Защита данных по GDPR: пугаться или радоваться? Часть 1
Эксперты DIS Group и корпорации Informatica объясняют, имеет ли GDPR отношение к вашей компании, чем он отличается от 152-ФЗ, как может быть организована защита данных клиентов наиболее эффективно, какие новые возможности открывают для бизнеса законы и регламенты по защите данных.
Шпрехен зи доич? Придётся соответствовать GDPR
Прошло больше двух месяцев с тех пор, как в Европе вступил в силу GDPR. В регламенте описана необходимая защита данных граждан ЕС. С первого взгляда может показаться, что к российскому бизнесу он не имеет отношения. Это заблуждение. И оно может стоить вам 20 миллионов евро.
Если ваша организация работает с гражданами Евросоюза, имеет юридическое лицо на его территории, GDPR соблюдать вам придётся. А вычислять тех, кто работает с европейцами будут и по косвенным признакам. Например, под действие регламента попадают компании, которые принимает оплату в евро, имеют сайт на одном из языков ЕС или европейский домен для сайта.
«Получается, что многие российские организации попадают под действие GDPR. Но волноваться по этому поводу не стоит. GDPR по своей сути очень похож на российский закон по защите данных – 152-ФЗ. Всё, что потребуется от российского бизнеса – понять различия и подстроиться только под них», объясняет Павел Лихницкий, генеральный директор DIS Group.
Два молодца одинаковых с лица или чем защита данных по GDPR отличается от требований 152-ФЗ
Требования GDPR во многом повторяют требования российского 152-ФЗ. Но европейский собрат менее детально описывает, как именно должна обеспечиваться защита данных клиентов, в том числе персональных данных.
В связи с нашумевшей блокировкой мессенджера Telegram, даже простые обыватели знают, что данные российских граждан должны храниться внутри нашей страны. GDPR не требует этого для данных европейцев.
Но он обязывает сообщать регулятору и владельцу персональной информации об утечках. В России организация самостоятельно может справиться с инцидентом и никому о нём не рассказывать.
Кроме того, европейский бизнес будет должен минимизировать объем собираемых данных и сроки их обработки. А также – еще на этапе планирования процедур обработки данных думать об их защите.
GDPR более детально описывает, что относится к персональным данным. Кроме тех, которые у всех у нас на слуху (ФИО, адрес, телефон), это и cookies, и IP-адреса.
Многие российские компании напугало положение о забвении: по требованию клиента они должны удалить все данные о нём. Но всё не так страшно, как кажется на первый взгляд. Удалить данные будет нужно только в том случае, если вы не сможете объяснить, для какой бизнес-задачи они используются.
Похожая ситуация и с получением согласия клиента на обработку данных. Его придётся получить только в тех ситуациях, когда нет других правовых оснований для сбора данных. Полный перечень таких оснований можно найти в тексте самого регламента.
Ещё одно значимое различие – величина штрафов. За нарушение 152-ФЗ придётся заплатить всего 75 тысяч рублей. Несоблюдение GDPR может повлечь за собой штраф до 20 миллионов евро или 4% от дохода компании.
Утечки создали «идеальный шторм»
Эксперты отмечают, что бояться стоит не строгих законов, а утечек данных. Законы и регламенты, наоборот, служат улучшению защиты данных.
Роберт Шилдс, руководитель маркетинга решений для защиты данных, Informatica, объясняет: «Бизнес сегодня столкнутся с «идеальным штормом» конфиденциальности данных и их защиты. Шторм этот вызван непрекращающимися потоками утечек данных, введением в силу законов и ростом осознания клиентов своих прав контролировать персональную информацию».
Даже высокотехнологические крупные игроки рынка не всегда способны эффективно защитить свои данные.
В марте 2018 Facebook допустил утечку данных 50 миллионов пользователей. Уже через неделю акции компании упали на 6,8%, а Марк Цукерберг, основной владелец социальной сети, потерял несколько миллиардов долларов.
В 2017 году из-за утечки в Equifax (американское бюро кредитной истории) были обнародованы номера социальной страховки 143 миллионов американцев, информации по их кредитным картам, персональным данным.
В 2015 году был взломан сайт британского телекома Talk Talk. Утечка данных коснулась почти 157 тысяч клиентов компании. В результате, Talk Talk получил рекордный штраф в 400 тысяч фунтов, стоимость её упала вдвое, 101 тысяча абонентов отказалось от услуг телекома, прибыль сократилась на 60 миллионов фунтов, а генеральному директору пришлось покинуть свой пост.
Эти случаи подтверждают, что защита данных своих клиентов стала важной частью любой компании, работающей на европейском рынке. О том, как правильно защищать данные и какие выгоды вам это принесёт читайте во второй части статьи по ссылке: https://dis-group.ru/company-news/articles/zashhita-dannyh-po-gdpr-pugatsya-ili-radovatsya-chast-2
Обновлено: 13.02.2023
Опубликовано: 26.07.2018