1

Как, где и когда нужен GDPR?

Соответствие требованиям Общего регламента по защите персональных данных (General Data Protection Regulation, GDPR) – одна из наиболее востребованных услуг в сфере кибербезопасности и защиты данных как в странах Европейского Союза, так и за его пределами. Причиной этому послужили, в первую очередь, существенные санкции за нарушение требований Регламента, а также необходимость учитывать его требования даже за пределами ЕС.

Приведение компании в соответствие с Регламентом – нетривиальная задача, независимо от размера компании и индустрии. Такой проект – это комплекс из задач юридического и технического плана. Причем задачи эти равнозначны по значимости, если вы серьезно относитесь к вопросу GDPR в вашей компании. Регламент предполагает в дальнейшем официальную сертификацию соответствия, но на данный момент сертификационные органы еще не определены. Поэтому компании, которые предлагают сегодня сертификацию (любого характера) на соответствие требованиям стандарта, по сути, не имеют на это права. Скорее всего, лицензию на проведение сертификационных проверок со временем будут выдавать регуляторные органы в каждой стране ЕС.

Сегодня наиболее правильным определением услуг в сфере GDPR является «оценка готовности» и «внедрение процессов соответствия GDPR». Первая услуга – это полноценный аудит наличия всех мер и контролей, описанных в Регламенте, а также уровня их зрелости в компании. Именно оценка зрелости, а не наличия, является правильным подходом, поскольку Регламент – это не стандарт соответствия (каким в большей степени является, к примеру, PCI DSS). Это документ, который регламентирует необходимость наличия определенных контролей, практик и принципов в компании по работе с персональными данными. А вот уровень зрелости, то есть насколько компании привиты определенные принципы и работают определенные процессы, зависит от компании к компании. Правильный подход к оценке необходимого и достаточного охвата применимости GDPR в компании – это главная задача грамотного консультанта и эксперта. Результатом предоставления данной услуги является карта соответствия основным требованиям Регламента, рекомендации по сужению охвата проекта, а также перечень проектов, необходимых для приведения компании в соответствие требованиям Регламента и управления этим соответствием.

Внедрение процессов соответствия GDPR – это следующий шаг после проведения оценки соответствия и готовности к выполнению требований Регламента. Соответствие таким регуляторным документам как GDRP – это не просто реализация определенных проектов и написания ряда организационно-нормативных документов в компании, но и ежедневное соблюдение всех норм и правил по работе с персональными данными. Первоначальной задачей является инвентаризация данных в компании, их категоризация и внедрение этих процессов. На основании этих данных строится карта потоков данных (dataflow map) и определяется охват применения требования различных регуляторных документов и стандартов, в том числе и GDPR. Отдельной задачей в построении процессов соответствия является проведение анализа влияние на приватность/конфиденциальность персональных данных (data privacy impact assessment, DPIA). Проведение этих работ прописано в регламенте с точки зрения применимости в организациях разного типа, а также с точки зрения специфики проведения самого анализа.

Также подготовка компании к соответствию требованиям Регламента предполагает внесение изменений в ряд юридических норм и документов компании. В основном, это касается соглашений с пользователями или держателями персональных данных (data controller), а также политик/правил хранения, обработки и удаления данных в компании. Не менее важным является и вопрос обеспечения безопасности данных с технической, а не только организационной точки зрения. Регламент не предписывает конкретных решений или технологий для выполнения этого требования, но обязует компании поддерживать должный уровень технической безопасности данных. Поэтому крайне важно, чтобы консультант, который выполняет работы по оценке и внедрению процессов соответствия GDPR обладал как юридической, так и технической квалификацией, и мог обеспечить комплексный подход к выполнению данного проекта.

Если ваша компания задумалась о применимости требований Регламента в своей деятельности – то не спешите бежать к юристам или к системным интеграторам. То, что вам нужно – это хороший консультант, который вам расскажет:

  • нужно ли вам соответствовать Регламенту
  • в какой части бизнеса и деятельности нужно соответствие
  • как минимизировать охват применимости Регламента

А уже на основании этих выводов – вы можете провести аудит готовности к выполнению требованиям и спланировать реализацию проектов по постепенному приведению своего бизнеса в соответствие с требованиями GDPR. Важна – не скорость, важно – правильно выбрать дорогу.

Related Posts

card__image

Cyberattacks on Critical Infrastructure: The Digital Battlefield

Извините, этот текст доступен только на “en” и “ua”. Cyber threats are escalating in critical sectors like energy and healthcare. Recent warnings from CISA, NSA, and FBI highlight vulnerabilities exploited by Chinese-linked operations.   In today’s world, it’s hard to miss the constant buzz about cyber threats, especially when they hit critical infrastructure and sectors […]

card__image

Киберугрозы растут, а специалистов становится все меньше

Ключевым вопросом исследования рынка труда в сфере кибербезопасности ISC2 2024, является необходимость для организаций расширить возможности для развития кадрового потенциала в этой сфере, а также предоставить больше возможностей для новичков войти в профессию и развивать необходимые навыки при поддержке опытных коллег.   Согласно новым данным, глобальный рост числа специалистов по кибербезопасности впервые за шесть лет […]

card__image

Количество DDoS-атак увеличивается

Мониторинг развивающихся тенденций DDoS важен для предвидения угроз и адаптации стратегий защиты. Комплексный отчет Gcore Radar за первое полугодие 2024 года предоставляет подробную информацию по DDoS-атакам, демонстрируя изменения в моделях атак и более широком ландшафте киберугроз. Ниже мы делимся основнвыми инсайтами.   Ключевые выводы   Количество DDoS-атак в первом полугодии 2024 года выросло на 46% […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *