25 мая 2018 года был тем днем, когда вступил в силу GDPR – новое европейское законодательство по защите данных, обязательное для выполнения на всей территории Европейского союза. Хотя компании и имели два года для подготовки, все же в последний момент разгорелась серьезная борьба за внедрение нового регулирования.

Многие компании заметно нервничали и опасались, что вполне объяснимо, если учесть, что последствия нарушения положений GDPR очень серьезны: штраф в 10 миллионов евро или 2% годового оборота (Level 1) или 20 миллионов евро или 4% годового оборота (Level 2).

Но теперь, когда вся шумиха стала спадать, какую оценку ситуации мы можем дать? Адаптировались ли компании к новому законодательству? Решили ли они свои проблемы и устранили ли свои сомнения? Стандартизована ли корпоративная информационная безопасность в Европе? Закончился ли весь этот процесс? На самом деле, еще есть вопросы, которые необходимо решать, и, если мы анализируем последствия вступления в силу GDPR, мы можем сказать, в широком смысле, что возможны три различных ситуации.

Рост числа жалоб в разных странах

На протяжении последних недель перед вступлением в силу нового законодательства по защите данных, малые и крупные компании обращались к различным экспертам для адаптации к нему. Однако не все из них сумели тщательно подготовиться. По крайней мере, так думают многие потребители.

Согласно Guardian, агентства по защите данных во многих странах ЕС сообщают о резком росте числа жалоб на очевидные нарушения GDPR: английский UK Information Commissioner’s Office и французский French CNIL оба сообщили о том, что количество жалоб такого рода серьезно увеличилось. Например, во Франции наблюдается рост в 50%.

Google и Facebook под пристальным вниманием

Многие из компаний, которых больше всего беспокоило вступление в силу GDRP, являются малыми и средними предприятиями. Хотя эти компании обрабатывают меньше данных, они также имеют более скромные бюджеты, а это означает, что они имеют меньше ресурсов для выполнения всех требований нового законодательства. Однако реакции, которые мы наблюдаем за два месяца после вступления в силу нового законодательства, имеют совсем другое направление.

Фактически, согласно некоммерческой организации NOYB (None of Your Business), большинство жалоб направлены против технологических гигантов, таких как Google, Facebook или Twitter. Причина? Эти крупные компании, вместо того чтобы полностью менять свои политики обработки данных и адаптировать их к европейскому законодательству, выбрали другой путь: показывают стандартное сообщение, заставляя пользователей согласиться с их новой политикой конфиденциальности и информационной безопасности, в противном случае (если пользователи не согласятся), их аккаунты будут заблокированы.

Другая сторона: те, кто зашел слишком далеко

Тем не менее, есть и третий случай, о котором стали говорить многие люди: именно здесь мы увидели много крупных компаний, которые несмотря на то, что они вроде бы адаптировались к новому законодательству, все же решили направить пользователям электронное письмо, попросив их разрешения на получение уведомлений.

Если пользователь решил не согласиться с этими новыми политиками или просто не стал нажимать на ссылку в письме, компания, которая оправила это письмо, была вынуждена удалить этого пользователя из своей базы данных. В результате, такие компании удалили многих своих пользователей, чье разрешение на самом деле и не требовалось спрашивать. Т.е. они сильно перестраховались!

Вот что считает юрист Самуэль Парра: «Есть компании, которые были некорректно проконсультированы, и они оправили такие письма, в которых попросили своих пользователей снова согласиться с новыми политиками, хотя на самом деле, если эти данные пользователей были получены законным путем, дополнительные разрешения не требовались». Таким образом, «теперь они имеют проблему: они обнаружили, что 70 или 80% пользователей не нажали на ссылку в письме, а это означает, что компании вынуждены удалить их данные из своих баз данных”. Вероятно, в результате этого «некоторые компании могут потерять большие доходы в будущем, и все потому, что они были неправильно осведомлены».

Как бы то ни было, несомненно одно: все компании, которые обрабатывают данные, принадлежащие пользователям из Евросоюза, не только должны иметь разрешение от своих пользователей, но они также должны предпринимать определенные меры корпоративной информационной безопасности, такие как защита своих коммуникаций (электронные письма являются шлюзами для корпоративных угроз) или выполнение определенных действий и правил в случае возможных кибер-атак.

Если вы беспокоитесь об ИТ-безопасности вашей компании, то вам было бы интересно узнать подробнее о Panda Adaptive Defense, Это решение с опциями расширенной информационной безопасности не только автоматически реагирует на большинство наиболее частых типов вторжений, но также имеет команду аналитиков, которые способны предотвращать, обнаруживать и реагировать на кибер-атаки. Более того, встроенный модуль Panda Data Control (пока недоступен на территории стран СНГ) для упрощения задачи по соответствию положениям GDPR, способен помочь вам получить более качественное видение и контроль над всеми персональными данными, включая неструктурированные данные, для укрепления вашей безопасности.