.

Карта стран-членов ЕС. Примечание: на этой карте по-прежнему указано Соединенное Королевство, поскольку оно не выйдет из Европейского Союза до 2019 года, а его собственные законы о защите данных будут включать GDPR . ( Источник )

"Ага!" Вы могли бы сказать. «Я предлагаю свои товары и услуги бесплатно, поэтому GDPR на меня не распространяется, верно?»

Неправильно. Даже если деньги не переходят из рук в руки, вы все равно подпадаете под действие GDPR.

Это означает, что эти новые правила коснутся большинства крупных корпораций. Однако эти правила даже просачивание для фрилансеров и независимых блоггеров. Один из примеров широко распространенных эффектов GDPR: если у вас есть списки рассылки для информационных бюллетеней или рекламных акций, и некоторые из ваших потенциальных клиентов или клиентов являются гражданами ЕС, GDPR применяется к вам.

По оценкам, GDPR затронет более половины предприятий США.

Как GDPR влияет на ваш бизнес?

В зависимости от того, как ваш бизнес в настоящее время обрабатывает персональные данные своих клиентов, вам может потребоваться много работы, чтобы обеспечить соответствие GDPR.

Если вы обрабатываете данные какого-либо гражданина ЕС, вам необходимо переосмыслить то, как вы собираете, храните и защищаете их, что может повлиять на то, как вы собираете, храните и защищаете все данные своих клиентов.

С моей точки зрения, касающейся управления ИТ в малом бизнесе, самое большое изменение, которое грядет для компаний, отвечающих за соблюдение GDPR, - это ответственность, с которой вы столкнетесь за утечки данных.

В зависимости от масштаба нарушения, предпринятых превентивных и ретроактивных действий, а также от того, раскрыли ли вы нарушение в течение 72 часов с момента его возникновения, вы можете подвергнуться штрафу в размере до 20 миллионов евро (около 24 миллионов долларов США) или четырех процентов от суммы вашего бизнеса. годовой мировой доход.

Я не пытаюсь запугать этот момент, но думаю, что он служит иллюстрацией серьезности соблюдения GDPR. В то время как 20 миллионов евро - это максимальный штраф за, предположительно, максимальное преступление, меньшее неправильное обращение с данными может привести к меньшим штрафам в размере 10 миллионов евро (почти 12 миллионов долларов), что вряд ли является небольшим штрафом для малого бизнеса.

Хорошая новость заключается в том, что после того, как вы приложите усилия для обеспечения соответствия GDPR, новые правила должны помочь упростить обработку данных для граждан ЕС.

Вместо того, чтобы отслеживать законы о защите данных 28 стран-участниц, ваша компания должна будет соблюдать только GDPR, а все, что связано с новым постановлением, будет контролироваться одним надзорным органом.

Как ваш ИТ-отдел может помочь в соблюдении GDPR?

Прежде чем мы углубимся в особенности роли, которую ваш ИТ-отдел может играть в соблюдении GDPR, позвольте мне сказать, что ответственность за соблюдение новых правил ЕС не должна лежать исключительно на ИТ.

Например, когда дело доходит до сбора данных о клиентах, ваши отделы продаж и маркетинга должны быть осведомлены о том, как эти новые правила влияют на них и как они проводят свои кампании и управляют ими.

Однако, когда дело доходит до хранения и защиты личных данных, ИТ-отделы могут помочь направить ваши усилия по соблюдению нормативных требований.

Хранение и обработка данных

GDPR требует, чтобы вы назначили сотрудника по защите данных (DPO), если ваша компания практикует «регулярный и систематический мониторинг субъектов данных в больших масштабах».

Интересный факт: как «регулярный и систематический мониторинг», так и «крупномасштабный» обсуждаются с точки зрения того, когда один или оба показателя требуют, чтобы вы назначили DPO.

Однако, если у вас есть клиенты из Европейского Союза, и вы отслеживаете их поведение в Интернете, чтобы показывать им таргетированную рекламу или продвигать им продукты, определенные алгоритмом, вам следует подумать о привлечении DPO.

Даже если вы не соответствуете этим критериям, я все же предлагаю вашей компании по-другому думать о том, как она обрабатывает данные - свидетельские показания Марка Цукерберга перед Конгрессом сигнализируют о том, что регулирование обработки персональных данных в США будет приближаться к концу. ближайшее будущее.

И, честно говоря, многие вещи, за которые будут нести ответственность DPO, ваша компания должна делать в любом случае, даже если только для защиты ваших конфиденциальных данных.

Итак, что вы можете сделать, чтобы убедиться, что ваши данные правильно хранятся и управляются?

1. Расскажите всем своим сотрудникам о передовых методах работы с данными.

Управление данными охватывает все аспекты управления данными

Даже если вам не нужно нанимать DPO, я предлагаю вам создать комитет по управлению данными. Часть их работы будет заключаться в установлении стандартов управления данными и обучении всех сотрудников передовым методам работы с данными.

Кроме того, если вы считаете, что в будущем, когда ваша компания будет расти или расширяться на международном уровне , вам придется рассмотреть вопрос о соблюдении GDPR , у вас уже будет создана межгрупповая группа, знакомая с законами о соответствии.

Я написал более подробную статью об управлении данными , так что зайдите туда, чтобы получить больше советов о том, как создать свой комитет.

2. Ограничьте доступ к данным конкретным сотрудникам и ролям.

В идеальном мире сотрудники всегда будут обрабатывать данные в соответствии с передовой практикой. Но это не тот мир, в котором мы живем. Хотя вы должны приложить все усилия, чтобы ознакомить сотрудников с этими передовыми методами, также рекомендуется ограничивать доступ к конфиденциальным данным только сотрудникам, которым они абсолютно необходимы.

Установка программного обеспечения для управления идентификацией может помочь вам ограничить доступ к базам данных или определенным наборам данных в базе данных.

3. Узнайте, какие данные у вас есть

Это может показаться самой простой частью этого процесса, но, согласно опросу Veritas , более половины данных, которые хранятся в организациях, являются «темными» данными… что означает, что они понятия не имеют, что в них содержится, даже если они знают, что они держатся за это в первую очередь.

У моего коллеги Тирены Дингельдейн есть отличное объяснение того, как темные данные и «базы данных» вредны для бизнеса , а также несколько подробных советов о том, как их находить и добывать.

Взгляните на программное обеспечение интеллектуального анализа данных, чтобы понять, какие данные скрываются в тени, и поговорите со своим ИТ-отделом о возможных местах расположения темных данных.

4. Создайте резервную копию своих данных.

GDPR гарантирует, что граждане ЕС имеют право запрашивать доступ к своим данным, а также требовать от компании передачи прав собственности или удаления их данных. По этой причине крайне важно сделать резервную копию своих данных, чтобы убедиться, что они находятся в файле, если или когда ваши клиенты из ЕС запросят это.

Я уже писал о некоторых больших возможностях для резервного копирования данных малого бизнеса в здесь , так что я предлагаю проверить это. В итоге вам следует инвестировать в программное обеспечение для обеспечения непрерывности бизнеса, чтобы обеспечить постоянное резервное копирование и доступность ваших данных.

Обсудите передовые методы составления расписаний резервного копирования и хранилища резервных копий со своим ИТ-отделом, поскольку потребности каждой компании будут разными.

Кибер-безопасности

Еще один способ, которым ваша ИТ-команда может помочь вам подготовиться к GDPR, - это кибербезопасность.

Ни одна компания не хочет, чтобы ее взломали, но это случается. Фактически, это происходит успешно два раза в неделю , и это не считая тысяч пресеченных попыток, отражаемых вашей командой безопасности.

Согласно GDPR, компании обязаны сообщать об утечках данных, связанных с личными данными, непосредственно тем, кого это коснулось, в течение 72 часов с момента их обнаружения, в противном случае им грозят крупные штрафы.

Требование прямого общения с жертвами утечки данных, наряду с такими серьезными последствиями отказа сообщить о них, дает надежду на то, что произойдут некоторые быстрые и драматические инновации в области кибербезопасности.

Даже если по закону от вас не требуется соблюдение GDPR, вы должны действовать быстро, когда дело доходит до усиления персонала ИТ-безопасности. Рынок труда уже стал до смешного конкурентным .

А пока убедитесь, что ваша организация использует какое- либо решение для кибербезопасности или сетевой безопасности, чтобы защитить ваши данные от хакеров и злоумышленников.

Готовы или нет, GDPR происходит

Нравится вам идея GDPR или нет, вы будете нести ответственность за ее соблюдение с 25 мая, если у вас есть какие-либо личные данные о гражданах ЕС.

Я предполагаю, что, если GDPR окажется эффективным для Европейского Союза в предотвращении кибератак или предоставит гражданам больше ощущения контроля над своими личными данными, другие страны примут аналогичную политику.

Возьмем, к примеру, Великобританию, которая уже заявила, что примет аналогичные законы в отношении персональных данных после Brexit. Это крупнейший в мире рынок для экспорта услуг из США.

И если ваша компания когда-либо захочет расширяться, большая экономика Соединенного Королевства и население англоговорящих потребителей сделают ее одним из лучших вариантов для вашей американской компании.

Отложите в сторону свои чувства по поводу международных правил ведения бизнеса и примите во внимание тот факт, что резервное копирование и защита любых и всех бизнес-данных, личных или нет, уже считается передовой практикой. Рекомендуется прозрачность в отношениях с вашими клиентами, в том числе по таким вопросам, как утечка данных, чтобы затронутые клиенты могли предпринять соответствующие действия для предотвращения дальнейшей кражи данных.

Такие организации, как Facebook, уже предоставляют больше информации о том, какие данные они собирают о своих пользователях. Это пока не является широко распространенной деловой практикой, но, возможно, это произойдет после слушаний в Конгрессе Цукерберга.

Поэтому независимо от того, принимаете ли вы меры для соблюдения GDPR или для улучшения своего бизнеса, идите и защищайте свои данные и уважайте право своих клиентов на конфиденциальность и прозрачность данных.