GDPR: к чему готовиться ИТ-департаментам?

Положение General Data Protection Regulation (GDPR), вступило в действие в прошлом месяце и вокруг этой темы уже возникла масса вопросов. Теперь несанкционированное использование личной информации, или утечка персональных данных создадут не только переполох в ИТ-департаменте, но и крупные финансовые проблемы компаниям, работающим с резидентами ЕС.

Бизнес без cookies и лишних данных

GDPR — это реакция на сбор и безвременное хранение огромного количества, зачастую «излишних» персональных данных, которые не подлежат четкому регулированию, а потому могут быть использованы без разрешения владельца или даже нанести вред его репутации. Ожидается, что регулятор изменит это, заставив компании не только трансформировать подход к сбору и хранению персональных данных пользователей, но и усилить механизмы защиты персональных данных. В первую очередь изменения затронут информационные политики телекоммуникационных и страховых компаний, банки и интернет-бизнес. Всем им придется усилить информационную безопасность и выстроить бизнес-процессы согласно новых правил.

По наблюдениям компании IT-Solutions, условиям GDPR соответствуют не более 10% украинских предприятий. И дело не только в нарушении правил при сборе персональных данных, позволяющих установить личность, но и в использовании таких инструментов как мониторинг действий, cookies и KPI. К чему готовится, чтобы достойно пройти возможные аудиты и избежать жалоб, которые грозят штрафами в размере 4% от годового дохода компании? Вот несколько шагов, которые не помешает сделать в качестве превентивных мер, даже тем, кого GDPR пока не коснулся.

Шаг 1. Создание рабочей группы и назначение ответственных за исполнение политик GDPR. Это будет полезной мерой не только для соблюдения требований положения, но и для четкого понимания разделения зон ответственности внутри компании. Если Вы считаете, что в компании нет с этим проблем, попробуйте собрать такую группу и обсудить внутри нее разделение зон ответственности. Результат может вас удивить.

Шаг 2. Создание должности Data Protection Officer. С учетом того, что требования GDPR выходит за рамки ИТ-департамента, человек, занимающий указанную должность должен хорошо понимать бизнес и ценность хранения данных пользователей. Его задача — обосновать потребность в этих данных и необходимые сроки хранения. О «вечном» хранении можно сразу забыть.

Шаг 3. Определение данных, которые подпадают под политику GDPR. Подойдите к вопросу чуть глубже, чем сравнение «в лоб». Не стоит забывать, что под защиту попадают данные не только внешних, но и внутренних клиентов.

Шаг 4. Определение значений хранения данных и их владельцев, а также всех лиц, которым необходим к ним доступ.

Шаг 5. Определение рисков. На этом этапе необходимо обозначить кто имеет доступ к информации и кто может получить доступ к ней через веб-ресурсы компании.

Шаг 6. Создание комиссии по рискам. Она поможет в приоритезации задач и сервисов, и при выборе очередности внедрения проектов.

Шаг 7. Создание пакета документов, и политик по работе с данными (хранение, удаление). Пересмотрите существующие и убедитесь, что они актуальны, обновляются согласно бизнес-плану, в них предусмотрена возможность полного безвозвратного удаления данных по желанию пользователя, указаны сроки хранения персональных данных.

Шаг 8. Оповещение клиентов компании о новых политиках работы с данными. Компания должна настроить обратную связь с клиентами для взаимодействия касательно обработки и распространения персональных данных. Владелец персональных данных должен знать куда обращаться при потребности изменить/удалить данные, ранее предоставленные компании. По нашим прогнозам, это будет либо отдельно выделенный специалист в ИТ-департаменте, либо внешний сотрудник от компании-подрядчика.

Шаг 9. Создание системного подхода к обработке обращений, исключающий постоянное вмешательство специалиста. ИТ-департамент должен усилить системы по защите информации: настроить службы оповещения при обращениях и инцидентах, упорядочить операции по обработке данных. Для этого нужно проанализировать бизнес-процессы на предмет миграции персональных данных и выстроить четкую инструкцию их передвижения. Необходимо рассматривать вопрос хранения данных с глобальной точки зрения: где хранится информация, каким образом она обрабатывается. Эти процессы требуют постоянной обработки и обновления, а также четкого описания жизненного цикла обращений.

Шаг 10. Автоматизация процессов внутри компании, которые смогут обеспечить реализацию взаимодействия с владельцем персональных данных и контроль за перемещением личной информации. ИТ-департаменты должны заняться устранением несоответствий, созданием пошаговых алгоритмов получения согласия на обработку данных, ограничением информационных данных, а также разработкой систем уведомления клиента об изменении или передаче данных.

По прогнозам — рост числа новых проектов

Новые правила игры потребуют от ИТ-специалистов временных и денежных затрат, а также приведут к старту новых проектов по ИТ-аудиту, укреплению безопасности и по устранению рисков утечки информации. По прогнозам, не сложно предугадать и возрастание числа параллельных проектов по защите от утечек данных (DLP), коррелляции событий (SIEM), мониторинга действий администраторов. Участятся запросы и на защиту каналов VDI, блокировку печати, контроль безопасности каналов интернета и рабочей почты.

Казалось бы, все просто, но GDPR — это как айкидо — можно выучить базовые приемы, но для овладения в совершенстве понадобится время и желание. Будут ли компании развиваться в направлении защиты данных и инфобезопасности, или будут робко ждать первых штрафов — мы вскоре увидим.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365