Стандарты GDPR – что нужно для обеспечения комплайенса?

print
Печать

Источник: GAAP.RU

Дата публикации: 22 Августа 2017 г.

Как известно, без информации никакая организация не способна расти и развиваться. История киберпреступлений знает немало примеров организаций, пострадавших от нарушения конфиденциальности данных, что вылилось в репутационный и финансовый ущерб. Взлом британской компании TalkTalk в октябре 2015 года, например, стоил ей £60 млн. Кроме того, в результате она потеряла 100 тыс. своих клиентов и к тому же получила иск на £400 тыс. от британского Управления Комиссара по информации (ICO). Такие вещи не случаются только лишь с крупными компаниями, поскольку шпионское ПО и программы-вымогатели – всеобщий бич, на размер они не смотрят.

В Британии Акт по защите конфиденциальных данных - Data Protection Act (DPA) – действует уже с 1998 года, и остро назрела необходимость его обновления. Технологии на протяжении последних двух десятков лет непрерывно совершенствовались, мы уверенно вступили в “цифровую эру”, и новые Общие требования к сохранности данных (General Data Protection Regulation - GDPR) призваны сослужить хорошую службу в сложившихся условиях.

GDPR задают планку для обращения компаний с персональной информацией. Это европейские правила, однако, несмотря на выход Британии из ЕС, ей придется им следовать. Одна из основных идей – дать простым гражданам больше возможностей контролировать использование и распространение персональных данных. Хорошая новость в том, что значительная часть того, что вы уже и так делаете, скорее всего, отвечает требованиям GDPR (в Британии они официально вступят в силу в мае следующего года – начиная с того момента любой компании, вне зависимости от ее размера, придется отслеживать персональные данные по любому клиенту с европейским резидентством, если они есть у нее на руках).

Впрочем, глобальный характер современной экономики означает, что стандартам GDPR придется следовать и китайской компании с базой данных по европейским клиентам. Более того, есть мнение, что эти требования очень скоро станут новым глобальным стандартом, потому что, по аналогии с теми же МСФО, для бизнеса нет особого экономического смысла управлять конфиденциальными данными своих клиентов как-то иначе, если эти клиенты имеют другое резидентство.

Эксперты Ассоциации технических бухгалтеров (AAT) в качестве отправной точки рекомендуют программу “12 шагов”. Этот документ был выпушен недавно британским Управлением Комиссара по информации (ICO), которое отвечает за внедрение стандартов GDPR в Британии. Какие это шаги?

  1. Осведомленность: прежде всего, убедитесь, что каждый сотрудник вашей компании в курсе GDPR, и что они вступают в силу с 12 мая следующего года (в Великобритании, само собой; когда они придут в Россию, и придут ли вообще, мы сказать затрудняемся)
  2. Документирование информации: потенциально самое непростое действие, поэтому начинать нужно как можно раньше. Исследования недавно показали, что менее 1% британских компаний на данный момент точно знают, какими именно персональными данными они владеют, в какой форме, и где они хранятся
  3. Обмен конфиденциальной информацией: необходимо пересмотреть текущие подходы и внести изменения с учетом требований GDPR
  4. Индивидуальные права: процедуры компании должны полностью их учитывать, в том числе право индивидуума рассчитывать на удаление конфиденциальной информации о себе по требованию, в электронной ли форме или в более традиционном “бумажном” формате
  5. Требования доступа: необходим пересмотр текущих процедур и планов удовлетворения запросов с учетом новых возможностей, предоставленных клиентам новыми правилами
  6. Юридически обоснованный подход к обработке персональных данных, а также их документированию и обновлению
  7. Разрешения: текущие подходы к их получению и документированию необходимо пересмотреть, если они не отвечают новым требованиям
  8. Детский фактор: может потребоваться обновление систем с учетом необходимости проверки возраста и получения родительского/опекунского согласия на обработку данных в случае несовершеннолетия автора поступившего запроса
  9. Нарушение конфиденциальности данных: эффективные процедуры обнаружения, отчетности и проведения расследований
  10. Принцип “проектируемой конфиденциальности” до сих пор всегда был хорошей идеей подхода к проведению оценки воздействия на персональные данные - Privacy Impact Assessment (PIA). Так все и останется с новыми правилами, просто GDPR делает это более формальным требованием
  11. Ответственные за защиту данных: большинству аудиторских организаций они, может, и не потребуются, но многим организациям, у которых на руках множество персональных данных, просто придется вводить новую должность.
  12. Международный вопрос: если вдруг ваша организация ведет свою деятельность более чем в одном государстве ЕС, придется определить и отметить в отчетности основной для вас орган контроля безопасности персональных данных

Подробнее

По материалам: AAT

Теги: Data Protection Act DPA General Data Protection Regulation ICO выход Британии из ЕС киберпреступления конфиденциальные дан Общие требования к сохранности данных персональные данные Управление Комиссара по информации

Комментарии

Книги на GAAPshop.ru