Сегодня малый бизнес всё активнее задаётся вопросом: как разобраться в требованиях GDPR и внедрить их на практике? Всё дело в том, что этот закон напрямую влияет на то, как компании работают с персональными данными клиентов и сотрудников. При этом GDPR распространяется на любой бизнес, который обрабатывает или хранит данные граждан ЕС — независимо от размера компании.

Евросоюз ввёл GDPR в мае 2018 года. Несмотря на то что соблюдение этого регламента может показаться сложной задачей, существуют понятные способы привести бизнес в соответствие с его требованиями. В первую очередь он регулирует то, как компании собирают, обрабатывают и защищают персональные данные граждан по всему миру. Кроме того, регламент обязывает организации иметь чёткое и обоснованное основание для сбора личной информации пользователей.

Что такое персональные данные?

Персональными данными считается любая информация, с помощью которой можно прямо или косвенно идентифицировать конкретного человека. К базовым примерам относятся: полное имя, адрес электронной почты, домашний адрес, номер мобильного телефона, геолокация, IP-адрес и т. д.

К чувствительной категории данных относятся религиозные убеждения, биометрические и генетические данные, сексуальная ориентация, политические взгляды и прочее. Если подобная информация окажется в руках злоумышленников, это может привести к краже личности, утечке данных и мошенничеству.

GDPR для бизнеса

Все компании, которые обрабатывают персональные данные (PII) резидентов ЕС, обязаны соблюдать требования GDPR. Именно поэтому внедрение решений по обеспечению соответствия требованиям безопасности становится критически важным шагом для любого бизнеса. Это не только помогает соблюдать регламент, но и укрепляет доверие потребителей, что в конечном счёте способствует росту компании. Раньше многие бизнесы использовали данные клиентов как ресурс, игнорируя права людей и оставляя их информацию уязвимой для кибератак.

Компании, которые нарушают требования GDPR, рискуют столкнуться с серьёзными финансовыми санкциями и правовыми последствиями. Соблюдение регламента, напротив, помогает завоевать доверие и лояльность клиентов. Помимо этого, соответствие GDPR снижает риск утечек данных, которые могут нанести значительный финансовый и репутационный ущерб. Немаловажно и то, что интеграция DevOps-подходов для управления базами данных в существующие решения по безопасности позволяет компаниям эффективнее выполнять требования GDPR и надёжнее защищать данные клиентов. Применение DevOps-методологий в работе с базами данных помогает оптимизировать процессы и усилить меры защиты, тем самым снижая риск штрафов за несоответствие и потенциальных утечек.

Стратегия соответствия GDPR

С введением GDPR все компании, которые хранят и обрабатывают данные, обязаны обеспечить соответствие своей деятельности требованиям регламента.

Для этого необходимо провести аудит бизнес-процессов и обновить процедуры таким образом, чтобы защитить конфиденциальность людей, чьи данные обрабатываются. Чётко выстроенная стратегия соответствия GDPR — это необходимость для любого бизнеса, который собирает, хранит или обрабатывает данные граждан ЕС.

Комплексная стратегия соответствия GDPR начинается с детального анализа действующих политик и процедур, после чего выявляются пробелы в существующих практиках. Следующий шаг — разработка новых инструментов и технологий для ответственного управления данными клиентов.

Например, компаниям стоит рассмотреть внедрение таких мер, как зашифрованное хранилище файлов, ролевое управление доступом и защищённые системы аутентификации пользователей — всё это помогает предотвратить несанкционированный доступ к конфиденциальным данным и их неправомерное использование. Использование браузеров с усиленной защитой приватности также станет ценным дополнением к этим мерам — они помогают сохранить конфиденциальность данных при работе в интернете.

Как владелец малого бизнеса, вы обязаны защищать права людей, которые доверяют вам свои данные. Ниже приведены ключевые принципы GDPR, которые необходимо включить в вашу стратегию соответствия.

• Разработка плана действий
• Ведение реестра операций по обработке данных
• Подтверждение надлежащего согласия
• Обработка запросов субъектов данных
• Управление рисками, связанными с поставщиками
• Уведомление об утечках данных и их документирование

Разработка плана действий

Формирование стратегии, отвечающей требованиям GDPR, включает несколько последовательных шагов.

1. Для начала разберитесь, какие данные собирает ваша организация и как они используются.
2. Затем оцените, как можно снизить риски, связанные с хранением этих данных.
3. И наконец, разработайте политики и процедуры для обработки запросов клиентов на доступ к их личной информации.

Составьте план действий с чётким распределением ролей и зон ответственности за реализацию этих изменений — это поможет системно двигаться к целям соответствия GDPR.

Иными словами, первый шаг к формированию стратегии — это оценка существующих программ защиты данных в вашей организации. Проведите оценку рисков и анализ готовности к соблюдению требований: это позволит выявить области, которые уже соответствуют GDPR, и определить те, где необходимы улучшения.

Ведение реестра операций по обработке данных

Согласно статье 30 GDPR, контролёры обязаны вести учёт операций по обработке данных. Поэтому компании необходимо создать полноценный реестр обработки, чтобы отслеживать, как данные перемещаются внутри организации и кто имеет к ним доступ.

Подтверждение надлежащего согласия

Малый бизнес обязан документально подтверждать, что согласие на обработку данных было получено от субъектов в установленном порядке. Формы согласия не должны вводить в заблуждение — они должны чётко объяснять, на что именно даётся разрешение. Кроме того, форма должна предоставлять субъектам возможность отозвать согласие в любой момент. Если клиент отозвал своё согласие, вы обязаны законным образом удалить его персональные данные из своей базы.

Обработка запросов субъектов данных

Малому бизнесу необходимо быть готовым к обработке DSAR (запросов субъектов данных на доступ). Одно из ключевых прав, которое GDPR предоставляет клиентам, — это право на доступ, исправление, удаление или экспорт своих данных из базы компании. Компания самостоятельно определяет порядок обработки таких запросов: в автоматическом или ручном режиме. Процесс обработки DSAR включает следующие этапы:

• Подача запроса
• Верификация клиента
• Выполнение запроса

Подача запроса

Клиенты могут подать запрос как в бумажном виде, так и в электронном. Форма запроса должна быть краткой и содержать только ту информацию, которая необходима для его выполнения.

Верификация клиента

Убедитесь, что у вас выстроены процедуры верификации запросов. Это гарантирует, что данные будут переданы именно тому человеку, которому они принадлежат.

Выполнение запроса

Малый бизнес обязан предоставить запрошенную информацию клиенту в течение одного месяца с момента получения запроса. Согласно GDPR, при поступлении большого количества запросов компания вправе продлить этот срок до 90 дней.

Управление рисками, связанными с поставщиками

Малому бизнесу следует заключать соглашения об обработке данных, чтобы соответствовать требованиям GDPR. Такие соглашения заключаются между операторами и контролёрами данных в соответствии со статьёй 28 GDPR. Для этого необходимо убедиться, что сторонние поставщики, участвующие в бизнес-процессах, соответствуют аналогичным стандартам соблюдения GDPR.

Для этого составьте перечень всех поставщиков, которые получают доступ к данным. Когда вся информация будет собрана, можно определить, является ли каждый поставщик контролёром или оператором. Стратегия соответствия GDPR должна предусматривать наличие у обеих сторон собственного плана действий по подготовке к выполнению требований регламента.

Уведомление об утечках данных и их документирование

В случае утечки данных вы обязаны уведомить надзорный орган в течение 72 часов. Статья четвёртая GDPR определяет утечку персональных данных как нарушение безопасности, включающее случайное или умышленное уничтожение, утрату, изменение, несанкционированное раскрытие или доступ к персональным данным, которые были переданы, сохранены или иным образом обработаны.

При уведомлении об утечке данных малый бизнес обязан указать четыре ключевых элемента: характер утечки, имя и контактные данные ответственного за защиту данных (DPO), вероятные последствия инцидента, а также меры, принятые для минимизации возможного ущерба.

Заключение

GDPR — это сложное законодательство, к которому малый бизнес должен подходить со всей серьёзностью. Его внедрение требует тщательной подготовки и глубокого понимания требований, однако соблюдение регламента позволяет защитить бизнес от дорогостоящих правовых последствий и одновременно обеспечить безопасность данных клиентов.

Малый бизнес может достичь соответствия GDPR, изучив требования регламента и используя подходящие инструменты. GDPR наделяет людей правом контролировать, как компании используют их данные, — и это несёт существенные последствия для небольших предприятий, которые нельзя игнорировать.

Для получения дополнительной информации об улучшении управления соответствием требованиям перейдите по ссылке и ознакомьтесь с решениями в области security compliance.

Об авторе:

Мухаммад — фриланс-автор с трёхлетним опытом работы. Пишет преимущественно на темы, связанные с домом и технологиями. В свободное от работы время увлекается чтением и путешествиями. Напишите ему в FB @abbasceey