Что необходимо знать предприятиям о Генеральном регламенте о защите данных в ЕС
Казалось будет сложно побить рекорд взлома аккаунтов Yahoo в 2016 году — по данным, было украдено пол миллиона аккаунтов — на самом деле этот рекорд был побит в одном инциденте в том же году. Печально известный сервис спам-рассылки River City Media вместе с другой личной информацией пользователей слил абсолютно феноменальное количество аккаунтов э-почты — 1,37 миллиардов.
Учитывая, что одно нарушение может повлиять на сотни миллионов пользователей, и во многих странах безопасность личных данных является горячей темой, то понятно, что правительства сосредоточились на конфиденциальности данных и вопросах безопасности.
Правительственные органы начинают действовать. Так, например, менее чем через 12 месяцев, компании, осуществляющие деятельность в Европейском союзе, должны будут соответствовать новому набору правил защиты данных, которое называется Генеральным регламентом о защите данных (General Data Protection Regulation — GDPR). Регламент о защите данных предназначен для унификации правил о защите данных в Европе и определить обязанности соблюдения перемещения данных в Европейском союзе между государствами-членами ЕС и их партнерами по всему миру. В сущности, регламент направлен на улучшение использования и хранения персональных данных и защиты от злоупотреблений ими.
Во-первых, Генеральный регламент о защите данных более подробно и в более полном контексте уточняет термин личных данных (”любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу”), указанный в директиве ЕС о защите данных. В соответствии с поправками, вступающими в силу в следующем году, личными данными считается IP адрес, генетическая, ментальная, культурная, экономическая или социальная и тому подобная информация. Личными также считаются псевдонимы и нарицательные имена — их часто можно соотнести с конкретными лицами в предприятии. Это определение также включает в себя имена клиентов, номера телефонов и адрес, а также документы поставщиков и сотрудников.
Во-вторых, Генеральный регламент о защите данных устанавливает ряд мер, направленных на увеличение прозрачности обработки и управления информацией: от пользователей будут требовать более определенного согласия, также, по желанию, пользователи смогут отозвать свое согласие. Пользователи получат право запросить информацию о том, как, где и с какой целью обрабатываются их персональные данные. Кроме того, пользователи смогут запрашивать все свои личные данные от организаций, которые используют эти данные, и они смогут требовать удалить эти данные с серверов организации.
В заключении, разрабатывая новые системы, уже на начальном этапе необходимо включить меры по обеспечению безопасности, чтобы обеспечить интегрированный принцип защиты данных. К тому же организациям, основная деятельность которых связана с обработкой большого количества личных данных, будет необходим штатный ИТ-специалист. Целью этих мер является снизить вероятность утечки данных, но, если инцидент произойдет, организация будет обязана сообщить об этом в течение 72-ух часов с момента обнаружения утечки данных.
Предприятиям, которые не будут соблюдать данный регламент, грозят очень большие штрафы: до 4 % от общего оборота за год по всему миру (т.е. от доходов), или штраф в размере до 20 миллионов евро, в зависимости от того, какая сумма будет больше. Да-да, это не опечатка — от общего оборота за год по всему миру. Для международных компаний, которые физически не находятся на территории Европы, правила касаются всех данных граждан ЕС, которые хранятся или обрабатываются данной компанией, независимо от того, обрабатываются ли данные на территории ЕС или за ее пределами.
В течение следующих месяцев мы рассмотрим, как Генеральный регламент о защите данных повлияет на разные департаменты предприятий: ИТ, кадровый отдел, продажи и маркетинг, юридический отдел, финансы и бухгалтерский учет. Готово ли ваше предприятие к этим изменениям? Специалисты Kaspersky Lab готовы помочь* процессу подготовки.