Научете фактите и направете оценка на въздействието!
Организациите, които не съгласуват дейността си с GDPR до май 2018 година, но обработват лични данни на лица от ЕС, подлежат на глоба, която е в размер до 4% от годишните им приходи или до 20 милиона евро (което е по-голямо).
На първо място трябва да аплодираме организациите, които инвестират време и ресурси в разбирането на пълния обсег на новия регламент относно защитата на личните данни на физическите лица в Европейския съюз (EU General Data Protection Regulation – GDPR). Поздравяваме тези бизнеси, които вече оценяват и адаптират системите, процесите и кеберсигурността си, за да отговорят на новите законови изисквания. За съжаление, не всички се движат в правилната посока и това може да се окаже пречка в бъдеще.
Ето няколко отрезвяващи статистики от средата на тази година:
- 71% бизнесите във Великобритания не са запознати с глобите налагани по GDPR и част от тях се страхуват, че бизнесът им ще фалира, ако трябва да заплатят максималната глоба. https://www.theregister.co.uk/2017/05/30/gdpr_biz_survey/
- По-малко от половината бизнеси в САЩ и Европа са информирани за въздействието на GDPR върху бизнеса им. https://community.spiceworks.com/research/gdpr-impact-on-it
Изглежда, че въпреки наближаването на май 2018 година и сравнително достатъчно дългия подготвителен период от 2 години, повечето организации са избягвали да се захванат със задачите по внедряване на изискванията на GDPR.
Ето няколко главни проблема, които фирмите срещат с GDPR според Spiceworks:
- Стъпките за съгласуваност с GDPR не са ясни.
- Управителното тяло в организацията не разбира въздействието на GDPR.
- GDPR ще увеличи сложността на пазара.
Изглежда, че въпреки че повечето от нас са чували термина GDPR, твърде малко от нас могат да оценят истинските значение, обхват и глоби на това изискване, което скоро ще стане задължително. Трябва да бъдем честни, че GDPR е необикновена регулация и никак не е учудващо, че организациите не я приемат с охота. Наясно сме с това и сме тук, за да помогнем.
Пет основни въпроса за GDPR
Нека да следваме старият трик на журналистите и полицаите и да зададем петте основни въпроса. Този подход ще ни помогне да отделим най-важните факти за GDPR. Заедно с новия доклад на GFI “Разбиране и внедряване на мерки за съгласуване с GDPR”, можем да ви дадем посока за оценяване на GDPR и да ви помогнем да си отговорите на ключовия въпрос: „GDPR важи ли за моята организация?“
КАКВО?
GDPR е акроним за General Data Protection Regulation (GDPR), регламент относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. Той също е познат като Регламент EU 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година и отменя Директива 95/46/EО (Общ регламент относно защитата на данните), която е била в сила от 1995 година и чието действие ще се прекрати с влизането в сила на GDPR.
GDPR е всеобхватен закон разделен в 11 глави, които покриват всички аспекти на защитата на данните, включително правата на субекти на данните в ЕС, изисквания по техния контрол и обработване, а също и отговорности и наказания свързани с провал при липса на съгласуваност с регламента.
ЗАЩО?
GDPR е представен като закон за по-добра защита на личните данните на гражданите на Европейския съюз, временно пребиваващите и дори туристите (докато са под юрисдикцията на ЕС), които се определят в GDPR като ‘субекти на данните’.
Например, GDPR определя, че субектите на данни трябва да се съгласят при събиране и обработване на личните им данни. Законовата рамка дава на субектите на данните:
- право да бъдат забравени;
- право да поправят неправилни лични данни;
- и право за пренос на данни към друг контрольор.
GDPR също дава насоки за сигурно събиране, съхраняване, обработване и пренос на лични данни. Ако една организация контролира и обработва лични данни, но се провали в това да отговори на изискванията според GDPR, това може да доведе до тежки глоби като 4% годишния приход на компанията или до 20 милиона евро, което е по-голямата сума.
КОГА?
GDPR беше гласуван като закон през април 2016 с дата на влизане в сила през май 2018 г.
Двугодишният гратисен период беше предоставен на всички организации, давайки им възможност да оценят и да поправят техните бланки за съгласие, да прегледат събраните от тях данни и дейностите по обработката им, да осъвременят техните инфраструктура и политики свързани с киберсигурността – всичко това, очевидно преди датата на влизане в сила на регулацията.
КОЙ?
Всяка организация, независимо от размера и географското ѝ местоположение, която редовно събира или обработва всякакви обеми лични данни на субекти на данни от Еврепейския съюз. Организациите, които попадат в тази категория са съветвани да оценят своята съвместимост и отговорности спрямо GDPR незабавно.
Например, ако дадена фирма има сайт, който изисква потребителите да попълват данни в бланки, за да имат достъп до някакви услуги, то събираните лични данни от лица на ЕС (такива като име, дата на раждане, пол, адрес или имейл) трябва да се използват стриктно съгласно изискванията на GDPR при самото събиране, а също при съхраняване, пренос и проследяване според тях.
КЪДЕ?
GDPR има влияние върху целия свят. Законът важи за всяка организация, включително тези извън юрисдикцията на ЕС и тези с малък брой служители.
Ключовият фактор е следният: ако организацията ви събира и обработва лични данни на субекти на данни от ЕС, тогава GDPR е задължителен за прилагане при вас.
Получете още факти от експерти
GFI издаде изцяло безплатен нов доклад на английски със заглавие “Разбиране и осъществяване на мерки за съгласуваност с GDPR”.
Той е създаден, за да даде ясна информация и съвети свързани със съгласуването с GDPR. Докладът изяснява сложната терминология, очертава изискванията на GDPR, обсъжда усложненията във връзка с ползването на облачни услуги и определя ключови области върху които да се фокусирате, за да постигнете пълна съвместимост с изискванията до крайния срок през май 2018 г.
Новият доклад също така дава план за внедряване, който засяга всички аспекти на ИТ сигурността, включително идентифициране и класифициране на данни, криптиране, управление на достъпа, мрежова и имейл сигурност, одит, проследяване и създаване на доклади.