25 мая будущего года в Евросоюзе вступит в силу общее постановление о защите личных данных, цель которого – положить конец неоправданному использованию и утечке личных данных. Помимо своих положительных сторон новое постановление вызовет некоторые проблемы у эстонских бизнесменов.
ЕС борется с утечками данных: под ударом все эстонские фирмы
С помощью информационно-социальной кампании ИТ-фирма Squalio обращает внимание общественности на данное постановление (General Data Protection Regulation - GDPR), которое дает новые и гарантирует настоящие права физическим лицам, а также устанавливает ограничения для юридических лиц. Несмотря на то, что основной акцент постановления GDPR сделан на процедуре обработки личных данных, неотъемлемой частью станут и технические решения, с помощью которых будет повышена безопасность, а также сокращены утечки данных.
«Понятие личных данных определяется очень широко. Главным образом это те данные, которые касаются идентифицированных или идентифицирующихся физических лиц. Если предприятие имеет клиентскую базу, обратную связь или анкету пожеланий, адреса электронной почты, фотографии, записи камер наблюдения, программу лояльности клиентов, резюме и прочие подобные данные, то новое постановление ощутимо его затронет», - пояснила ведущий юрист компании Squalio Элина Гирне.
Главный юрист компании Elisa Eesti Аллан Аэдма также отмечает, что новое постановление станет хорошим стимулом для предприятий, чтобы провести основательную инвентаризацию в ИТ-системах и в базе данных – там, где обрабатываются или хранятся данные клиентов. «Важно помнить, что обработка клиентских данных не включает в себя такие активные процедуры, как, например, исправление или изменение данных клиента. Речь идет о том, что требованиям постановления о защите данных должно отвечать хранение данных клиентов как на серверах, так и в облачных хранилищах, а также просмотр этих данных и всевозможные другие подобные процедуры».
Также, по словам главного юриста Аллана Аэдма, проблемой будет поиск в инфосистемах предприятия таких мест, где в каком-либо виде могут существовать клиентские данные. «На протяжении своей работы многие эстонские фирмы производили всевозможные объединения и т.д., в ходе чего объединялись и имеющиеся базы данных на различных платформах. Как правило, все старые данные и носители информации на всякий случай сохранялись, и теперь, согласно новому постановлению, для любой обработки всевозможных данных клиента необходимо основание и подобное сохранение данных "на всякий случай" не разрешается», - поясняет Аэдма грядущее изменение, добавив, что предприниматель должен будет всегда доказать, что с его стороны обработка клиентских данных законна, происходит в безопасной среде.
Штрафы за несоблюдение постановления будут достаточно строгими – до 20 миллионов евро или до 4% от оборота. Если речь идет о международном предприятии, штраф будет начисляться с оборота всей группы.
Чтобы быть подготовленным к новому постановлению, предприятие должно осознавать свои риски и объемы хранящихся личных данных. Прежде всего, необходимо понимать, где и с какой целью хранятся эти данные. Кроме того, важно знать и указать, кому и каким конкретно сотрудникам доступны данные. Также нужно позаботиться о защите данных – чем больше объем личных данных, тем больше риск, что они попадут не в те руки. Важное место занимает схема отслеживания и оповещения. В ИТ-структуре необходимо иметь систему слежения, контролирующую сети, необычные авторизации и поведения пользователей, чтобы в случае взлома инфтраструктуры предприятия нужные сотрудники были об этом оповещены.
Разумеется, для применения подобных решений необходимо иметь достаточную мощность серверов, поэтому для малых и средних предприятий проще всего будет достигнуть подобной функциональности, используя облачные услуги для хранения данных. Уже сегодня крупные производители, в том числе Microsoft и Google, работают над достижением такой функциональности в своих облачных услугах Office 365 ja Google G Suite.
Чтобы предприятиям было проще привести документы в порядок, компания Squalio подготовила бесплатную папку юридических документов и примерами согласно постановлению, которую можно скачать на сайте squalio.com. О том, что представляет собой новое постановление GDPR и что оно означает для жителей Эстонии, можно послушать в специально подготовленном видеоролике.