Сегодня, 25 мая, GDPR исполняется один год. Какие успехи были достигнуты в защите данных и какие препятствия возникли на этом пути?
Что нужно знать об имплементации GDPR за год. Фото: knowliah.com
Год назад в этот день вступил в силу Общий регламент о защите данных, или GDPR. Хотя документ находился в процессе подготовки более семи лет, он был принят в тот момент, когда проблемы с конфиденциальностью и защитой данных попали в заголовки из-за скандалов с данными Facebook и Cambridge Analytica.
Чтобы отметить один год с момента введения нового законодательства, журнал PaySpace Magazine хочет рассказать вам о текущем состоянии соблюдения GDPR, о наиболее значимых судебных разбирательствах на сегодняшний день и о новых международных правилах конфиденциальности данных, основанных на GDPR. Мы собрали статистические данные и мнения экспертов, чтобы дать вам более полное представление о том, какое влияние оказал GDPR за этот год.
Год спустя: соблюдение GDPR
Спустя почти два месяца после внедрения GDPR 20% европейских и американских компаний считали, что они уже соблюдают требования, в то время как три четверти отметили, что будут соответствовать требованиям только к концу 2018 года. Тем не менее, будет неправильно говорить, что сейчас большинство компаний, предоставляющих услуги гражданам ЕС, достигли полного соответствия GDPR.
В начале 2019 года юридическая фирма Paul Hastings провела серию опросов среди юридических консультантов и начальников служб безопасности в крупнейших компаниях мира (входящих в FTSE 350 и Fortune 500). Было установлено, что только 43% из них уже успели создать внутреннюю команду по имплементации норм GDPR.
Кроме того, только 29% предприятий Великобритании и 18% предприятий США фактически наняли специалиста по защите данных. Несмотря на то, что это одно из ключевых требований нового законодательства.
На фоне этих несоответствий 94% компаний FTSE считают, что готовы к GDPR.
Мы обратились к международным экспертам по конфиденциальности данных, чтобы из первых уст услышать их оценку общего соответствия новой практике защиты данных. И получит сведения о влиянии нового регулирования на бизнес.
НАТАН СТЮАРТ
Директор по стратегии GDPR в Total Group International
От лица компании по управлению IT, специализирующейся на соблюдении нормативных требований, могу сказать, что GDPR оказал на нас огромное влияние. Ведь наши клиенты изо всех сил стараются соответствовать новым нормам, пытаются соблюдать требования закона. В большей степени они руководствуются угрозой киберпреступности, нежели уголовной ответственности. Компании, которые пострадали от киберпреступности, вкладывают средства в свои системы данных, и это дает возможность улучшить соответствие GDPR.
Мы по-прежнему считаем, что большинство владельцев бизнеса не обращают внимания ни на риски, ни на свои обязанности, скептически относятся к тому, что говорит IT-индустрия. Обычно они начинают предпринимать что-либо, когда сами сталкиваются с проблемой либо наблюдают негативный опыт своих коллег.
В 2018–2019 годах мы наблюдали больше провалов бизнеса из-за киберпреступности, чем из-за процессов, непосредственно связанных с эффективностью бизнеса.
ИНУС КАНГУТ
Консультант по конфиденциальности данных в KPMG Monaco
Европейские компании очень чувствительны к GDPR. Уровень их вовлеченности может варьироваться в зависимости от того, являются ли они дочерними компаниями или нет.
Сегодня было бы неправильно говорить, что все европейские компании соответствуют требованиям GDPR. Тем не менее, мы отметили постоянную приверженность соблюдению новых требований.
Основные трудности связаны с определением сроков хранения данных и ограничениями, связанными с их обработкой. В отсутствие четких законов в каждом отдельном государстве, оба показателя могут быть оставлены на усмотрение компаний. Поэтому важно, чтобы программа соблюдения была выполнена добросовестно. Другими словами, программа должна быть эффективно реализована.
Сегодня соблюдение GDPR обеспечивает конкурентное преимущество для любой компании, поскольку оно может обеспечить технические и организационные меры безопасности для защиты собранных данных. Все эти меры будут определять, работает ли программа на практике.
Как бы трудно это ни было, в ближайшие годы будет недостаточно просто «работать в направлении» соблюдения GDPR. Конфиденциальность и безопасность данных становятся жизненно важными для бизнеса во всех областях. Те, кто не соблюдает новую политику конфиденциальности данных, могут столкнуться не только с обидой со стороны партнеров и клиентов, но и с судебными процессами и огромными штрафами.
Отметим, что внедрение новых практик дорого обойдется компаниям. Так, в 2018 году аналитики подсчитали, что только самые крупные компании потратят на это около $9 млрд.
Источник: Forbes
Основные иски, связанные с GDPR
Согласно недавнему докладу Европейского совета по защите данных, уже зарегистрировано более 200 тыс случаев нарушений и жалоб, и наложено 56 млн евро штрафов. Сегодня мы хотели бы напомнить вам о наиболее значительных судебных процессах.
Первый штраф по GDPR
21 ноября 2018 года власти немецкой федеральной земли Баден-Вюртемберг наложили штраф в размере 20 тыс евро на чат-платформу Knuddels. Наказание было достаточно лояльным, учитывая тот факт, что платформа потеряла 1,8 млн учетных данных пользователей и более 800 тыс адресов электронной почты. Более того, оказалось, что это массивное нарушение произошло из-за неадекватных мер защиты данных. Фактически, компания хранила пароли в открытом виде, делая их легкой добычей для хакеров.
Этот случай показывает, что GDPR существует не только для наказания за неудачи. Knuddels не стала замалчивать инцидент и сама информировала пользователей и власти о нарушении. Это позволило ей впоследствии уменьшить размер штрафа.
Самый большой штраф по GDPR
Французский регулятор данных CNIL оштрафовал Google на 50 млн евро за нарушение GDPR. Регулятор заявил, что Google не смог правильно объяснить, как он собирал данные пользователей и для чего. Кроме того, были проблемы с таргетингом персонализированных объявлений Google.
Объявление о штрафе на сайте ведомства
Альтернативы GDPR в мире
Китай
В мае 2018 года Государственная администрация по регулированию рынка и Администрация по стандартизации Китайской Народной Республики представили новый национальный стандарт (в дополнение к предыдущим пяти) для защиты личных данных. Сфера действия стандартов распространяется на любую организацию, предоставляющую онлайн-услуги в стране. Новые стандарты предоставили властям право проверять любую компанию, которая работает в режиме онлайн, на соответствие политикам безопасности и защиты данных. Наряду с GDPR, китайское законодательство требует, чтобы компании нанимали специализированный персонал по кибербезопасности, надежно собирали и хранили учетные данные пользователей, а также принимали меры по предотвращению нарушений и кибератак.
От GDPR китайское законодательство отличает то, что конечный пользователь в Китае практически не контролирует свою личную информацию. Этим занимается правительство. Вот почему компании должны не только заботиться о защите данных пользователей, но и иметь в виду, что собираемые ими данные могут быть найдены или даже изъяты в любое время без уведомления. Тем не менее, в отчетах говорится, что некоторые компании, включая Alipay и Tencent Cloud, успешно прошли сертификацию на основе нового национального стандарта.
Индия
Сегодня Индия демонстрирует устойчивый рост индустрии высоких технологий и цифровой экономики. А число активных интернет-пользователей превышает 500 млн. Поэтому страна не стала игнорировать обновления законодательства о безопасности данных по всему миру. Прошлым летом власти выпустили рекомендации по конфиденциальности данных и проект нового закона под названием «Закон о защите личных данных». Эксперты по правовым вопросам утверждают, что законопроект многое заимствует у GDPR. Документ предоставляет индийцам ряд прав на доступ, исправление и перенос данных, а также право быть забытым.
Он также подразумевает большие штрафы за несоблюдение новых правил и неспособность компании своевременно ответить на запрос субъекта данных. Кроме того, законопроект вводит концепцию ежегодного аудита данных, который предприятия должны проводить через независимых аудиторов.
США
Несмотря на отсутствие федерального законодательства в этой сфере, отдельные штаты уже делают шаги в направлении своего видения GDPR. Калифорния приняла закон о защите прав потребителей (CCPA), который вступает в силу 1 января 2020 года.
Это первый закон США, основанный на GDPR. Он предназначен для облегчения защиты данных потребителей и предоставления людям контроля над их личной информацией. Как и GDPR, закон требует от компаний быть подотчетными и прозрачными в плане сбора и хранения любых персональных данных. Штрафы для компаний могут достигать 7500 долларов за нарушение.
Понятно, что федеральные правила по конфиденциальности крайне необходимы. В любом случае, CCPA считается хорошей отправной точкой, и в ближайшие годы она может быть использована в качестве основы для будущего федерального закона. Правовые эксперты считают, что обществу США нужен аналог GDPR.
Украина
В существующем законе Украины уже имеются правовые нормы, которые защищают персональные данные пользователей. Можно сказать, что базовые принципы обработки данных, действующие в Европе, приняты и имеют силу также и в Украине.
В 2017 году Кабинет Министров поставил задачу имплементировать GDPR в стране, усовершенствовав текущее отечественное законодательство.
ВАС ЗАИНТЕРЕСУЕТ — Эксперты назвали киберугрозы, которые актуальны для украинских банков
