Нова GDPR-реальність

6 квіт. 2018

На зміну Data Protection Directive 95/46/EС у 2016 році була прийнята директива General Data Protection Regulation (GDPR). Вона набуде чинності 25 травня 2018 року. Згідно з нею, незалежно від свого місцезнаходження, всі компанії, що оброблюють персональні дані резидентів і громадян ЄС, мають стати GDPR compliant. Тобто відповідати новим нормам ЄС про зберігання, обробку і передачу персональних даних. Це стосується і українських компаній  як тих, що ведуть діяльність на території ЄС, так і тих, що продають товари і послуги громадянам і резидентам країн ЄС.

Персональні дані стають усе більш уразливими, і для їхнього захисту прийнята нова директива GDPR

Директива DPD морально застаріла. Вона не була розрахована на сучасний рівень розвитку хмарних сервісів, технічні можливості для збору і передачі даних і підвищені кибер-ризики. І після 4-х років підготовки і дебатів у квітні 2016 року Європарламент прийняв директиву GDPR. Останні зміни до законів ЄС (Сookies Directive, ePrivacy Regulation), а також судові прецеденти (справа Сноудена, справа Шремса) стимулюють людей виявляти все більшу ініціативу в питаннях захисту персональних даних. Людині важливо, де і як зберігається інформація про неї і хто до цього має доступ, наскільки надійні сховища і що робити у разі витоку даних. 

І основна мета GDPR забезпечити право людини на приватність і на забуття.

Відповідальність за збереження даних несуть компанії, які їх збирають

Директива GDPR покликана стимулювати кожен суб'єкт (компанію), що обробляє персональні дані, забезпечити їхнє технологічно правильне зберігання і захист.


Основні аспекти, що регулюються GDPR:

  • обробка і зберігання даних;
  • згода користувача на збір і обробку даних;
  • забезпечення права доступу громадянина до своїх даних;
  • право на забуття (фізичне видалення даних з усіх серверів);
  • право на перенесення даних (на інші сервери або платформи);
  • захист даних і відповідальність за нього.

Для цього компанія повинна розробити модельний пакет документації, що підтверджує алгоритми зберігання і обробки даних, забезпечення використання їх тільки для вузьких цілей, на які спрямована така обробка.


Окрім цього, необхідно впровадити технологічний пул захисту даних і план швидкого реагування (Emergency Plan). Це чіткі заходи технічного характеру, які будуть застосовані при виявленні витоку інформації. Сюди ж відноситься і повідомлення про витік впродовж 72-х годин в органи контролю. Це слугуватиме імунітетом від санкцій відносно втрати даних.


Кожна компанія повинна вирішити, чи будуть ці умови створені власними силами, або варто звернутися до аутсорсингових компаній (юридичних і IT).

Норма європейська, але й українські компанії мають стати GDPR compliant

В Україні про відповідність GDPR варто замислитись інтернет-магазинам, що працюють на території Європи і отримують виручку в євро. Якщо компанія не відповідає GDPR, вона не має права працювати на території ЄС і з громадянами ЄС.


Якщо робота припускає взаємодію з контрагентом, то має бути проведений його аудит на відповідність нормам GDPR. І якщо відповідності немає —  відмовитись від співпраці з такою компанією. Це працює і навпаки, коли ви виступаєте контрагентом: компанії можуть відмовитись від ваших послуг внаслідок невідповідності GDPR.

Страхування кібер-ризиків дозволить нівелювати можливі втрати компанії при витоку даних

Якщо компанія не готова займатись питаннями безпеки персональних даних, але хоче відповідати нормам GDPR, варто найняти зовнішніх консультантів і/або застрахувати кібер-ризики.


Це дуже вигідно, оскільки у разі витоку всі втрати будуть нівельовані. Кібер-ризики страхують в основному іноземні компанії, що працюють на ринку України, в нас така культура ще не розвинена.


В майбутньому з'являться компанії, які візьмуть на себе і всю технічну частину, і всі ризики, пов'язані зі штрафами.

Блокчейн зміниться для забезпечення права на забуття

GDPR входить у прямий конфлікт з технологією блокчейн, оскільки стає нездійсненним право на забуття. У криптовалютах, наприклад, унікальним є хеш-стрічка гаманця людини. Виявивши одного разу зв'язок хешу і людини, можна отримати всю історію операцій за цим гаманцем і співвіднести транзакції з конкретною людиною. Проте це стосується не лише криптовалют: багато країн на рівні держави займаються питаннями побудови відкритих реєстрів цих жителів (кадастрів).

На даний час тривають пошуки вирішення цього питання. Одним з таких рішень може стати анонімізація деталей за транзакцією шляхом винесення персональних даних за межі блоків. У блоці при цьому залишиться лише ключ транзакції, маючи який, можна запросити детальні дані на зовнішньому сервері, десь за межами блокчейну. Проте тут простягається поле для маніпуляцій з даними якраз на  стороні цього сервера.

Підтверджуй безпеку або піди з європейського ринку

На сьогодні GDPR не має суворого регламенту, і тільки після набуття його чинності будуть зрозумілі механізми роботи контролюючих органів. Це призведе до вироблення єдиних підходів до захисту даних і сертифікації компаній на відповідність сучасним вимогам до захисту персональних даних, але не відразу. Найголовніше зараз для всіх компаній, так чи інакше пов'язаних зі збором і зберіганням персональних даних, підтвердити свою GDPR compliant, щоб мати можливість працювати на території ЄС.

Катерина Олійник, радник АО "Арцінгер"

Віталій Кузнецов, ІТ-директор АО "Арцінгер"


 


Пов'язані новини



Подпишитесь на наши публикации
И еженедельно получайте идеи для развития Вашего бизнеса


« назад