`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Тимур Ягофаров

GDPR – научился сам, помоги другому

+55
голосов

Компания Lattelecom провела серию семинаров «Вызовы ИТ-безопасности 2019: защита данных - защита бизнеса», посвященных внедрению требований нового европейского регулирования в области защиты персональных данных.

Рассказывая о проблематике GDPR, специалист Lattelecom по защите Дайнис Лукашевич напомнил, что предыдущее законодательство было принято еще в 1995 году и в основном касалось правилам обращения с бумажными документами, содержащими персональные данные. Поэтому произошедшие в нашей жизни коренные изменения, связанные с переходом всех аспектов деловой и индивидуальной активности в онлайн, требовали пересмотра нормативной базы Объединенной Европы. И бизнесу теперь приходится быстро адаптироваться к уже вступившим в действие новым правилам.

Одной из их ключевых особенностей является необходимость защиты любых данных, на основании которых прямо или косвенно можно идентифицировать личность гражданина. Это может быть как запись с камер видеонаблюдения в гостиницах, так и напрямую указанные имя и фамилия клиента. Затронуть это может те компании, которые либо реализуют свои продукты и услуги, либо выполняют мониторинг поведения пользователей из ЕС. Примечательно, что так живо обсуждавшееся право на забвение, которое было введено в новый регламент, не является абсолютным. По запросу, компания должна предоставить все имеющиеся в ее распоряжении сведения о человеке, но уничтожать их по его требованию можно лишь в рамках действующего законодательства. Скажем, информацию о кредитной истории банки должны хранить в любом случае.

Как видим, у GDPR есть множество аспектов, с которыми не так просто разобраться. По признанию представителя Lattelecom, компания затратила около 2 млн евро на то, чтобы привести свою ИТ-инфраструктуру в соответствие с требованиями GDPR. Среди выводов, которые были сделаны по итогам этого проекта, стоит отметить обеспечение представителя на территории ЕС и проверку субконтракторов на соответствие GDPR. Компания решила, что полученный ею опыт позволит заняться аудитом, проверяя готовность своих клиентов отвечать требованиям GDPR. И уже выполнила ряд таких заказов. По опыту таких проектов выяснилось, что чаще всего на изученных специалистами Lattelecom предприятиях отсутствует ответственный по контролю за обработкой данных, а персональные данные обрабатываются дольше и в большем объеме, чем необходимо. Зачастую в имеющиеся договоры не включены требования по защите персональных данных. Поэтому одной из первоочередных задач является согласование требований по защите данных с другими документами и порядками предприятия.

По опыту Lattelecom, проект по аудиту предприятия на соответствие требованиям GDPR занимает 3-5 месяцев.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+55
голосов

Напечатать Отправить другу

Читайте также

Спасибо! Пару вопросов
1. Я читал что ай-пи адрес тоже пресональные данные. Все веб сервера ведут логи. Что с этим делать?
2. Все носятся с куки. А как насчет localStorage? Там можно хранить намного больше персональных данных.
P.S. В конце весны - начале лета я смотрел вебинар на тему gdpr от украниских компаний. Хотелось бы больше конкретики и меньше воды от таких мероприятий :-(

Спасибо за интерес к публикации, но суть ее не в обучении тонкостям, а в рассказе о событии и привлечении внимания к самой проблеме.

> а в рассказе о событии и привлечении внимания к самой проблеме.

И вам вне сомнения это удалось.
P.S. Моя цель - начать обсуждение этой проблемы в комментария к вашим постам.

1. Чисто теоретически, владелец сервера пишет в Privacy Notice две вещи:
* Как данные хранятся, обрабатываются и распространяются. Например "Пишем IP для анализа трафика и работоспособности системы, храним 12 месяцев в шифрованной виде, и ни с кем не делимся кроме легитимных запросов властей"

* Как избавиться от данных. Тут просто пишем "Мы не привязываем IP к аккаунтам пользователей, поэтому при удалении аккаунта Ваш IP не будет удален из логов". В GDPR неоднократно встречается формулировка "адекватные меры" - раздолье для юриста :)

2. С куки носятся потому, что по ним приняли отдельный закон несколькими годами раньше. GDPR всю эту тему генерализованный: куки, Local Storage, тетрадки и и.т.д. Далее см п1.

Важно понимать, что GDPR - это об информировании пользователя, адекватной защите его данных и некоторой разновидности права на забвение. Можно, в принципе, написать в Privacy Notice "Ставим куки, трекаем и пишем все что можно и продаем за деньги кому попало." Если это делается безопасно, пользователь в курсе и может в любой момент отказаться - тоже можно сделать GDPR Compliant.

все дают советы, но никто не берется привести вас в соответствие с GDPR, предлагают поконсультировать и дать шаблоны документов, а был бы неплохой бизнес - выдача сертификатов GDPR compliance как, например, PCI DSS для платежных систем

Как говорят американцы: это отличный шанс для вашего бизнеса. Я серьезно.

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT