Что такое GDPR и коснется ли регламент казахстанского бизнеса?

Пользователи со всего мира в последний месяц получали множество писем с просьбой обновить настройки подписки на самые разные рассылки. Это связано со вступлением в силу новой нормы по работе с персональными данными на территории Европейского Союза. 25 мая 2018 начал работать GDPR (General Data Protection Regulatory) - общий регламент по защите данных.

Как раньше регулировалась работа с персональными данными? Почему закон Евросоюза коснулся остального мира? На эти и другие вопросы отвечает Улан Каражигитов, менеджер по маркетингу облачных решений, Microsoft СНГ.

1

С чего все началось?

GDPR пришел на смену директивы от 1995 года. За более чем 20 лет бизнес-процессы изменились драматически. Появились такие компании как Facebook, Uber, Booking, Yandex и многие другие, которым мы всецело доверяем личную информацию, переписку, фотографии, предпочтения. Объем данных, которые хранятся в "облаке" растет год от года, так же как и их критичность. К сожалению, киберпреступники активно используют уязвимости онлайн-систем и сообщения об инцидентах с утечкой данных, кражи номеров банковских карт появляются в СМИ все чаще.

2

Какое решение было принято?

Очевидно, что назрела необходимость установить правила игры для бизнеса: какие данные они могут хранить у себя, для каких целей, в течение какого времени и в каком виде. Каждая компания должна обеспечивать защиту информации и знать как реагировать на кибер-инциденты. В то же время, мы как клиенты стали получать чрезмерно много ненужной информации. Сегодня наши данные используют как хотят: базы покупателей продаются на рынке, все, кому не лень, шлют спам в виде SMS, e-mail и сообщений в мессенджерах. У пользователей нет никакого контроля над собственными данными. Именно эти проблемы и призван решать GDPR. И чтобы бизнес не проигнорировал нормы GDPR, ЕС ввел огромные штрафы. Верхняя граница такова: от 10 млн евро или 2% от международного оборота компании до 20 млн евро или 4% от мирового оборота компании (что больше – то и будет штрафом). Учитывая серьезность наказания и потенциальные репутационные потери, бизнес-сообществу было дано 2 года на внедрение новых практик и разработку методик для соответствия требованиям GDPR. Час X настал 25 мая 2018 года.

3

Затрагивает ли GDPR Казахстан?

Да. В официальном определении из закона о применимости GDPR есть пункт с пояснениями. Во-первых, это может быть компания или организация с офисом в Европейском союзе, которая обрабатывает персональные данные в рамках своей операционной деятельности, несмотря на то, где данные обрабатываются. Во-вторых, компания не из ЕС, предлагающая товары/услуги (платно или бесплатно) или осуществляющая мониторинг поведения физических лиц из ЕС. Таким образом, если предприятие из Казахстана целенаправленно работает на рынок ЕС (имеет языковые версии сайтов, буклетов стран ЕС, принимает европейскую валюту), то оно должно соответствовать нормам GDPR. Обратите внимание, что речь не про граждан ЕС, а о физических лицах ЕС. Если я, как гражданин Казахстана, поехал в командировку в Германию и совершаю покупки или пользуюсь сервисами из России или Казахстана (например, Qiwi-кошелек), то такой сервис для работы со мной должен соответствовать GDPR. Кого в Казахстане может затронуть европейское регулирование? Например, банки, мобильных операторов, авиа перевозчиков и всех тех, кто работает с пользователями (не обязательно гражданами) из ЕС. Новый регламент на 80% - это ИТ-инфраструктура компании. 20% - разработка методик и других документов, которыми компания будет руководствоваться в различных ситуациях. Готовы ли к этому казахстанские компании? Вряд ли. Но самые прогрессивные уже начали подготовку. Например, Air Astana.

Затрагивает ли GDPR Казахстан?
4

Что понимается под персональными данными?

Практическая любая информация, которая позволит идентифицировать человека, вплоть до IP-адреса, цвета волос, вероисповедания, национальности. Если есть сомнения, что относить к персональным данным, то лучше относить все, так как официальная рекомендация звучит так “personal data” should be as broadly interpreted as possible – персональные данные должны быть интерпретированы настолько широко, насколько это возможно.

5

Что из себя представляет документ с нормами?

Регламент содержит в себе 99 статей и почти 300 страниц текста. Для желающих – можно ознакомиться с полной версией на английском языке. Ниже некоторые важные выдержки, на которые компаниям в первую очередь необходимо обратить внимание:
• Компаниям необходимо разработать политику по классификации данных, которые они получают и передают
• Описать срок хранения данных по каждой классификации
• Предпринять меры по защите данных (и это не только установка антивируса)
• Уведомить соответствующий орган в случае утечки данных в течение 72 часов
• Удалить персональные данные клиента по его запросу из всех систем – CRM, почта, ERP и других систем.
• В некоторых случаях, в компании должен быть назначен DPO – data protection officer.
• Проводить что-то вроде стресс-теста для оценки потенциального ущерба в случае взлома систем компании

6

Какие дальнейшие шаги следует сделать казахстанским предпринимателям?

Необходимо понять, попадает ли бизнес под действие GDPR или нет. Если да, то начать системную работу по обеспечению сохранности данных клиентов. Это можно сделать с помощью GAP-анализа: понять, где бизнес находится сейчас, куда он должен прийти и какие действия для этого необходимо предпринять, включая выделение ресурсов, назначение ответственных сотрудников и обучение персонала. Это можно делать как самостоятельно, так и обратившись к консалтинговым фирмам.

  • 30892 просм.
  • 0 комм.

Другие материалы