Что такое закон ЕС о GDPR и как выполнять его требования

Закон о GDPR
GDPR – это нормативное регулирование, которое требует от компаний защиты персональных данных и конфиденциальности граждан Евросоюза за сделки, происходящие в странах-членах ЕС. Игнорирование этих требований может дорого обойтись компаниям.

Компании, которые собирают данные о гражданах стран Европейского союза (ЕС), должны принять новые правила о защите клиентских данных.

GDPR устанавливает новый стандарт прав потребителей в отношении их персональных данных (хранения и использования), но компании столкнутся с рядом проблем. Они будут вынуждены внедрять соответствующие процессы и системы для того, чтобы соответствовать предписаниям.

Принятие новых требований вызывает некоторые опасения и новые ожидания относительно службы безопасности. Например, GDPR широко рассматривает вопрос относительного того, что представляет из себя персональная идентификационная информация. Компаниям необходимо обеспечить одинаковый уровень защиты как для имен, адресов и номеров социального страхования, так и для IP-адресов или данных cookie.

GDPR не дает точных определений, поэтому возникают затруднения. Например, в регламенте говорится, что компании должны предоставлять «разумный» (reasonable) уровень защиты персональных данных, но не определяют, что является «разумным». Это дает контролирующим органам большую свободу действий, когда речь идет об определении суммы штрафов за нарушения данных и их несоответствие требованиям по безопасности.

Почему появился GDPR?

Если в двух словах, то из-за беспокойства общественности относительно конфиденциальности. В апреле 2016 года Европейский парламент принял GDPR, который вступил в силу 25 мая 2018 года. В Европе уже давно существуют более строгие правила, касающиеся того, как компании должны использовать персональные данные своих сограждан-клиентов. GDPR заменяет Директиву по защите данных ЕС 1995 года. Она была принята задолго до того, как интернет стал сосредоточием онлайн-бизнеса, которым он является сегодня. Следовательно, директива устарела и не охватывает многие способы хранения, сбора и передачи данных в современной реалии.

Что такое закон ЕС о GDPR

Беспокойство общественности относительно конфиденциальности значительно и возрастает с каждым днем, когда появляется информация о краже данных или «сливании» их в «сеть».

В регламенте GDPR содержатся положения, которые требуют от компаний защиты персональных данных граждан ЕС и конфиденциальности в отношении операций, совершаемых в странах-членах ЕС. Кроме того, новый регламент регулирует передачу персональных данных за пределы ЕС.

Данные положения приняты во всех 28 государствах-членах ЕС, а это означает, что компании теперь имеют только один общий стандарт для работы с персональными данными в ЕС. Однако этот стандарт достаточно высокий и потребует от большинства компаний больших инвестиций для того, чтобы соответствовать новому регламенту, а также применять его положения на практике.

GDPR в цифрах

Исследование компании PwC показало, что 92% компаний США считают GDPR лучшим механизмом для защиты данных.

Исследование, проведенное компанией Propeller Insights и спонсируемое компанией Netsparker, проанализировало ответы руководителей, на отрасль которых больше всего повлияет GDPR.

Большинство из них отметили, что больше всего подверглись влиянию:

  • технологический сектор (53%),
  • интернет-магазины (45%),
  • компании-разработчики программного обеспечения (44%),
  • финансовые услуги (37%),
  • онлайн-сервисы / SaaS (34%),
  • товары для розничной торговли (33 %).

Согласно отчету компании Ovum, 2/3 компаний в США считают, что GDPR потребует от них пересмотреть свою стратегию ведения бизнеса в Европе. Еще больше (85%) считают, что GDPR поставит их в невыгодное положение в сравнении с европейскими компаниями.

Распространяется ли GDPR
на вашу компанию?

ДА,

если вы обрабатываете персональные данные европейцев (хотя бы 1 европейца)

ДА,

если вы продвигаете товары или услуги в ЕС
(Например, вы используете официальный язык или валюту страны-участницы ЕС)

ДА,

если вы мониторите поведение субъектов из ЕС
(c целью последующего анализа и прогнозирования, профилирования пользователя)

ДА,

если ваша компания имеет филиал или представительство в ЕС

Что о GDPR говорят потребители?

Американская компания по компьютерной и сетевой безопасности RSA провела опрос 7500 потребителей из Франции, Германии, Италии, Великобритании и США.

Новый закон о GDPRСогласно отчету, 80% заявили, что потерянные банковские и финансовые данные являются главной проблемой. Потерянные секретные данные (например, пароли) и идентификационная информация (например, паспорта или водительские права) упоминались у 76% респондентов.

Интересный факт: 62% респондентов ответили, что они будут обвинять компанию в краже или потере их данных в случае взлома или сбоя, а не хакера.

Авторы отчета пришли к выводу, что «по мере того, как потребители становятся информированнее, они ожидают большей прозрачности и отзывчивости со стороны компаний, которым они доверили свои данные».

Отсутствие доверия к тому, как компании относятся к их личной информации, вынудило некоторых потребителей принять свои контрмеры:

  • Согласно отчету, 41% респондентов заявили, что намеренно фальсифицируют данные при регистрации в Интернете. Проблемы безопасности, желание избежать ненужного маркетинга или риск перепродажи личных данных были в числе главных причин, которые заставили их так поступить. В отчете также отмечено, что потребители не смогут легко простить компанию после того, как произойдет кража или потеря их персональных данных.
  • 72% респондентов из США заявили, что они бойкотируют компанию, которая несерьезно относится к защите их персональных данных.
  • 50% всех респондентов заявили, что с большей вероятностью будут делать покупки в компании, которая может доказать, что защита данных является ее приоритетом.

«По мере того как компании продолжают свои цифровые преобразования, более широко используют цифровые активы, услуги и большие объемы данных, они также должны нести ответственность за контроль и защиту этих данных ежедневно», – заключили авторы отчета.

Стоимость реорганизации компании под требования закона о защите персональных данных

Исследование PwC, проведенное в декабре 2016 года, показало, что 68% компаний из США рассчитывали потратить от 1 до 10 миллионов долларов США для удовлетворения требований GDPR. Еще 9% рассчитывали потратить более 10 миллионов долларов.

Возможно, эти расчеты и ожидания были несколько завышены.

Недавнее исследование Propeller Insights от марта 2018 года указывает на то, что большинство компаний потратят менее 1 миллиона долларов. Фактически, 36% респондентов сказали, что они потратят от 50 000 до 100 000 долларов, а 24% потратят от 100 000 до 1 миллиона долларов. Ожидается, что около 10% потратят более 1 миллиона долларов.