Усі організації, які надають послуги або продають товари в ЄС, повинні прийняти нові правила захисту даних. Інакше вони можуть бути оштрафовані на 4% від світового обороту, який сягає приблизно 24,5 мільйонів доларів.
Набуття чинності GDPR вплине на бізнес у всьому світі, включаючи 52% американських компаній. Багато компаній вже заявили, що готові до сучасних правил.
Проте, згідно з прогнозами Gartner, лише половині фірм вдасться прийняти ці вимоги. Ви можете знайти список рекомендацій від компанії-розробника програмного забезпечення Belitsoft, які допоможуть вам бути серед таких бізнесів.
Що означає GDPR? Які організації повинні дотримуватися GDPR?
GDPR означає Загальний регламент захисту даних. Це юридичний документ із детальним переліком правил збору та обробки персональних даних.
Попередній список, представлений у 1995 році, був списком рекомендацій. На відміну від цього документа, GDPR передбачає суворі зобов’язання для всіх організацій, які збирають або обробляють особисту інформацію.
Крім того, усі ваші підрядники мають відповідати стандарту GDPR для вашого продукту (включаючи компанії, які надають вам ресурси для розробки програмного забезпечення), щоб гарантувати, що ваше рішення відповідає вимогам GDPR.
Gartner прогнозує, що влада перевірить дотримання нового стандарту відразу після затвердження GDPR і набуття чинності. Тому попередня підготовка допоможе компаніям уникнути штрафів та інших негативних наслідків для бізнесу, наприклад, втрати клієнтів і партнерів.
Ця постанова разом із супровідними документами має 260 сторінок і потребує тривалого та ретельного вивчення. Тим не менш, ми підготували короткий перелік кроків, які ви можете зробити зараз, щоб відповідати його вимогам.
Переконайтеся, що ви отримали згоду користувачів
Відповідно до GDPR, ви зобов’язані запитувати користувачів, чи погоджуються вони з тим, що ваша компанія збирає та обробляє їхні дані.
Ваша програма має попередити клієнтів про те, яка саме інформація збирається, чому ваша організація збирається її використовувати та як. Якщо клієнт нічого не робить, це не означає його згоди. Клієнт повинен виконати певну дію, наприклад, поставити галочку. Все, що вам потрібно, це налаштувати своєчасне сповіщення, яке детально описує запит і дозволяє користувачам погоджуватися або відхиляти його.
Зверніть увагу: якщо у вас уже є база даних клієнтів (БД), вам, імовірно, слід запитати у них дозвіл ще раз, оскільки рівень згоди може бути нижчим, ніж вимагає новий регламент. Пам’ятайте, що користувач повинен виконати чітко визначену дію, щоб продемонструвати свою згоду, наприклад натиснути кнопку «Я згоден».
Вам не потрібно отримувати згоду користувачів, якщо вам потрібна певна інформація для надання ваших послуг. Наприклад, інтернет-магазин запитує ім’я та адресу електронної пошти для доставки товару. Тим не менш, якщо ви хочете використовувати дані клієнтів для реклами чи інших додаткових цілей, вам заборонено робити це без згоди.
Зашифрувати особисту інформацію
Ешлі Медісон зберігала адреси клієнтів і дані їхніх кредитних карток без шифрування. Коли хакери атакували компанію, на неї неодноразово подавали позови за витік даних, і йшлося про мільйони доларів. Крім того, якби влада затвердила GDPR до того моменту, компанія була б серйозно оштрафована.
Шифрування даних забезпечує додаткові блокери, які хакерам потрібно подолати, перш ніж отримати доступ до інформації.
32 стаття GDPR вимагає «найсучасніших» заходів захисту. Проте компаніям не дано чітких вказівок, вони повинні самі визначити ці заходи.
Є три попередні стратегії, якими ви можете керуватися, щоб створити базу даних, сумісну з GDPR:
- побудова власного сервера з централізованою БД;
- використання стороннього сервера, сумісного з GDPR, із централізованою БД;
- використання технології блокчейн і проектування спеціального сервера з децентралізованою БД.
Мінімізуйте обсяг даних, які ви зберігаєте
Зберігайте лише ту інформацію, без якої ви не можете працювати. Було б корисно реалізувати автоматичне видалення всіх даних, які вам більше не потрібні.
Це рішення захистить конфіденційність ваших користувачів і позбавить вас від неприємностей під час кібератак і витоку даних: спілкування з органами влади та власниками зламаних облікових записів.
Задокументуйте свої заходи захисту
GDPR вимагає не лише впроваджувати заходи безпеки, але й документувати кожен крок, щоб підтвердити вашу відповідність у разі офіційного аудиту.
Тому ви повинні вести всю документацію в порядку: реєстр персональних даних, політики безпеки та інші документи, детально описані на сайті Уповноваженого з питань інформації.
Спеціаліст із захисту даних зазвичай відповідає за запис і організацію всіх цих активів у вашій організації. Якщо у вас немає такого професіонала, ви також можете не відповідати вимогам GDPR і зіткнутися з репутаційними та фінансовими ризиками.
Підготуйте план форс-мажорів
У будь-якому випадку майте стратегію проти втоми та витоку даних. У більшості ситуацій ви повинні повідомити про проблему в офіс уповноваженого з інформації протягом 72 годин. Якщо ви вирішите не повідомляти їх, у вас повинна бути вагома причина, належним чином описана та підтверджена документами. Якщо цей витік персональних даних створює «високий ризик для прав і свобод осіб», ви також повинні повідомити своїх користувачів.
Повідомлення для клієнтів має включати такі моменти:
- Ім’я та контактна інформація вашого DPO або іншого спеціаліста, який відповідає за безпеку користувачів.
- Подробиці про можливі наслідки витоку даних;
- Ваші заходи щодо боротьби з цим порушенням даних.
Якщо ви не повідомили в офіс Уповноваженого з питань інформації, коли це було необхідно, ви можете отримати штраф у розмірі 10 мільйонів євро, не кажучи вже про додаткові штрафи. Попередня підготовка належної процедури звітності може значно зменшити ці ризики.
Підводячи підсумок
Експерти прогнозують, що лише половина організацій виявиться сумісною з GDPR. Незалежно від вашого місцезнаходження ви підпадаєте під дію GDPR, якщо надаєте послуги чи продаєте товари громадянам ЄС. Клієнти можуть вимагати видалення персональних даних або виправлення попереднього дозволу. Порушення закону призводить до високих штрафів і шкоди репутації.
