У травні 2016 року після довгих обговорень Європейський парламент прийняв новий Загальний регламент захисту даних (GDPR), за яким уже з 25 травня цього року компанії повинні дотримуватись його положень і бути здатними це продемонструвати. GDPR стосується не тільки європейських країн, але й усіх компаній, які зберігають дані про клієнтів ЄС, навіть якщо сама компанія не має офісів або серверів на території Європейського Союзу.
Відповідно до GDPR, захисту підлягає наступна інформація про кожного клієнта:
• расова та етнічна інформація, а також сексуальна орієнтація клієнта;
• ідентифікаційна інформація: імена, адреси та ідентифікаційні номери;
• інформація про стан здоров’я, біометричні й генетичні дані;
• IP-адреси, дані cookie, місцеперебування, RFID-чіпи;
• політичні переконання.
На жаль, чимало компаній, схоже, не дуже переймаються новими положеннями Регламенту, вважаючи, що GDPR не вплине на основи їхньої роботи або й взагалі омине стороною. Якщо ви теж притримуєтеся цієї думки, то дуже помиляєтеся, і це може вам дорого коштувати.
Три головні міфи про GDPR
1. Відповідний програмний продукт може на 100% гарантувати відповідність вимогам GDPR
Насправді на ринку немає такого продукту, який може гарантувати це вашій організації. Надані інструменти призначені для спрощення впровадження GDPR шляхом запису всієї інформації про клієнтів в одній базі даних.
Тепер дозволи споживачів, відповідно до Регламенту, повинні отримуватись у правомірний спосіб, а збір і зберігання даних — бути прозорими. Клієнти в ЄС матимуть право вимагати бути «забутими»: це означає, що вони зможуть зробити запит до організації про знищення всіх персональних даних. Якщо така інформація зберігається в одному місці, то ваша компанія може відповідати вимогам GDPR.
Іншим важливим аспектом нового Регламенту є те, що споживачі повинні бути повідомлені про витік персональних даних упродовж 72 годин. Щоб цього не трапилося, компанії необхідно вжити відповідних заходів, зокрема впровадити оцінку ризиків захисту даних (DPIA).
Одним із суттєвих аспектів впровадження GDPR, якому не приділяється достатньо уваги, є також те, що навіть найкраща система не працюватиме, якщо працівники компанії не будуть навчені належним чином. Тому щоб забезпечити відповідність вимогам Регламенту, усі організації повинні створити нові ключові посади, такі як контролер даних, обробник даних, посадова особа щодо захисту даних (DPO).
Останній, наприклад, відповідатиме за впровадження стратегії GDPR, включаючи заходи безпеки і загальне дотримання Регламенту. Контролер даних проводитиме моніторинг, як збираються й обробляються персональні дані, а також гарантуватиме, що зовнішні підрядники відповідають вимогам GDPR. Обробниками даних можуть стати як працівники самої компанії, так і робітники її бізнес-партнерів, наприклад, провайдери хмарних послуг. Згідно з GDPR, обробники нестимуть відповідальність за витік даних або невідповідність Регламенту.
2. GDPR мене не стосується
Уявіть собі дерево, що росте у лісі і раптом падає. Якщо шуму від падіння дерева ніхто не чує, то чи означає це, що його немає? Ця аналогія дуже схожа на GDPR: якщо ЄС прийме закон про конфіденційність, чи буде хто-небудь, наприклад, у США знати про це?
GDPR фінансуватиметься за рахунок штрафних санкцій — принципу, який добре знайомий більшості американців. Пофантазуйте тепер про химерне місто, яке отримує більшу частину своїх прибутків від контролю за обмеженням швидкості на всій території, тож за порушення правил дорожнього руху водії платять чималі штрафи. GDPR працюватиме схожим чином — організації будуть оштрафовані за недотримання правил Регламенту.
Будь-яка організація, яка вважає, що GDPR не вплине на неї, може отримати несподіваний і прикрий сюрприз уже в червні 2018 року. Тож навіть у випадку, коли ваша компанія не має серверів або бізнес-представництв у ЄС, ви повинні дотримуватись GDPR, якщо ви:
• обробляєте персональні дані громадян або резидентів ЄС;
• маєте понад 250 працівників;
• маєте менше 250 працівників, але регулярно збираєте й обробляєте особисті дані громадян.
Не забувайте, що кожен аспект взаємодії з клієнтами — від придбання продукту до підписки на розсилку рекламних пропозицій — вимагає дотримання вимог GDPR.
3. GDPR не сприйматиметься як щось серйозне
Ви будете дуже здивовані, якщо вважаєте, що принципів GDPR не будуть дотримуватися, і це може вам дорого коштувати.
Наприклад, американське бюро кредитної історії Equifax до GDPR могло бути оштрафоване на 27 мільйонів доларів за витік персональних даних понад 143 000 споживачів. Після прийняття GDPR компанія Equifax може отримати штраф у розмірі 125 мільйонів доларів.
Штрафи за недотримання GDPR можуть бути величезними: до 20 млн доларів або 4% від загального прибутку, залежно від того, що більше. Тож тепер, ймовірно, чимало організацій діятимуть відповідно до законів GDPR, а недотримання принципів Регламенту буде призводити до серйозних наслідків для компаній-порушниць.
Міфи про GDPR можуть коштувати вашій компанії мільйонів, тож почніть готуватися до змін уже зараз.
Хочете дізнатися більше про взаємодію з клієнтами? Реєструйтеся на SAP Now Київ
Хочете дізнатися більше про те, як підготуватися до GDPR? Завантажуйте безкоштовний інструментарій готовності до GDPR.