Осталось почти 2 месяца. Именно столько осталось до вступления в законную силу Общеевропейского регламента по защите персональных данных (GDPR). Данный регламент имеет экстерриториальный характер и под его действие подпадает любая компания, которая осуществляет обработку и хранение персональных данных резидентов и граждан Европейского союза. Если ваша компания подпадает под действие этого закона, то готовы ли вы к его вступлению в законную силу? Вероятность того, что ваша компания еще не готова, достаточно высока, т.к. даже в Евросоюзе почти 60% компаний заявили, что они не готовы внедрять изменения, которые требуются согласно новому законодательству о защите персональных данных. Согласно недавнему исследованию Forrester, огромное количество предприятий работают над своей адаптацией к новому регламенту, но только 22% из них рассчитывают привести свое предприятие в соответствие требованиям GDPR в 2018 году. Впрочем, и это может оказаться слишком поздно, потому что о вступлении 25 мая 2018 года в силу данного регламента было известно еще два года назад.
GDPR: что это такое и почему следует обратить на него внимание?
На данный момент уже многие слышали о GDPR. Если ваша компания обрабатывает данные граждан и резидентов Евросоюза, то вам следует позаботиться о соответствии требованиям регламента. Но почему? Потому что вне зависимости от того, где расположено ваше предприятие, вы должны соответствовать требованиям GDPR. Очевидно, что многие компании не знают о том, какой глобальный охват имеет данный регламент, причем его действие распространяется не только на компании из Евросоюза. На самом деле, 43% ИТ-специалистов в США не верят, что GDPR как-то повлияет на работу их предприятия.
GDPR – это аббревиатура от названия General Data Protection Regulation. Данный регламент предназначен для того, чтобы защитить конфиденциальность персональных данных граждан Евросоюза и контролировать то, каким образом компании и организации обрабатывают, хранят и используют эти данные. Таким образом, положение регламента применимо к любой компании любого размера вне зависимости от того, где она расположена и где произошло событие по передаче персональных данных.
GDPR предоставляет физическим лицам расширенные права для контроля и доступа к своим персональным данным. В свою очередь, компании несут дополнительную ответственность за защиту этих данных. Среди основных нововведений отметим требование на получение явного и активного согласия физического лица на обработку, хранение и использование его персональных данных (информирование пользователя уже не достаточно: он именно должен предоставить свое согласие). Существует также требование уведомлять надзорные органы о нарушениях конфиденциальности и целостности персональных данных в течение 72 часов с того момента, как предприятию стало известно об инциденте. Кроме того, GDPR содержит новые права, такие как:
· право на забвение - пользователь может требовать от предприятия удаления своих персональных данных при определенных обстоятельствах: если отозвано согласие, если перестала существовать причина, по которой ранее эти персональные данные передавались и т.д.
· право на переносимость – пользователи имеют право требовать от предприятия, которое хранит его персональные данные, предоставить ему копию этих данных для переноса в другую организацию.
Несмотря на требования GDPR к компаниям усилить контроль персональных данных, некоторые компании, сильно связанные с вопросами персональных данных (например, в сфере связи или розничной торговли), наименее подготовлены к вступлению в силу данного регламента. По данным Forrester, всего лишь 27% компаний заявили, что они полностью соответствуют требованиям GDPR, а многие признались, что они начали внедрять изменения на своих предприятиях только лишь в результате «давления со стороны своих клиентов».
Риски не соответствия требованиям GDPR
Нарушение требований GDPR может иметь различные последствия:
- Экономические: Эти, наиболее обсуждаемые последствия больше всего волнуют представителей компаний, т.к. власти смогут назначать штрафы размером до 20 миллионов евро или 4% от годового оборота компании. Очевидно, что размер штрафов будет зависеть от многих факторов, таких как суть нарушения, его степень серьезности и продолжительность (например, сколько людей пострадали от нарушения и какой ущерб им был причинен), были ли эти нарушения вызваны неосторожностью или они были сознательны, имеются ли у предприятия другие случаи нарушения регламента и пр.
Наиболее серьезные штрафы будут налагаться на компании, которые не соблюдают основные принципы обработки персональных данных и нарушают права пользователей или передают персональные данные третьим странам или международным организациям, которые не могут обеспечить должного уровня их защиты.
В дополнение к этим административным штрафам, компании также могут столкнуться с дополнительными финансовыми последствиями в результате судебных требований от физических лиц по компенсации ущерба в результате того, что конфиденциальность и целостность их персональных данных были нарушены.
- Репутационные: Несоблюдение требований GDPR может привести к общественному порицанию таких компаний. Более высокая степень прозрачности, которая требуется в соответствии с этим регламентом, и требование уведомлять надзорные органы о нарушениях персональных данных может привлечь еще больше внимания к вашей компании – в обществе будет складываться негативное мнение о вашей компании, которая не способна защитить их персональные данные. Недостаток доверия и негативное общественное мнение может серьезно сказаться на успехе вашей компании – эти последствия могут быть даже более разрушительными, чем финансовые штрафы.
- Коммерческие: Неспособность показать, что ваша компания соблюдает требования законодательства может привести к тому, что вы потеряете клиентов и столкнетесь с проблемами при заключении договоров с другими компаниями. Клиенты не желают подвергать риску свои персональные данные, если ваш конкурент соответствует требованиям GDPR и способен защитить их данные. Это также может повлиять и на деловую активность предприятия: многие компании могут не захотеть быть вашим партнером и делиться информацией о своих клиентах с вашей компанией, которая может подвергнуть ее серьезному риску.
Короче говоря, не соблюдение требований GDPR может серьезно осложнить продажи вашей компании. Ущерб, причем не только экономический, от несоблюдения требований регламента слишком высок, чтобы его можно было игнорировать. Именно по этой причине мы решили помочь вашей компании соответствовать требованиям нового регламента, выделив конфиденциальность и защиту персональных данных в качестве приоритета. Микросайт http://info.pandasecurity.com/gdpr/ содержит всю информацию о GDPR, связанных с ним проблемах и о том, как Panda Data Control и корпоративные решения Panda помогают тысячам компаний защищать данные своих клиентов. Помните: до вступления регламента в законную силу осталось всего два месяца.