GDPR: як бізнесу слідувати загальному регламенту захисту даних (європейський досвід)

Що таке Загальний регламент про захист даних (GDPR)

Загальний регламент про захист даних (англ. General Data Protection Regulation, GDPR) — це регламент в межах законодавства Європейського Союзу, що націлений на посилення та уніфікацію захисту особистої інформації на території Європейського Союзу.

GDPR визначає нові європейські стандарти у сфері приватності людини. Цей регламент замінив рамкову Директиву про захист персональних даних 95/46/ЄС від 1995 року. Він спрямований на те, щоб у людини було більше законних інструментів контролювати власні дані.

Українські компанії, що працюють на європейський ринок, вже стикаються з вимогами GDPR, оскільки вони обробляють персональні дані резидентів Європейського Союзу. Таким компаніям обов'язково необхідно відповідати усім вимогам GDPR, щоби захистити компанію від штрафних санкцій.

Україна отримала статус кандидата на членство в ЄС, й одним з наступних кроків стане проведення низки реформ — у тому числі тих, що стосуються захисту персональних даних. Українським компаніям варто не гаяти час, й вже задуматися щодо стратегії трансформації, а також використання інструментів та сервісів, які забезпечать виконання усіх вимог GDPR.

Надаючи персональні дані для створення замовлення в інтернет-магазині, при використанні мобільного застосунку чи сайту, або для автентифікації особистості, користувачі почувають себе у безпеці завдяки Загальному регламенту ЄС та Великобританії щодо захисту даних (GDPR).

Проте для європейських компаній дотримання вимог GDPR стало складним завданням. А нездатність відповідати вимогам могло завдати як фінансових, так й репутаційних втрат.



За 1000 днів з моменту набуття чинності GDPR у травні 2018 року низка великих та малих підприємств були оштрафовані за невиконання вимог. У 2021 році стало відомо про понад 130000 випадків порушення зберігання чи використання персональних даних і накладено штрафи на загальну суму майже 1,1 млрд євро за порушення Загального регламенту захисту даних¹. Однією з таких компаній, що отримала штраф була Amazon: у липні 2021 року на неї було накладено найбільший на сьогодні штраф GDPR – 887 мільйонів доларів – за неотримання належної згоди користувачів щодо використання їхніх персональних даних.²

З переліком компаній, що отримали штрафи щодо використання персональних даних клієнтів, можна ознайомитися на сайті GDPR Enforcement Tracker.

Чому дотримання вимог GDPR стає справжнім викликом для компаній

Щоби слідувати GDPR, компанії повинні відповідати у визначені терміни на законні вимоги суб’єктів даних — запити окремих осіб («суб’єктів даних») щодо їхніх персональних даних, наприклад прохання про їх видалення. Організації також повинні мати можливість виконувати свої зобов'язання щодо захисту даних:

• знати, які персональні дані зберігаються у них, як і чому вони обробляються
• захищати персональні дані від несанкціонованого доступу, втрати чи навмисного знищення
• повідомляти органи влади та суб'єктів даних про будь-які порушення персональних даних

 

Для додаткової інформації, ознайомтеся зі списком прав, які гарантує GDPR (кожен пункт розгортається окремо)

У деяких організаціях зберігання та обробка персональних даних про співробітників та клієнтів є частиною повсякденної роботи. Це часто призводить до накопичення великого обсягу даних, що ускладнює керування ними. До таких ускладнень віднесемо:​

• запити на доступ до даних від (зазвичай колишніх) співробітників або клієнтів
• витік або злом даних, якщо персональні дані зберігаються в незахищеному сховищі
• повідомлення суб'єктів даних про порушення даних
• дотримання індивідуальних вимог, коли працівники несуть відповідальність за персональні дані, що зберігаються в їхній електронній пошті чи робочих документах

Непідготовлена організація може зіткнутися з тим, що дотримання вимог GDPR вимагатиме великих витрат часу та ресурсів. Без належних робочих процесів та допоміжних інструментів ви не зможете підтвердити, які дані про людину у вас є. А якщо відбудеться порушення, ви можете не бути впевнені, які саме дані були порушені, і тому не зможете виконати зобов’язання щодо звітності в терміни, встановлені GDPR.

Як інструменти для керування корпоративним контентом можуть підтримувати відповідність загальному регламенту захисту даних (GDPR)

Якщо ви знаходитесь в процесі переходу від паперового до цифрового керування інформацією, у вас є чудова можливість взяти до уваги відповідність вимогам GDPR та підготуватися до них. Навіть якщо ваші дані вже переведені в цифровий формат, ви все одно можете зіткнутися з проблемою пошуку потрібних вам даних, якщо вони зберігаються в кількох сховищах або погано контролюються, індексуються.

ECM-система для керування корпоративним вмістом (як-от інтелектуальна система M-Files) або рішення для корпоративного пошуку інформації (як-от dokoniFIND від Konica Minolta) допоможе спростити керування даними та дотримання вимог GDPR.

Подібні рішення допомагають вам отримати контроль над даними у вашій організації через керування доступом до інформації та моніторингу всіх ваших сховищ у режимі реального часу для виявлення будь-яких персональних даних, які не повинні там знаходитись. Наприклад, номери кредитних карток не повинні зберігатися в поштових системах. При виявленні таких випадків ви будете повідомлені та зможете оперативно вжити заходи щодо виправлення ситуації.

У рішеннях ECM, таких як M-Files, можна автоматизувати видалення інформації, строк зберігання якої вичерпано.

Більш ефективне реагування на запити суб'єктів даних

Рішення для керування контентом та корпоративного пошуку можуть допомогти знизити витрати та зусилля, пов'язані з відповіддю на запити суб'єктів даних. Вам більше не доведеться відривати співробітників від інших справ або залучати їх до понаднормової роботи.

Ці рішення полегшують пошук у численних джерелах даних та форматах файлів, автоматично визначаючи персональні дані у всіх сховищах даних (як структурованих, так і неструктурованих), витягуючи їх і дозволяючи створювати спеціалізовані звіти лише за кілька «клаців» мишкою. У порівнянні з ручними процесами ризик помилкового включення небажаних даних або помилкового виключення релевантних даних мінімальний.

Рішення для керування корпоративним контентом та пошуку також дозволяють перевірити, що всі необхідні дії з отриманими даними, наприклад видалення, були виконані відповідно до запиту.

Виконання вимог щодо повідомлення про порушення даних

Корпоративні ECM і пошукові рішення, подібні до M-Files та dokoniFIND, також допоможуть вам дотримуватися термінів і вимог GDPR щодо повідомлення про порушення даних, з меншими зусиллями.

Якщо ви вважаєте, що у вашій організації стався витік даних, наші рішення допоможуть вам створити звітність за всіма порушеними записами, що містять персональні дані, для передачі відповідним органам, що допоможе вам вкластися у встановлений 72-годинний термін повідомлення. Крім того, ви зможете без зайвих затримок створити необхідну звітність для передачі суб'єктам даних, що постраждали.

Перетворіть відповідність вимогам GDPR на конкурентну перевагу

За наявності правильних робочих процесів та допоміжних інструментів ви зможете легше та ефективніше виконувати зобов'язання GDPR щодо зберігання та обробки персональних даних, реагувати на запити суб'єктів даних та повідомлення про можливі порушення.

А з твердою впевненістю у здатності дотримуватися GDPR, ви можете гордо представляти свій бізнес як захисника конфіденційності особи, що допоможе сформувати та зберегти довіру та лояльність клієнтів.

 

¹ https://www.complianceweek.com/regulatory-enforcement/report-gdpr-fines-surpass-1b-in-2021-breach-notifications-also-rise/31259.article#:~:text=In%202021%2C%20there%20was%20an,28%2C%20the%20report%20noted
 

² https://www.techtarget.com/searchsecurity/feature/GDPR-as-we-enter-2022-Challenges-enforcement-and-fines