В настоящее время малый бизнес всё больше озабочен пониманием и реализацией GDPR. Это связано с тем, что этот закон определяет порядок обработки компаниями персональных данных клиентов, заказчиков и сотрудников. GDPR распространяется на любые компании, обрабатывающие или хранящие персональные данные граждан ЕС, независимо от их размера. 

ЕС ввёл GDPR в мае 2018 года. Хотя внедрение GDPR может показаться сложным, у компаний есть способы соблюдать этот регламент и обеспечить его соблюдение. GDPR, в основном, регулирует сбор, обработку и защиту персональных данных граждан в любой точке мира. Кроме того, GDPR гарантирует, что у организаций есть чёткая и логичная цель сбора персональных данных граждан.

Что такое персональные данные?

Любая информация, которая может быть использована для прямой или косвенной идентификации человека с определенной степенью точности, может быть названа персональными данными. К основным примерам персональных данных относятся полное имя, адрес электронной почты Gmail, домашний адрес, номер мобильного телефона, данные о местоположении, IP-адрес и т. д. 

Конфиденциальная информация человека включает религиозные убеждения, биометрические данные, генетические данные, сексуальную ориентацию, политические взгляды и т. д. Попадание этой информации в руки киберпреступников может привести к краже личных данных, потере данных и мошенничеству.

GDPR для бизнеса

Все компании, обрабатывающие персональные данные (PII) резидентов ЕС, обязаны соблюдать требования GDPR. Поэтому внедрение по обеспечению безопасности критически важно для компаний, чтобы обеспечить соблюдение GDPR. Это может повысить доверие потребителей, что, в свою очередь, способствует их процветанию. В прошлом многие компании использовали данные клиентов в качестве ресурса, игнорируя права отдельных лиц и делая их данные уязвимыми для кибератак.

Более того, компании, не соблюдающие GDPR, сталкиваются с серьезными финансовыми штрафами и юридическими последствиями. Соблюдая GDPR, компании могут завоевать доверие и лояльность своих клиентов. Кроме того, соблюдение GDPR снижает риск утечек данных, которые могут привести к значительному финансовому и репутационному ущербу. Поэтому внедрение решений по обеспечению соответствия требованиям безопасности имеет решающее значение для компаний, чтобы соблюдать GDPR и защищать данные своих клиентов. Кроме того, интеграция DevOps для баз данных в существующие решения по обеспечению соответствия требованиям безопасности имеет решающее значение для компаний, чтобы соблюдать GDPR и эффективно защищать данные своих клиентов. Внедряя методологии DevOps, адаптированные для управления базами данных, компании могут оптимизировать процессы и усилить меры безопасности данных, тем самым минимизируя риск штрафов за несоблюдение и потенциальных нарушений.

Стратегия соответствия GDPR

Введение в действие Общего регламента Европейского союза по защите данных (GDPR) обязывает все предприятия, хранящие и обрабатывающие данные, обеспечивать соответствие своей деятельности установленным требованиям. 

Компании должны пересмотреть свою деятельность и обновить процессы, чтобы защитить конфиденциальность лиц, обрабатывающих данные. Четко определенная стратегия соответствия требованиям GDPR необходима любой компании, которая собирает, хранит или обрабатывает данные о гражданах ЕС.

Комплексная стратегия соответствия требованиям GDPR начинается с тщательной оценки действующих политик и процедур, а затем переходит к выявлению пробелов в существующих практиках. Она также включает в себя создание новых инструментов и технологий для ответственного управления информацией клиентов. 

Например, компаниям следует рассмотреть возможность внедрения таких мер, как зашифрованные системы хранения файлов, управление доступом на основе ролей и безопасные системы аутентификации пользователей, чтобы лучше защитить конфиденциальную информацию клиентов от несанкционированного доступа или неправомерного использования. Использование лучшего приватного интернет-браузера может стать ещё одним ценным дополнением к этим мерам безопасности, гарантируя конфиденциальность конфиденциальных данных при онлайн-взаимодействии.

Как малого бизнеса , вы должны защищать права людей, предоставляющих вам свои данные. Ниже приведены некоторые ключевые принципы GDPR, которые вы должны включить в свою стратегию соответствия GDPR.

• Создание плана (действия)
• Создание функционирующего (обрабатывающего) регистра
• Демонстрация надлежащего согласия
• Управление запросами на доступ к субъектам данных
• Устранение рисков, связанных с поставщиками
• Уведомление и сообщение об утечках данных

Создание плана (действия)

Разработка стратегии, соответствующей требованиям GDPR, включает несколько этапов. 

1. Во-первых, выделите время, чтобы понять, какие данные собирает ваша организация и как они используются. 
2. Далее подумайте, как можно снизить риски, связанные с хранением этих данных. 
3. Наконец, разработайте политики и процедуры обработки запросов клиентов на предоставление их личной информации. 

Составьте план действий, в котором будут обозначены роли и обязанности по внедрению этих изменений, чтобы в дальнейшем идти в ногу со временем и соответствовать целям GDPR.

Другими словами, первым шагом к созданию стратегии является оценка существующих программ конфиденциальности вашей организации. Проведите оценку рисков и оценку готовности. Это позволит определить области, которые уже соответствуют требованиям GDPR, и определить области, требующие улучшения.

Создание функционирующего (обрабатывающего) регистра

Контролёры обязаны вести учёт действий по обработке данных в соответствии со статьёй 30 GDPR. Поэтому компания должна создать надлежащий реестр обработки данных, чтобы отслеживать потоки данных в организации и видеть, кто их использует. 

Демонстрация надлежащего согласия

Малый бизнес должен продемонстрировать, что получил разрешение от субъектов информации посредством соответствующего согласия. Формы согласия, используемые в этом процессе, не должны вводить в заблуждение и должны быть четко очерчивающими. Форма должна позволять субъектам отозвать согласие в любое время. Вы обязаны законно удалить персональные данные из своей базы данных, если клиент отзывает свое согласие.

Управление запросами на доступ к субъектам данных

Как малый бизнес, вы должны быть готовы к DSAR. Одно из основных прав, предоставляемых GDPR клиентам, — это доступ к своим данным, их исправление, удаление или экспорт из базы данных компании. Компания самостоятельно выбирает, как обрабатывать запросы клиентов на предоставление прав. Обработка может быть автоматизированной или ручной. Управление DSAR включает следующие этапы:

• Отправка запроса
• Проверка клиентов
• Выполнение запроса

Подача запросов

Клиенты могут подать запрос как вручную, так и в электронном виде. Форма запроса должна быть краткой и содержать только необходимую информацию для выполнения запроса.

Проверка клиентов

Обязательно подтвердите запрос, используя процедуры верификации. Это гарантирует, что данные будут переданы тому лицу, которому они действительно принадлежат.

Выполнение запроса

Малые предприятия обязаны предоставлять клиентам необходимую информацию в течение месяца с момента получения первоначального запроса. Согласно GDPR, малые предприятия могут продлить срок выполнения до 90 дней в случае получения чрезмерного количества запросов.

Устранение рисков, связанных с поставщиками

Малым предприятиям следует заключать соглашения об обработке данных, чтобы гарантировать выполнение требований GDPR. Согласно статье 28 GDPR, это соглашение заключается между обработчиками данных и контролерами. Этого можно добиться, обеспечив, чтобы сторонние поставщики, участвующие в бизнес-практиках и процессах, соответствовали аналогичным требованиям GDPR. 

Для этого вам потребуется составить список всех поставщиков, получающих данные. После того, как все данные будут собраны, вы сможете определить, является ли поставщик контролёром или обработчиком данных. Стратегия соответствия GDPR будет разработана с учётом того, что обе стороны имеют план действий по подготовке к вступлению в силу GDPR.

Уведомление и сообщение об утечках данных

В случае утечки данных вы обязаны сообщить об этом в надзорные органы в течение 72 часов. Статья 4 GDPR определяет утечку персональных данных как нарушение безопасности. Она включает в себя пассивное или преднамеренное уничтожение, потерю, изменение, незаконное раскрытие, доступ к персональным данным, а также к передаваемым, хранящимся или обрабатываемым данным.

Малые предприятия должны включить в уведомление об утечке данных следующие четыре сведения: характер утечки, имя и контактные данные должностного лица по защите данных (DOP), вероятные результаты утечки и меры, принятые для снижения возможных неблагоприятных последствий утечки.

Заключение

Общий регламент по защите данных (GDPR) — это сложный закон, к которому малый бизнес должен относиться серьёзно. Он требует тщательной подготовки и понимания, но внедрение GDPR может помочь защитить ваш бизнес от дорогостоящих судебных разбирательств и одновременно защитить данные клиентов. 

Малый бизнес может добиться соответствия требованиям GDPR, изучив правила и используя соответствующие инструменты. GDPR, предоставляющий частным лицам право контролировать использование своих данных компаниями, имеет значительные последствия для малых предприятий. 

Для получения дополнительной информации об улучшении управления соответствием требованиям перейдите по ссылке и изучите решения по обеспечению соответствия требованиям безопасности.

Автор биография:

Мухаммад — фрилансер-писатель с трёхлетним опытом работы. Он пишет чаще всего дома и в компьютерных приложениях. В свободное от работы время он любит читать и путешествовать. Приветствуйте на Фейсбуке @abbasceey