Уже есть учетная запись?

  •   Персонализированная информация
  •   Ваши продукты и поддержка

Нужна учетная запись?

Создать учетную запись

Чему мы научились при подготовке к GDPR

Австрийская компания, занимающаяся ставками на спорт и онлайн-играми, прошла обучение по выполнению требований GDPR, несмотря на то, что у нее уже накоплен богатый опыт работы с данными клиентов.

Весной 2017 года Майкл Мрак (Michael Mrak) готовился к надвигающемуся цунами, известному как Общеевропейский регламент о защите персональных данных (GDPR). Этот закон характеризуется самым радикальным за два десятилетия набором изменений, внесенных в регулирование конфиденциальности данных.

Введенный в действие в мае 2018 года Общеевропейский регламент о защите персональных данных (GDPR) требует от каждого члена Европейского Союза более строгой защиты потребительских и персональных данных. Он также призывает к большей согласованности между странами ЕС при защите персональных данных. Любая компания, в том числе за пределами ЕС, которая продает товары или услуги резидентам ЕС, отвечает за соблюдение GDPR.

Штрафы за несоблюдение требований значительны: из-за несоблюдения GDPR предприятия могут подвергнуться риску штрафов в размере до 4 % годового мирового оборота или 20 миллионов евро (в зависимости от того, что больше). А сейчас в США внимательно рассматривают элементы GDPR. Принятый в июне 2018 года Калифорнийский закон о защите личной информации потребителей применяет некоторые меры защиты из GDPR в штате Калифорния.

Для специалистов по соблюдению нормативных требований, руководителей информационных служб и множества других специалистов в области ИТ и бизнеса значимость GDPR значительно возросла с тех пор, как компании начали готовиться к нему в апреле 2016 года, когда ЕС принял этот регламент.

Майкл Мрак (Michael Mrak), руководитель отдела соответствия нормативным требованиям в Casinos Austria AG

«Обстановка была очень напряженная», — вспоминал Майкл Мрак, руководитель отдела соответствия нормативным требованиям в Casinos Austria AG, группе компаний, занимающихся онлайн-играми и ставками на спорт, во время подготовки к выполнению требований к GDPR на Конференции RSA в 2019 году. По его словам, компании волновались, что не смогут обеспечить соответствие требованиям.

Но самое главное, что соблюдение требований GDPR — это путь, а не момент достижения цели. «К 25 мая 2018 года по плану генерального директора и совета директоров должно было быть обеспечено полное соответствие требованиям», — сказал Марк. — «Именно этого руководители обычно ждут от вас: вы должны соответствовать. . . . Просто сделайте это. Но затем вы сталкиваетесь с реальностью.»

Об этом говорят все компании, стремящиеся соответствовать требованиям GDPR. Сотрудники EY и International Association of Privacy Professionals расспросили 550 специалистов по конфиденциальности данных о соответствии требованиям GDPR при подготовке отчета об управлении конфиденциальностью IAPP-EY Annual Privacy Governance Report 2018. Более половины респондентов (56 %) ответили, что они не соответствуют или никогда не будут полностью соответствовать этим требованиям. Согласно недавнему сравнительному исследованию Cisco в области конфиденциальности данных в 2019 году 42 % респондентов заявили, что ключевым вопросом соблюдения требований GDPR является бремя различных требований к безопасности данных.

Компании, которые потратили время на организацию собственной защиты данных, находятся в лучшем положении с точки зрения подготовки к выполнению требований GDPR. Разработка процессов документирования, создание межведомственных альянсов и подход к обеспечению соответствия требованиям как к процессу, наилучшим образом способствуют успеху на этом пути.

«Консультанты, с которыми мы общались, говорят, что соблюсти требования GDPR на 100 % невозможно, — написал Клаудиу Даскалеску (Claudiu Dascalescu) в блоге по соблюдению требований GDPR. — Попробуйте разработать эффективную стратегию защиты и конфиденциальности данных на основе собственного сценария.»

Рекомендации по подготовке к выполнению требований GDPR

Мрак поделился своими знаниями, накопленными с 2016 года.

1.      Построение коммуникации в рамках всего бизнес-подразделения. Мрак сказал, что один из ключевых аспектов готовности к выполнению требований GDPR — это создание проектной группы и работа с отдельными бизнес-подразделениями и корпоративными группами поддержки, одни из которых обрабатывают персональные данные клиентов, а другие играют определенные роли в случае нарушения безопасности, такие как внутренний аудит и корпоративные коммуникации. Мрак отметил, что в этот процесс на ранних этапах были вовлечены различные отделы, которые сыграли назначенную роль.

2.       Стресс-тесты планов в отношении GDPR. Компания Casinos Austria проверила свои программы обучения и процессы по выполнению требований GDPR, смоделировав два сценария.

«Мы смоделировали потерю данных, а во втором случае рассмотрели кражу данных и их разглашение в СМИ», — вспоминает Мрак. Сотрудники компания удачно применили приобретенные знания во время проработки этих фиктивных сценариев, однако в процессах компании были замечены пробелы, такие как неспособность уведомить свой центр обслуживания клиентов об утечке данных. «Это большая проблема, так как этого требует GDPR. Компании должны информировать об этом своих сотрудников и клиентов.» Координаторы конфиденциальности тесно сотрудничают с отделами соответствия нормативным требованиям.

3.       Создайте таблицу удаления данных. В нормативно-правовой базе могут существовать противоположные требования к хранению данных. «Есть два противоречивых набора норм по сбору и обработке данных, которые мы должны выполнять», — подчеркнул Мрак.

Например, согласно некоторым нормам компания Casinos Austria обязана хранить данные транзакций клиентов в течение различных периодов времени (данные, относящиеся к налогам, должны храниться семь лет, а другие данные клиентов может требоваться хранить только пять лет). Однако GDPR требует своевременного удаления данных. Право на забвение, еще одна европейская норма, также требует удаления по запросу неточных данных о пользователе. Эти противоречивые цели — хранение данных, чтобы компании могли проверять данные клиентов и историю транзакций, а также необходимость удаления данных для защиты от нарушений или неправильного обращения, — часто требуют создания таблицы удаления данных, чтобы специалисты по соблюдению требований и нормативов понимали, когда они могут (и когда это целесообразно) удалить данные.

4.      Решите проблему устаревших систем, в которых отсутствуют возможности автоматического удаления. Во многих устаревших системах баз данных с данными о клиентах может не быть возможности автоматического удаления данных на основе сроков действия или запросов клиентов. Без автоматизации специалисты по соблюдению требований и нормативов могут быть поглощены управлением временными горизонтами и одноразовыми запросами. Компании должны создавать промежуточные решения, чтобы помочь автоматизации этих практик удаления, чтобы ни одна проблема не осталась незамеченной. По словам Мрака, в будущем важную роль в этой области будет играть искусственный интеллект, автоматизирующий процессы обработки.

5.       Обеспечьте соблюдение других норм. Соблюдение других стандартов и норм может помочь подготовиться к выполнению требований GDPR. Например, Международная организация по стандартизации сформулировала стандарт ISO 27001, ориентированный на информационную безопасность. «Хотя информационная безопасность и защита данных не одно и то же, — сказал Марк. — Они допускают одинаковое обращение. Именно здесь вступают в действие стандарты. Если вы используете ISO 27001, вы легко сможете выполнить технические аспекты требований GDPR.»

6.       Получите поддержку на уровне руководства. Как и во многих инициативах, поддержка на уровне руководства имеет решающее значение для обеспечения эффективности и действенности соблюдения требований GDPR. Поскольку у руководства был «высокий уровень осведомленности» о GDPR, данный проект в Casinos Austria был многофункциональным, высокоприоритетным и относительно успешным. «Количество встреч с ответственными за системы и старшим руководящим персоналом было неожиданно большое», — сказал Мрак.

Обеспечение соблюдения требований GDPR — это процесс, а не разовое событие

В то же время бизнес-подразделениям и вспомогательным группам поддержки необходимо периодически напоминать о том, как повышать эффективность и уменьшать количество ошибок.  «Объем внутренней коммуникации по-прежнему огромен, — сказал Мрак. — Я все еще бегаю по отделам в качестве посла по этому вопросу. Я все еще объясняю: "Нам нужно оптимизировать процессы; нам нужна автоматизация".»

По словам Мрака, встраивание сроков автоматического удаления и сроков хранения в устаревшие системы может продлиться до 2020 года. Это может быть проблематично с коммерческой точки зрения, тем более, что GDPR не вносит непосредственный вклад в прибыль компании.

«Открою вам секрет: мы не зарабатываем деньги на GDPR», — сказал Мрак с оттенком сухой иронии. В то же время он считает, что соблюдение норм напрямую связано с удержанием клиентской базы и качеством обслуживания клиентов.

Исследование Cisco по конфиденциальности данных перекликается с этой концепцией, поскольку 41 % респондентов заявил, что они получили конкурентное преимущество благодаря своим инвестициям в обеспечение конфиденциальности, обеспечившим готовность к выполнению требований GDPR.

«Если вы можете сказать: "Мы делаем все для обеспечения безопасности ваших данных. Кому вы доверяете, когда тратите деньги?", у компаний есть шанс завоевать клиентов», — сказал Марк.

Кроме того, если компании не справятся с обеспечением конфиденциальности данных, они могут многое потерять.

«Если вы считаете, что соблюдение норм обходится дорого, — сказал Мрак, — попробуйте их не соблюдать».

Лорен Хорвиц — старший редактор сайта Cisco.com, где она освещает рынок ИТ-инфраструктуры и разрабатывает контентную стратегию. Ранее Хорвиц была старшим ответственным редактором в группе по приложениям и архитектуре для бизнеса компании TechTarget; старшим редактором в Cutter Consortium, исследовательской компании в области ИТ; и редактором политического журнала American Prospect. Она получила награды от Американского общества редакторов публикаций для деловых кругов (ASBPE), премию Best of the Web и премию Киммерлинга за лучшую дипломную работу, за ее работу по редактированию журнальной статьи «The Fluid Jurisprudence of Israel's Emergency Powers».