Безпека

GDPR: як бізнесу слідувати загальному регламенту захисту даних (європейський досвід)

Дотримання вимог загального регламенту захисту даних (GDPR або General Data Protection Regulation) може бути непростим завданням — особливо для українського бізнесу. Навіщо це потрібно українцям, та як оптимізувати зусилля та зменшити ризик недотримання вимог за допомогою інтелектуального рішення для керування корпоративним контентом.

22.06.2022
4 хв 4 хв
Зміст
Пройшло понад 1000 днів з моменту набуття чинності Загального регламенту захисту даних Європейського Союзу (EU GDPR). За цей час підприємства різних сфер та розмірів зіштовхнулися з труднощами при виконанні цих вимог захисту даних. У результаті багато з них були оштрафовані.

Для українських компаній, які працюють на внутрішній ринок, дотримання норм та вимог GDPR — наступний крок при потенційному проведенні державою реформ у сфері захисту даних. Особливо у світлі набуття Україною статусу кандидата у члени Європейського Союзу.

У нашому блозі розповідаємо, як інтелектуальне рішення для керування корпоративним контентом допоможе вашій компанії контролювати дані та більш ефективно виконувати усі вимоги загального регламенту захисту даних (GDPR).

Що таке Загальний регламент про захист даних (GDPR)

Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR) — це регламент в межах законодавства Європейського Союзу, що націлений на посилення та уніфікацію захисту особистої інформації на території Європейського Союзу.

GDPR визначає нові європейські стандарти у сфері приватності людини. Цей регламент замінив рамкову Директиву про захист персональних даних 95/46/ЄС від 1995 року. Він спрямований на те, щоб у людини було більше законних інструментів контролювати власні дані.

Українські компанії, що працюють на європейський ринок, вже стикаються з вимогами GDPR, оскільки вони обробляють персональні дані резидентів Європейського Союзу. Таким компаніям обов'язково необхідно відповідати усім вимогам GDPR, щоби захистити компанію від штрафних санкцій.

Україна отримала статус кандидата на членство в ЄС, й одним з наступних кроків стане проведення низки реформ — у тому числі тих, що стосуються захисту персональних даних. Українським компаніям варто не гаяти час, й вже задуматися щодо стратегії трансформації, а також використання інструментів та сервісів, які забезпечать виконання усіх вимог GDPR.

Надаючи персональні дані для створення замовлення в інтернет-магазині, при використанні мобільного застосунку чи сайту, або для автентифікації особистості, користувачі почувають себе у безпеці завдяки Загальному регламенту ЄС та Великобританії щодо захисту даних (GDPR).

Проте для європейських компаній дотримання вимог GDPR стало складним завданням. А нездатність відповідати вимогам могло завдати як фінансових, так й репутаційних втрат.



За 1000 днів з моменту набуття чинності GDPR у травні 2018 року низка великих та малих підприємств були оштрафовані за невиконання вимог. У 2021 році стало відомо про понад 130000 випадків порушення зберігання чи використання персональних даних і накладено штрафи на загальну суму майже 1,1 млрд євро за порушення Загального регламенту захисту даних¹. Однією з таких компаній, що отримала штраф була Amazon: у липні 2021 року на неї було накладено найбільший на сьогодні штраф GDPR – 887 мільйонів доларів – за неотримання належної згоди користувачів щодо використання їхніх персональних даних.²

З переліком компаній, що отримали штрафи щодо використання персональних даних клієнтів, можна ознайомитися на сайті GDPR Enforcement Tracker.

Чому дотримання вимог GDPR стає справжнім викликом для компаній

Щоби слідувати GDPR, компанії повинні відповідати у визначені терміни на законні вимоги суб’єктів даних — запити окремих осіб («суб’єктів даних») щодо їхніх персональних даних, наприклад прохання про їх видалення. Організації також повинні мати можливість виконувати свої зобов'язання щодо захисту даних:
  • знати, які персональні дані зберігаються у них, як і чому вони обробляються
  • захищати персональні дані від несанкціонованого доступу, втрати чи навмисного знищення
  • повідомляти органи влади та суб'єктів даних про будь-які порушення персональних даних
 

Для додаткової інформації, ознайомтеся зі списком прав, які гарантує GDPR (кожен пункт розгортається окремо)

Право на інформацію

  • Чітка інформація про те, для чого використовуються дані
  • Можливість для клієнтів дати чітку згоду та відкликати згоду

Право на доступ

  • Можливість суб’єкта даних отримати доступ до своїх даних

Право на забуття

  • Право на видалення даних, припинення обробки даних третьою стороною

Право на обмеження

  • Право на обмеження та припинення обробки даних у будь-який час

Право на перенесення даних

  • Право на отримання даних у машиночитаному форматі

Повідомлення про порушення

  • Компанії, які обробляють персональні дані, зобов’язані повідомити органи влади протягом 72 годин після того, як дізналися про порушення даних.

Співробітники із захисту даних

  • Компанії повинні призначити відповідальну особу за захист даних, який розуміє закон, зобов'язання та розбирається у процесах, що мають відношення до GDPR.

Оцінка впливу на конфіденційність

  • Компанії повинні оцінювати потенційний ризик для свободи та конфіденційності фізичних осіб при впровадженні або зміні процесів, пов'язаних з особистою інформацією (Personally identifiable information або PII), вживати заходів щодо зниження серйозних ризиків та впроваджувати концепцію конфіденційності на стадії розробки.

У деяких організаціях зберігання та обробка персональних даних про співробітників та клієнтів є частиною повсякденної роботи. Це часто призводить до накопичення великого обсягу даних, що ускладнює керування ними. До таких ускладнень віднесемо:​
  • запити на доступ до даних від (зазвичай колишніх) співробітників або клієнтів
  • витік або злом даних, якщо персональні дані зберігаються в незахищеному сховищі
  • повідомлення суб'єктів даних про порушення даних
  • дотримання індивідуальних вимог, коли працівники несуть відповідальність за персональні дані, що зберігаються в їхній електронній пошті чи робочих документах
Непідготовлена організація може зіткнутися з тим, що дотримання вимог GDPR вимагатиме великих витрат часу та ресурсів. Без належних робочих процесів та допоміжних інструментів ви не зможете підтвердити, які дані про людину у вас є. А якщо відбудеться порушення, ви можете не бути впевнені, які саме дані були порушені, і тому не зможете виконати зобов’язання щодо звітності в терміни, встановлені GDPR.

Захист даних — одне з головних завдань бізнесу

28% організацій стверджують, що захист даних є найбільшою проблемою для бізнесу.

Представники організації кажуть, що «нова норма», викликана пандемією, впливає на їхній підхід до керування корпоративним контентом та даними клієнтів:
 
  • 18% вважають, що їм потрібно переосмислити підхід до обробки даних про клієнтів
  • 34% упевнені, що це пов'язано із посиленням безпеки

Джерело: Дослідження щодо стану цифрової трансформації від Konica Minolta та Keypoint Intelligence, 2022

Відповідність вимогам та стандартам

Чи складно вашій організації захистити персональні дані відповідно до вимог GDPR? Можливо, вам незрозумілі нормативні вимоги? Або ви не знаєте, які особисті дані про колишніх і нинішніх співробітників та клієнтів у вас є? Чи не впевнені, де саме вони зберігаються та як обробляються?

Інтелектуальне управління інформацією

Як інструменти для керування корпоративним контентом можуть підтримувати відповідність загальному регламенту захисту даних (GDPR)

Якщо ви знаходитесь в процесі переходу від паперового до цифрового керування інформацією, у вас є чудова можливість взяти до уваги відповідність вимогам GDPR та підготуватися до них. Навіть якщо ваші дані вже переведені в цифровий формат, ви все одно можете зіткнутися з проблемою пошуку потрібних вам даних, якщо вони зберігаються в кількох сховищах або погано контролюються, індексуються.

ECM-система для керування корпоративним вмістом (як-от інтелектуальна система M-Files) або рішення для корпоративного пошуку інформації (як-от dokoniFIND від Konica Minolta) допоможе спростити керування даними та дотримання вимог GDPR.

Подібні рішення допомагають вам отримати контроль над даними у вашій організації через керування доступом до інформації та моніторингу всіх ваших сховищ у режимі реального часу для виявлення будь-яких персональних даних, які не повинні там знаходитись. Наприклад, номери кредитних карток не повинні зберігатися в поштових системах. При виявленні таких випадків ви будете повідомлені та зможете оперативно вжити заходи щодо виправлення ситуації.

У рішеннях ECM, таких як M-Files, можна автоматизувати видалення інформації, строк зберігання якої вичерпано.

Більш ефективне реагування на запити суб'єктів даних

Рішення для керування контентом та корпоративного пошуку можуть допомогти знизити витрати та зусилля, пов'язані з відповіддю на запити суб'єктів даних. Вам більше не доведеться відривати співробітників від інших справ або залучати їх до понаднормової роботи.

Ці рішення полегшують пошук у численних джерелах даних та форматах файлів, автоматично визначаючи персональні дані у всіх сховищах даних (як структурованих, так і неструктурованих), витягуючи їх і дозволяючи створювати спеціалізовані звіти лише за кілька «клаців» мишкою. У порівнянні з ручними процесами ризик помилкового включення небажаних даних або помилкового виключення релевантних даних мінімальний.

Рішення для керування корпоративним контентом та пошуку також дозволяють перевірити, що всі необхідні дії з отриманими даними, наприклад видалення, були виконані відповідно до запиту.

Виконання вимог щодо повідомлення про порушення даних

Корпоративні ECM і пошукові рішення, подібні до M-Files та dokoniFIND, також допоможуть вам дотримуватися термінів і вимог GDPR щодо повідомлення про порушення даних, з меншими зусиллями.

Якщо ви вважаєте, що у вашій організації стався витік даних, наші рішення допоможуть вам створити звітність за всіма порушеними записами, що містять персональні дані, для передачі відповідним органам, що допоможе вам вкластися у встановлений 72-годинний термін повідомлення. Крім того, ви зможете без зайвих затримок створити необхідну звітність для передачі суб'єктам даних, що постраждали.

Перетворіть відповідність вимогам GDPR на конкурентну перевагу

За наявності правильних робочих процесів та допоміжних інструментів ви зможете легше та ефективніше виконувати зобов'язання GDPR щодо зберігання та обробки персональних даних, реагувати на запити суб'єктів даних та повідомлення про можливі порушення.

А з твердою впевненістю у здатності дотримуватися GDPR, ви можете гордо представляти свій бізнес як захисника конфіденційності особи, що допоможе сформувати та зберегти довіру та лояльність клієнтів.

 
¹ https://www.complianceweek.com/regulatory-enforcement/report-gdpr-fines-surpass-1b-in-2021-breach-notifications-also-rise/31259.article#:~:text=In%202021%2C%20there%20was%20an,28%2C%20the%20report%20noted
 
² https://www.techtarget.com/searchsecurity/feature/GDPR-as-we-enter-2022-Challenges-enforcement-and-fines

Чи ви готові впровадити електронний підпис?

Згідно з дослідженням DocuSign, 95% компаній у Європі вже використовують електронні підписи, обирають постачальника електронних підписів чи планують придбати рішення для електронного підпису в майбутньому.

Дізнайтеся про застосування та переваги різних типів електронного підпису >
Вас також може зацікавити

Безпечне робоче місце — це належно захищена, безпечна праця

Чи ви маєте домашній офіс, чи працюєте у звичайному офісі компанії, а чи...

Безпека
18.10.2022

Управління резервним копіюванням: кожному бізнесу потрібен план «Б»

Втрата даних може призвести до катастрофічних наслідків для будь-якого...

Безпека
22.10.2022

Як сучасні інтелектуальні відеорішення формують майбутнє наших міст

Та чому відеоаналітика — неодмінний елемент успішного комфортного безпечного...

Безпека
30.06.2022
Дайджест