3 причины, по которым компании чаще всего не соответствуют GDPR
Лучший способ соответствовать новым правилам ЕС в отношении конфиденциальности — предположить, что у вас вообще нет потребности хранить личные данные.
Общее положение о защите данных (GDPR) вступило в силу в мае 2018 года, и компании, которые проявили должную осмотрительность для соблюдения этих норм, должны быть уверены, что их базы данных надежно защищены. Тем не менее, правила соответствия GDPR не так просты, как может показаться на первый взгляд, и есть особые случаи применения, которые, пожалуй, актуальны для каждой компании. Если сотрудники, отвечающие за соблюдение нормативных требований, не спешат с проведением тщательной оценки масштабов GDPR и того, как эти правила соотносятся с практикой сбора данных в компании, у них наверняка будут проблемы в плане соблюдения соответствия.
Вот три примера часто упускаемых проблем соблюдения, которые могут подвергнуть компании дополнительному риску.
1. Речь идет не только о потребительских данных
GDPR был разработан с целью защитить потребительские данные, которые собираются различными компаниями. Однако сфера применения этого регламента гораздо шире и может применяться таким образом, который многие компании даже не учитывали в своих первоначальных планах соблюдения. В дополнение к персональным данным потребителя, компании также обязаны обрабатывать персональные данные сотрудников, соискателей работы и лиц, не являющихся клиентами (например, людей, которые заполняют форму, но не покупают) в соответствии с новым стандартом обслуживания.
Регламент требует, чтобы все действия по обработке данных имели юридическое обоснование, поэтому передовой практикой является сбор только тех данных, которые необходимы для основных действий по обработке данных потребителей, соискателей работы и всех, кто вступает во взаимодействие с компанией. Компании должны оценивать свои методы обработки данных с целью их минимизации, чтобы оставаться в соответствии с GDPR.
Рекомендация: не просто пересматривайте методы сбора данных, а пересмотрите методы хранения относительно всех типов данных. Убедитесь, что вы правильно утилизируете старые резюме, личные данные сотрудников и любые другие записи, срок полезности которых истек.
2. Политика против реальности
Любая компания, которая стремится обрабатывать личные данные, должна установить политику, регулирующую то, как данные собираются, хранятся и обрабатываются, чтобы соответствовать требованиям GDPR. В то время, как эффективное управление данными является краеугольным камнем для соблюдения GDPR, простого наличия политик недостаточно для соблюдения. Компании должны сделать еще один шаг к тому, чтобы сотрудники выполняли обязательства по обработке данных, определенные в соответствии с GDPR. Функционально это означает, что компании обязаны следить за тем, чтобы повседневная деятельность людей соответствовала политике GDPR. И если поведение сотрудников не соответствует стандартам компании, то необходимо принять корректирующие меры.
Зачастую нарушение политики является непреднамеренным — например, если сотрудник службы поддержки звонит клиенту и сохраняет личную информацию о клиенте в системе, к которой он не имеет никакого отношения. Или если предприимчивый сотрудник экспериментирует с новым программным обеспечением или создает новые учетные записи и забывает сообщить об этом сотруднику по соблюдению нормативных требований в компании. Хотя эти сценарии могут показаться незначительными проблемами, они подвергают компании большому риску, поскольку оба примера представляют собой нарушения GDPR.
Рекомендация: чтобы снизить риск, рекомендуется проводить частые «мини» проверки. Соответствие легче всего включить в ежедневный рабочий процесс, когда аудит является частью рабочих процессов. В то время как большинство компаний проводят в лучшем случае ежеквартальные аудиты, в худшем — ежегодные, мини-аудиты с установленными сроками будут сигнализировать вашей компании, что соблюдение требований не является ежеквартальным событием, а скорее непрерывной практикой. А еще лучше, автоматизируйте процесс аудита с помощью определенных инструментов, чтобы, когда политика и реальность расходятся, отклонение обнаруживалось мгновенно.
3. Исключительные случаи
Данные, которые включают в себя «личную информацию» в рамках GDPR, не всегда столь просты, как базовая демографическая информация. Например, должность, неожиданно оказалось в категориях личной информации. Приблизительно в 99,9% случаев название должности не считается личной информацией, защищенной в соответствии с GDPR, но это, безусловно, может зависеть от ситуации. Например, рассмотрим такую должность, как канцлер Германии. Сегодня в мире существует только один человек, занимающий эту позицию, а это значит, что личность человека может быть раскрыта именно этой деталью. Таким образом, в этом случае название должности должно рассматриваться как личная информация в рамках GDPR и, следовательно, является защищенным классом данных. Подвох заключается в том, что, если одна должность считается личной информацией, тогда все должности должны рассматриваться, как потенциально личная информация и рассматриваться как таковая.
Рекомендация: в рамках регулярного аудита данных выделите некоторое время на просмотр собранной информации, которую вы не помечаете как личную. Просто используя «неличную» информацию, может ли среднестатистический человек определить, принадлежит ли точка данных конкретному человеку? Если это так, то вы можете переосмыслить, что является личной информацией, а что нет.
Соблюдение GDPR является более сложным и масштабным, чем кажется на первый взгляд, но в то же время не является невозможным стандартом. Лучший совет — предположить, что вам не нужны никакие данные, в отличие от того, что вам нужно все. Таким образом — в духе GDPR — компании неизбежно обеспечат защиту персональных данных самого высокого уровня для своих пользователей и обеспечат ответственность за обработку персональных данных во всей организации.