Соответствие GDPR: задачи, которые необходимо решить

К списку новостей

Спустя почти семь лет разработки и изменений, 25-го мая вступил в силу новый закон о сборе, обработке и защите данных. GDPR призван обеспечить европейских граждан большим контролем над персональными данными и заставить компании вести прозрачную политику в отношении хранения данных. Однако чтобы соответствовать требованиям GDPR, предприятиям приходится преодолевать множество трудностей, ведь в противном случае им придется столкнуться с большими штрафами.

Что такое GDPR?

Общий регламент о защите данных (General Data Protection Regulations) был издан, чтобы заменить устаревшую и вступившую в силу в 1995 году Директиву о защите данных. Почти 20 лет спустя существующий закон устарел и не соответствует современному цифровому веку. Это одно из самых важных законодательств в отношении технологий, интернета и пользователей. И теперь бизнес-миру приходится приспосабливаться к новым правилам с глобальным охватом.

GDPR призван защитить идентифицирующие персональные данные жителей Европейского Союза. Он объединяет несколько существующих законов и правил для стандартизации решений во всех странах ЕС. Регламент посвящен в первую очередь защите права пользователей на конфиденциальность и данные, которые они оставляют во время использования онлайн-сервисов и при совершении покупок. Он влияет на все предприятия и на процесс сбора, хранения и защиты информации потребителей.

Одним из основных требований закона является четкое уведомление о сборе данных. Компании должны уведомлять пользователей о сборе и использовании данных. В свою очередь, пользователи должны давать прямое согласие на использование данных компаниями. GDPR стремится обеспечить пользователей большим контролем над личными данными. Пользователи имеют право знать, какой информацией о них располагает компания или организация, а также могут прибегнуть к «праву на забвение» – потребовать удалить любые данные, если они считают, что их конфиденциальность нарушена. Регламент также вводит понятие псевдонимизации – процесса, согласно которому все данные должны быть зашифрованы, устраняя возможность их использования для идентификации личности человека

Понятие личных данных охватывает разные виды информации – все, что потенциально может помочь прямо или косвенно идентифицировать человека в интернете. Сегодня почти каждый аспект нашей жизни вращается вокруг данных. Практически каждый сервис, которые мы используем, онлайн или обычный, включает сбор и анализ наших личных данных. Социальные медиа, интернет-магазины, банки, страховые компании – все они собирают, анализируют и хранят информацию о нас, включая, но не ограничиваясь, именем, адресом, адресом электронной почты, медицинской информацией, IP компьютеров и многое другое.

В соответствии с GDPR, компании при нарушении безопасности данных обязаны сообщить о данном инциденте соответствующие органы власти в течение 72 часов. Однако это правило не требует от компании уведомлять  о подобных случаях самих пользователей.

На кого распространяется GDPR?

Новые правила имеют глобальный масштаб. Если бизнес предоставляет товары и услуги жителям Европейского Союза, он должен следовать требованиям GDPR, даже если компания зарегистрирована за пределами Европы. В случаи отказа выполнять требования, на компанию могут наложить штраф. Даже если вы ограничите доступ к вашему приложению, веб-сайту или интернет-магазину для пользователей с европейскими IP-адресами, вы не можете быть увертены, что европейские гражданы не будут использовать его из другой страны или же с помощью VPN, Proxy и т.д. Вы несете ответственность за все данные, которые вы собираете и храните.

Согласно правилам GDPR, существует две роли, которые может играть компания: контроллер данных (data controller) и/или обработчик данных (data processor.)

Контроллер данных определяет, как и почему данные обрабатываются. Эта организация, лицо или агентство не обязательно выступает обработчиком данных. Она может полагаться на третью сторону для сбора данных в соответствии с определенными правилами.

Обработчик данных выполняет фактический сбор и обработку данных. Он должен вести учет всех видов деятельности и в случае возникновения каких-либо споров, быть готовым доказать, что его действия не нарушают GDPR. В случае утечки данных и других нарушений, он уведомляет контроллера данных, который будет нести ответственность за выплату штрафов.

Права европейских граждан

В течение последних нескольких лет современный мир столкнулся со многими громкими утечками данных, в результате которых конфиденциальные данные попали в открытый доступ и заставили многих людей почувствовать себя уязвимыми. Компании не склонны открыто говорить о таких случаях со своими клиентами, которые зачастую узнают о подобных ситуациях из прессы.

GDPR вносит огромные изменения. Пользователи не только имеют право знать об утечке данных, они также могут определять, какие данные компании могут собирать и хранить. При опасении, что злоупотребление некоторыми данными может подвергнуть их угрозе, в частности, когда мы говорим о личных данных, банковской и страховой информации, они могут отказать третьим лицам в обработке своих данных.

Кроме того, если по какой-либо причине клиент хочет, чтобы компания прекратила хранения определенного типа данных, например, адресов электронной почты для списка рассылки, тогда он может воспользоваться «правом на забвение» и потребовать их удаления. Организация не может отказать в этом праве, не нарушив при этом регламент.

Люди также имеют право получить доступ к любой информации, которой располагает компания и знать, зачем эти данные обрабатываются, как долго они хранятся и кто имеет к ним доступ.

Штрафы за несоблюдение

Если вы все еще надеясь на лучшее и решили игнорировать GDPR, вам нужно пересмотреть свое решение. Риски огромные, поскольку штрафы чрезвычайно высоки. Важно знать о двух главных санкциях.

Прежде всего, если организация не сообщает об утечке данных в течение 72 часов после того, как ей станет об этом известно, ей будет выписан штраф в размере 10 миллионов евро или до 2% годового оборота, в зависимости от того, какая сумма окажется больше. Вам нужно не просто уведомить комитет, но и предоставить полный отчет о типе затронутых данных, количестве пострадавших пользователей и какие последствия происшествие может для них иметь, а также описать уже принятые меры и дальнейший план действий.

Однако кроме этого штрафа, вы также несете ответственность за утечку данных. В соответствии с GDPR, может быть наложен штраф в 20 миллионов евро или до 4% от годового оборота, в зависимости от того, какая сумма окажется выше. Подобное наказание способно повлиять на любую организацию, в том числе даже на многомиллионные корпорации.

Блокчейн и соответствие правилам GDPR

Компании во всем мире стремятся соответствовать жесткой политике нового регламента. Они нанимают специалистов по работе с данными, прибегают к консультантам и агентствам, чтобы упростить процесс интеграции новых правил в бизнес-операции.

Блокчейн позволит компаниям не хранить информацию о своих пользователях. Например, если клиент хочет купить продукт или оплатить сервис, он создает приватный адрес, покупает криптовалюту и совершает транзакцию. В таком случае компания не является ни процессором, ни контроллером, поскольку она не имеет доступа к данным, не использует и не хранит их. Оплата производится в децентрализованной сети, которую трудно использовать для идентификации личности. Это лишь один из многих примеров того, как блокчейн может упростить и ускорить процесс перехода к правилам GDPR.

Компания также может использовать блокчейн для хранения данных пользователей. За счет децентрализованности и отсутствию центрального уполномоченного органа, он защищен  от хакерских атак. Организация получает уникальную возможность предотвратить утечки данных, тем самым минимизируя вероятность нарушения регламента.

Emercoin изучает, какие возможности интеграция блокчейна в бизнес-операции может принести компаниям, которые хотят соответствовать новому регламенту. Вместе с UpLogics Consulting мы работаем над проектом, посвященным GDPR. UpLogics Consulting – это компания, обладающая более чем трехлетним опытом во внедрении блокчейн-технологий и предоставлении услуг для заинтересованных компаний. Вместе с Emercoin разрабатывается решение для обеспечения надежной и защищенной связи между бизнесом и пользователями, которые обладают полным контролем над личными данными. В скором времени мы больше расскажем о проекте. В ближайшее время мы расскажем о нем больше.

К списку новостей