Чего ждать от Общих требований к сохранности данных (GDPR)

В продолжение недавней новости

В Великобритании готовятся к принятию Билля о защите данных (Data Protection Bill), который введет европейскую Директиву в национальное законодательство. Несмотря на стартовавший “Брекзит”, по ожиданиям Британия все-так сохранит эти законы в действии, и даже наоборот – несколько расширит их.

С практической точки зрения это означает, что простые граждане получат больший контроль над своими персональными данными, а компании станут в большей степени ответственными в плане управления и хранения данных своих клиентов. Для Британии это очень актуально, поскольку она считается крупнейшей интернет-экономикой среди всех членов “Большой двадцатки”, и тем более недопустимо, что самая “свежая” версия ее законов по защите данных вступила в действие более 10 лет назад. Новый билль – поистине глоток свежего воздуха для тех, кто давно требует перемен в непростых условиях цифровой эры.

Пройдемся по ключевым пунктам.

Больший контроль граждан над персональными данными

Это находится в центре нового законодательства – облегчение доступа, перемещения и стирания персональных данных по желанию пользователя. Само определение персональных данных несколько расширено и включает теперь IP-адреса, “куки” и DNA.

Граждане получат право “быть забытыми”, что означает, что их персональные данные смогут быть стерты по их желанию – в том числе картинки, которые они размещали в социальных сетях в юности. Кроме того, у них станет больше прав потребовать от компаний предоставить информацию, которую те имеют на них, причем сделать это абсолютно бесплатно.

Клиенты компаний получат в свое распоряжение больше возможностей для перемещения данных, что означает, что их можно будет легче передавать от одних поставщиков услуг другим – а это и больший выбор, и более активная конкуренция, и инновации.

Бизнес отвечает за сохранность данных

Одну из целей всей этой инициативы можно сформулировать так: “больше отчетности, но меньше бюрократии”. Компании в Великобритании будут обязаны принять все меры для обеспечения сохранности и надлежащего управления данными, при этом при обращении с персональными данными приоритетным является их конфиденциальность.

Если компании проводят высокорисковую обработку данных, им придется проводить дополнительную оценку качества управления соответствующими рисками.

В случае нарушения конфиденциальности данных компании обязаны будут проинформировать Управление Комиссара по информации (Information Commissioner’s Office - ICO) в течение 72 часов. А если нарушение конфиденциальности существенное, то об этом должны будут узнать также клиенты, которых это затронуло.

Что касается самого ICO, то ему предоставят дополнительные полномочия в плане проведения расследований и наложения санкций. Среди прочего, Управление получит возможность получать информацию от операторов персональных данных, входить и инспектировать помещения, проводить аудиторские проверки и требовать исправления недочетов. Сегодняшний максимальный размер штрафов в полмиллиона фунтов будет увеличен £17 млн., либо 4% общего оборота компании.

Список возможных криминальных обвинений также расширят. Например, компании будут карать за осознанное (либо допущенное в результате преступной халатности) создание ситуаций, когда становится возможной идентификация отдельной личности по набору обезличенных данных. В то же время большую защиту получат журналисты и “информаторы”, сообщающие о допускаемых компаниями нарушениях.

Говорит Эндрю Рогойски (Andrew Rogoyski), глава британского офиса кибербезопасности в CGI: “GDPR повлияют на множество областей, таких как новое определение того, что составляет персональные данные и право на согласие. Это потребует от бизнеса дополнительных инвестиций времени и денег в понимание природы данных, которыми они владеют, и меры, которые они принимают для защиты чувствительных данных, включая квалифицированный персонал, процедуры и обучение”.

По материалам: Accountancy Age