Что нового в защите персональных данных в ЕС

Пока Украина только готовится стать членом ЕС, но уже сейчас будет неплохо о нововведениями в сфере IT безопасности содружества.

Первая европейская директива о защите персональных данных, была основана в 1995 году. — от ее создания прошло уже два десятилетия, поэтому неудивительно, что ЕС работает над новыми правилами, в которых учитываются изменения и новые явления в мире информационных технологий и Интернета.  ITbusiness внимательно изучил текущий проект – вот 10 наиболее важных нововведений.

Для начала стоит отметить, что новые правила защиты персональных данных вступят в силу в 2017 году. и, теоретически, к этому времени этот проект может еще измениться. Фактом, однако, является то, что в последних двух версиях были внесены только незначительные изменения, так что есть большая вероятность, что правила будут приняты именно в этой редакции. Что стоит о них знать?

1. Это норма а не директива

Два приведенные выше термины часто используются как синонимы, но это ошибка, потому что между ними есть серьезные различия. Директивы могут быть реализованы и усовершенствованы в различных страны, а норма – после принятия — становится законом без каких-либо изменений в содержании. После внедрения новых правил во всех 28 странах ЕС, будут применяться одинаковые правила.

2. Организации, обрабатывающие данные, будут нести ответственность за их защиту

Согласно действующего законодательства, за любые данные, «с помощью которых можно кого-то опознать” несет ответственность организация или компания, которая эти данные контролирует – то есть, их владелец. Новые правила предусматривают, что за сохранность данных также будут нести соответствовать все организации, которые будут их использовать, например, поставщикb облачных услуг. Другими словами – тот кто-то получит доступ к данным, сразу становится за них ответственным.

Это значит, что компании и организации должны уже сейчас проанализировать контракты, подписанные с внешними компаниями – и если эти договора предусматривают передачу или обмен данными, необходимо убедиться, что сохранились в этом вопросе соответствуюет стандартам безопасности. Многие поставщики облачных услуг, особенно за пределами ЕС – могут даже не знать, что эти правила касаются и их.

3. Правила имеют глобальные последствия

Мы все время мы говорим о правилах ЕС или европейских – но стоит понимать, что они будут иметь существенное влияние на компании или учреждения со всего мира. Если только какая-то организация имеет или использует данные граждан ЕС, она автоматически должна будет придерживаться новых правил.

4. Пользователи смогут требовать компенсации

Новые правила позволят пользователям требовать компенсации, например, за незаконное предоставление или потерю их данных, например, в результате несанкционированной их обработки. Более того, пострадавшие смогут выступать в группе, и организовать коллективный иск.

Поэтому руководители компаний должны осознать, насколько большое влияние на функционирование их предприятия могут иметь любые „ляпы” в этой области. Речь идет не только о потенциальных чрезвычайно дорогостоящих судебных процессах и высоких компенсациях, но также о потере имиджа, уход клиентов и т. д.

5. Новые – более жесткие – правила переноса данных граждан ЕС и за пределы содружества

В настоящее время ЕС запрещает перенос данных своих граждан за пределами Европейской Экономической зоны (EEA — European Economic Area) до тех пор, пока компания контролирующая эти данные не подтверждает, что после передачи данные будут соответствующим образом защищены (по крайней мере в той же степени, как и в ЕС).

В новых реалиях эти законы будут ужесточены – контролировать сохранность данных будет соответствующая комиссия. Поэтому очень важно взаимопонимание с партнерами за пределами ЕС (например, поставщиками облачных услуг) и информирование их о новых требованиях в отношении них, а также о процедурах контроля.

6. Гармонизация законодательства о предоставлении вам данных

Пользователи уже сейчас имеют полное право проверять данные, которые компании накопили о них – однако правила, определяющие, на каких условиях и в какое время это происходит, отличаются между странами. В новых правилах, правила будут унифицированы (вероятно, организация будет иметь 20 дней на передачу пользователю данных).

7. Новые правила уничтожения данных

Данный проект также предусматривает, что пользователь будет иметь право требовать, чтобы из базы данных удалили его данные. На первый взгляд это не кажется сложным, однако на практике эта операция может быть не так-то просто проведена – так что стоит к ней подготовиться. Что, если компания управляет несколькими базами данных, а пользователь попросит вас уничтожить только в одной из них? Все это стоит проверить перед введением новых правил.

8. Уведомление пользователей об их правах это ваша обязанность

Новые правила предусматривают, что организации, управляющие данные, обязаны информировать пользователей об их правах, а также напоминать им об этом… и задокументировать тот факт, что приняты такие меры. Кроме того, следует убедиться, что пользователи не будут по умолчанию согласиться на сбор их данных.

9. Более жесткие санкции и оперативная отчетность инцидентов

Это одно из самых важных изменений. Если бы кто-то до сих пор сомневался, что европейские регуляторы всерьез рассматривают вопрос защиты персональных данных и утечки данных, это новые правила должны устранить все сомнения. По новым правилам штрафы могут достигать 100 млн евро или 5% дохода (в зависимости от того, какая сумма будет выше), что значительно превышает текущие суммы (в Великобритании максимальное наказание в настоящее время 500 тысяч. фунтов).

В настоящее время в различных странах действуют различные законы, касающиеся, например, информирования об утечке данных (как пользователей, для которых данные доступны,так как и регуляторов). Новые правила должны унифицировать ключевые вопросы – например, ввести обязанность информирования об утечке данных в течение определенного времени (вероятно, это будут 72 часа) с момента обнаружения инцидента (хотя будут предусмотрены исключения из этого правила).

10. Шифрование и токенизация

Как мы уже упоминали, проект предусматривает, что компании хранящие и управляющие данными жителей ЕС будут обязаны предоставить им, высокий уровень безопасности информации, в том числе шифрование.

Итог

Для введения новых правил выделено два года – благодаря тому, что уже сейчас мы знаем достаточно хорошо их конечную (возможно) форму, специалисты в области IT, безопасности и команды, ответственные за выполнение требований регуляторов имеют достаточно времени на подготовку к реализации новых законов.

ОСТАВЬТЕ ОТВЕТ