GDPR – научился сам, помоги другому

Компания Lattelecom провела серию семинаров «Вызовы ИТ-безопасности 2019: защита данных - защита бизнеса», посвященных внедрению требований нового европейского регулирования в области защиты персональных данных.

Рассказывая о проблематике GDPR, специалист Lattelecom по защите Дайнис Лукашевич напомнил, что предыдущее законодательство было принято еще в 1995 году и в основном касалось правилам обращения с бумажными документами, содержащими персональные данные. Поэтому произошедшие в нашей жизни коренные изменения, связанные с переходом всех аспектов деловой и индивидуальной активности в онлайн, требовали пересмотра нормативной базы Объединенной Европы. И бизнесу теперь приходится быстро адаптироваться к уже вступившим в действие новым правилам.

Одной из их ключевых особенностей является необходимость защиты любых данных, на основании которых прямо или косвенно можно идентифицировать личность гражданина. Это может быть как запись с камер видеонаблюдения в гостиницах, так и напрямую указанные имя и фамилия клиента. Затронуть это может те компании, которые либо реализуют свои продукты и услуги, либо выполняют мониторинг поведения пользователей из ЕС. Примечательно, что так живо обсуждавшееся право на забвение, которое было введено в новый регламент, не является абсолютным. По запросу, компания должна предоставить все имеющиеся в ее распоряжении сведения о человеке, но уничтожать их по его требованию можно лишь в рамках действующего законодательства. Скажем, информацию о кредитной истории банки должны хранить в любом случае.

Как видим, у GDPR есть множество аспектов, с которыми не так просто разобраться. По признанию представителя Lattelecom, компания затратила около 2 млн евро на то, чтобы привести свою ИТ-инфраструктуру в соответствие с требованиями GDPR. Среди выводов, которые были сделаны по итогам этого проекта, стоит отметить обеспечение представителя на территории ЕС и проверку субконтракторов на соответствие GDPR. Компания решила, что полученный ею опыт позволит заняться аудитом, проверяя готовность своих клиентов отвечать требованиям GDPR. И уже выполнила ряд таких заказов. По опыту таких проектов выяснилось, что чаще всего на изученных специалистами Lattelecom предприятиях отсутствует ответственный по контролю за обработкой данных, а персональные данные обрабатываются дольше и в большем объеме, чем необходимо. Зачастую в имеющиеся договоры не включены требования по защите персональных данных. Поэтому одной из первоочередных задач является согласование требований по защите данных с другими документами и порядками предприятия.

По опыту Lattelecom, проект по аудиту предприятия на соответствие требованиям GDPR занимает 3-5 месяцев.