25 мая 2018 года в ЕС вступил в силу Общий регламент по защите данных (GDPR). Его цель – стандартизировать правила использования данных, которые хранятся и обрабатываются предприятиями внутри ЕС. Тем самым контроль над персональной информацией был передан непосредственно в руки пользователей. Что же изменилось за это время?

Кто соблюдает GDPR?

За два года действия GDPR часть предприятий в Евросоюзе успела подстроиться под требования регламента, и в основном это касается крупных международных компаний, для которых соблюдение GDPR – вопрос репутации. Для них это важное доказательство соответствия высоким стандартам безопасности по обработке персональных данных и гарантия перед партнерами и клиентами.

Кибергигиена в эпоху Covid-19 и не только

Однако многие внедряют правила защиты данных лишь формально, не углубляясь в детали и зачастую толком не осознавая возможных последствий, например, утечки данных. Для подтверждения соответствия GDPR важно не только наличие внутренних нормативных актов, но и внедрение соответствующих правил, обучение персонала, а также соблюдение требований к IT.

В свою очередь, что касается Украины, то здесь наблюдается положительная тенденция, потому что все больше предприятий осознают важность соответствия регламенту и преимущества от этого. Стоит помнить, что согласно второй части 3-й статьи регламента, он применяется и к тем компаниям, которые зарегистрированы вне Евросоюза, но предлагают свои товары и услуги на территории ЕС.

Какие последствия несоблюдения?

Несоблюдение требований GDPR в долгосрочной перспективе влияет не только на репутацию предприятия, но и на его финансовую стабильность. Для регулирования этих вопросов существуют контролирующие органы, которые выставляют внушительные штрафы.

Согласно статистике на январь 2020 года, за этот период в Европе было получено около 160 000 сообщений о нарушениях GDPR и оплачено 144 млн евро штрафов.

Штраф предусмотрен как за нарушения защиты данных, так и за отказ от сотрудничества с контролирующим органом или непредоставление информации субъекту данных. Например, в Латвии надзорный орган оштрафовал предпринимателя, предоставляющего услуги интернет-магазина. После проверки оказалось, что клиент этого интернет-магазина неоднократно обращался с просьбой удалить все личные данные, включая номер мобильного телефона. В конкретном случае коммерсант своевременно не предоставил ответ жителю (субъекту данных) об обработке его личных данных. Кроме того, предприятие не сотрудничало с Государственной инспекцией данных и не предоставляло ей необходимую информацию в срок. В итоге предприниматель был оштрафован на 7 000 евро.

Португальская больница была оштрафована на 400 000 евро, поскольку доступ к данным пациентов был открыт не только для врачей, но и для других сотрудников учреждения. А в Дании таксомоторной компании был выставлен штраф в 160 000 евро за несоблюдение срока хранения данных.

За ситуацией со штрафами по GDPR в ЕС можно следить на специальном веб-сайте, но это неполный список компаний-нарушителей, поскольку не все штрафы являются публичными. Здесь в хронологическом порядке представлена информация о несоблюдении требований регламента, а также суммы штрафов и соответствующие типы нарушений. Так, в конце апреля 2020 года нидерландская организация была оштрафована на сумму в 725 000 евро за недостаточную правовую базу для обработки данных. Компания требовала от сотрудников сканировать отпечатки пальцев для регистрации посещения, но не смогла предоставить доказательств об их соглашении на обработку этих данных.

Дія и скандал. Кто виноват в сливе персональных данных миллионов украинцев

Нужны ли эксперты по GDPR?

Актуальность экспертов по GDPR во многом определяют 3 обстоятельства: род деятельности предприятия, масштаб бизнеса и активность надзорного органа.

Это значит, что услуги экспертов по GDPR по-прежнему актуальны, если компания ведет, например, деятельность в финансовом секторе, в сфере страхования, предоставления IT-услуг или занимается онлайн-продажами. Такие бизнесы тесно связаны с обработкой личных данных. Кроме того, соответствие GDPR является важным условием деятельности для предприятий международного уровня, в особенности в ЕС. Они должны предоставить своим партнерам гарантии конфиденциальности и защиты данных.

Covid-19: влияние на GDPR

Еще рано подводить итоги влияния Covid-19 на сферу защиты данных, но уже сейчас мы видим, что пандемия коснулась и этой ниши. В основном это проявляется в двух аспектах: контроле за пандемией и смене рабочих привычек (массовый переход на дистанционную работу). И если первый из них обязаны урегулировать госорганы, то вторым должны быть обеспокоены как раз предприятия.

Дистанционная работа подразумевает новые требования как к защите данных, так и к правомерности их обработки. Переводя сотрудников на дистанционную работу, многим предприятиям нужно позаботиться о безопасности данных при удаленной работе, безопасности средств удаленной связи, необходимости чаще использовать облачные решения. Также им придется задуматься о правах и обязанностях использовать дистанционные средства (например, MS Teams или Zoom), о праве вести запись видеозвонков.

Названы 7 новейших технологий, угрожающих кибербезопасности

Важно отметить, что в статье 9 GDPR предусмотрено право обрабатывать личные данные (включая данные о состоянии здоровья), если это необходимо в интересах общества в области здравоохранения. Это означает, что в целях контроля эпидемии работодатель может обрабатывать информацию, связанную со здоровьем сотрудника (например, измерять его температуру), но открытым остается вопрос о соразмерности обработки этих данных и продолжительности их хранения.

Как защитить личные данные от утечки?

Для того чтобы ваши данные оставались в целости и сохранности, важно следовать простым правилам безопасности:

  • не предоставлять персональную информацию по телефону незнакомым людям;
  • отправляя личные данные по e-mail, использовать шифрование файлов;
  • не делиться паролями от своих аккаунтов и устройств с коллегами;
  • использовать облачные услуги и создавать резервные копии данных, чтобы избежать потерь.

Как видим, степень доверия клиентов и партнеров к компаниям во многом определяется соблюдением GDPR. И если вы хотите масштабировать свой бизнес, то стоит детально изучить новые нормы по хранению и обработке персональных данных и неукоснительно им следовать.

Дайнис Шпель, Tet compliance officer (ex-Lattelecom)

Хотите первыми получать важную и полезную информацию о ДЕНЬГАХ и БИЗНЕСЕ? Подписывайтесь на наши аккаунты в мессенджерах и соцсетях: Telegram, Twitter, YouTube, Facebook, Instagram.

Теги: GDPR
Просмотров: 242