RSM Беларусь
Languages

Languages

Последствия принятия Общего Регламента по Защите Данных (GDPR) в Европе

Влияние GDPR на малый и средний бизнес


С вступлением в силу GDPR Шейла Панчоли, партнер по консультированию по рискам в Великобритании, стала свидетелем того, как многие организации среднего бизнеса прекратили подвинули подготовку к соблюдению положений документа на самое позднее время и начали ее лишь в 2017 году и в начале 2018 года. Это привело к панике и проблемам с поиском профессиональной поддержки извне по мере того, как спрос на поддержку специалистов на рынке становился чрезмерным. Учитывая сложный характер GDPR и тот факт, что это был совершенно новый режим регулирования защиты данных, любой организации было трудно с уверенностью сказать, что они были «готовы» или «соответствовали всем критериям» к крайнему сроку 25 мая 2018 года. Риен Хоммес, консультант по рискам в Нидерландах, сказал: «На самом деле, когда в Нидерландах вступило в силу положение, почти ни один бизнес не был полностью готов». По словам Хоммеса, причина отсутствия подготовки заключалась в том, что для этого требовались многочисленные навыки и опыт: как юридические знания, навыки в области ИТ, так организационный опыт.

В Ирландии уровень готовности к GDPR сильно различался, особенно в тот момент, когда новое регулирование вступило в силу. Терри МакАдам, партнер RSM в Ирландии, заметил: «Многие компании в секторах здравоохранения и финансовых услуг инвестировали значительные средства и время, чтобы стать настолько гибкими, насколько это было практически возможно». Однако, МакАдам сказал, что «… многие организации среднего рынка были намного менее подготовлены, как и некоторые органы государственного сектора». Этот сценарий привел к огромному спросу на соответствующие услуги в начале лета 2018 года, который не прекращается до сих пор.

В то время как в Ирландии наблюдается усиление практики защиты данных и подготовки к будущему, Бельгия в целом демонстрирует другую историю. Стивен Вермейлен отметил, что, несмотря на большой ажиотаж, в Бельгии не смогли найти достаточно квалифицированных специалистов по защите данных, чтобы провести необходимые проверки на предприятиях. В результате было проведено всего несколько проверок, и на сегодняшний день в Бельгии не было никаких штрафов. Вермюлен считает, что «всем уже надоело слово GDPR».

НАИБОЛЕЕ НЕПРОСТЫЕ ПРИНЦИПЫ GDPR ДЛЯ БИЗНЕСА

Шейла Панчоли заметила, что в Великобритании, предприятиям, которые хранят большие объемы персональных данных и легко делятся ими с другими третьими сторонами, трудно установить принципы положения. Обнаружение личных данных и определение того, какие данные могут быть сохранены потребовало много времени и оказалось чрезвычайно сложным для многих предприятий. Еще один фактор связан с существенными изменениями в обязанностях контроллера данных и процессора данных. Выявление третьих сторон, которым передаются персональные данные, и меры контроля, применяемые третьими сторонами, также оказались непростым аспектом. Установление новых условий договора требует времени, специального юридического вклада и сотрудничества всех сторон. Для многих компаний среднего рынка в Великобритании это оказалось дорогостоящим и трудозатрантым занятием.

Работа со сторонними поставщиками также стала ключевой проблемой в Нидерландах. Хоммес заявляет: «Многие предприятия, с которыми я работал в прошлом году, испытывали проблемы с ответственностью за конфиденциальность в отношениях со своими деловыми партнерами». Причина этого заключается в том, что многие поставщики отправили своим клиентам контракт на обработку, чтобы свести к минимуму свои ответственность за конфиденциальность. Хоммс отмечает: «Контролерам было трудно нести эту ответственность, особенно если произошла утечка данных с их партнерами по цепочке поставок, что означало бы необходимость сообщать об этом властям и заинтересованным сторонам».

В Ирландии многие компании на среднем рынке продолжают регулярно пересматривать и обновлять содержание своих заявлений о конфиденциальности, будь то в Интернете или в печатной форме. По словам Терри МакАдама: «им действительно трудно определить свои методы обработки данных прозрачным, но в то же время лаконичным образом ». Эта позиция, как представляется, усугубляется, когда они сталкиваются с управлением личными данными для различных целей, особенно при совместном использовании.

Для предприятий в Бельгии самой большой проблемой остается то, как выявлять утечки данных. В GDPR предусмотрена обязанность уведомить власти в течение 72 часов, однако в действительности обнаружение нарушения может занять гораздо больше времени. Для этого нужно провести ИТ-аудит, но Вермейлен видит, что «слишком часто компании отказываются от полного сканирования уязвимостей, опасаясь того, что может быть найдено». Компании обычно выбирают легкое сканирование уязвимостей, опасаясь, что их системы выйдут из строя, но оставляя их более подверженными риску кибер-атаки потенциальной потере данных.

GDPR И ПОИСК ВОЗМОЖНЫХ РЕШЕНИЙ

В Нидерландах, отметил Хоммс, «GDPR обычно рассматривается как еще одно административное бремя. Тем не менее, мы часто видим, что правильная настройка процесса также обеспечивает ясность и может сделать сам процесс намного понятнее».

Панчоли из Великобритании прагматичен, говоря, «что, с ростом цифровых каналов, возможностей подключения и киберпреступности конфиденциальность данных давно стала проблемой, еще задолго до вступления в силу GDPR в мае 2018 года». GDPR просто усилил и укрепил правила.

Надлежащее управление данными требует эффективного согласования между людьми, процессами и технологиями. В рамках GDPR это включает в себя:

• Политики и процедуры для управления обработкой, безопасностью, защитой и хранением данных.

• Регулярное обучение и информирование пользователей, включая вводное обучение и повышение квалификации персонала на всех уровнях в рамках всей организации.

• Системы, которые будут поддерживать безопасность данных, разделение обязанностей, защитную маркировку и процессы хранения данных.

МакАдам считает, что появление GDPR в Ирландии послужило для многих организаций катализатором для критического анализа всех имеющихся у них данных. Это привело к тому, что проекты был организован контролируемый процесс сокращения объема данных (не только личных данных), при этом повышения качества сохраняемых данных. В результате обеспечивается лучшее обслуживание клиентов, а данные, представляемые лицам, принимающим решения, являются более надежными.

Что касается Бельгии, сейчас чувствуются некоторая апатия в разговоре об GDPR. Тем не менее, Вермейлен заявиляет: «Если вы расскажете им о защите данных, они будут заинтересованы». После вступления в силу GDPR предприятия в Бельгии все больше интересуются ISO 27001, международным стандартом безопасности, который обеспечивает требования для внедрения, поддержания и совершенствования системы управления информационной безопасностью (СУИБ). СУИБ, в свою очередь, являясь основой политик и процедур, включает юридический, физический и технический контроль, связанный с управлением рисками организации.

КАКОЕ БУДУЩИЕ У ЗАЩИТЫ ДАННЫХ?

В конечном итоге, чем раньше вы будете учитывать новые законы и положения о конфиденциальности данных, тем лучше ваша организация сможет серьезно относиться к конфиденциальности данных, даже если вы еще не полностью завершили свою программу обеспечения соответствия. Нравится вам это или нет, но GDPR уже здесь, и уже инициировал некоторую глобальную тенденцию в странах по всему миру, когда последние ужесточают свои законы о конфиденциальности данных.

Однако не только личные данные нуждаются в защите, но также крайне ценными являются и коммерчески данные, лежащие в основе наших основных бизнес-операций и услуг. То, что ваши сотрудники, клиенты, поставщики и партнеры могут доверять вам вести с ними бизнес, может зависеть от вашей способности демонстрировать хорошее управление данными и конфиденциальность.

Недавно вступили в силу новые европейские правила, требующие сертификации продуктов с компонентом безопасности. Это заставляет поставщиков внедрять конфиденциальность путем разработки решений. Правила конфиденциальности будут интегрированы с более высокими стандартами безопасности. В конечном итоге это приведет к созданию более качественных и безопасных продуктов и решений.

Те организации, которые вложили значительные суммы в максимальное соблюдение обновленных правил защиты данных, стремятся продемонстрировать эти усилия своим клиентам и сотрудникам. Со стороны таких организаций растет интерес к новым кодексам поведения, которые могут дать как признание их постоянных усилий по обеспечению соответствия, так и комфорт их клиентам. В краткосрочной перспективе, несмотря на то, что эти процессы продолжают формироваться, многие организации решают эту проблему, нанимая консультантов для проведения независимых проверок их соответствия действующему законодательству о защите данных.

Источник

Как мы можем Вам помочь?

Свяжитесь с нами по телефону

+375 (17) 388-09-49

Или отправьте свой запрос, комментарий, или заявку

Написать на Email