1

Як, де і коли потрібен GDPR?

Відповідність вимогам Загального регламенту щодо захисту персональних даних (General Data Protection Regulation, GDPR) – одна з найбільш затребуваних послуг у сфері кібербезпеки та захисту даних як в країнах Європейського Союзу, так і за його межами. Причиною цьому є, в першу чергу, суттєві санкції за порушення вимог Регламенту, а також необхідність враховувати його вимоги навіть за межами ЄС.

Приведення компанії у відповідність до Регламенту – задача нетривіальна, незалежно від розміру компанії та індустрії. Такий проект – це комплекс задач юридичних та технічних. Причому ці задачі рівноцінні, якщо ви серйозно ставитеся до питання GDPR у вашій компанії. Регламент передбачає в подальшому офіційну сертифікацію відповідності, але на даний момент сертифікаційні органи ще не визначені. Тому компанії, які пропонують сьогодні сертифікацію (будь-якого характеру) на відповідність вимогам стандарту, по суті, не мають на це права. Швидше за все, ліцензію на проведення сертифікаційних перевірок з часом будуть видавати регуляторні органи в кожній країні ЄС.

Сьогодні найбільш правильним визначенням послуг у сфері GDPR є «оцінка готовності» і «впровадження процесів відповідності GDPR». Перша послуга – це повноцінний аудит наявності всіх заходів і контролів, описаних в Регламенті, а також рівня їх зрілості в компанії. Саме оцінка зрілості, а не наявності, є правильним підходом, оскільки Регламент – це не стандарт відповідності (яким у більшій мірі є, наприклад, PCI DSS). Це документ, який регламентує необхідність наявності певних контролів, практик і принципів у компанії по роботі з персональними даними. Отже, рівень зрілості, тобто наскільки компанії властиві певні принципи і працюють певні процеси, залежить від компанії до компанії. Правильний підхід до оцінки необхідного і достатнього охоплення застосування GDPR у компанії – головне завдання грамотного консультанта та експерта. Результатом надання даної послуги є карта відповідності основним вимогам Регламенту, рекомендації щодо звуження охоплення проекту, а також перелік проектів, необхідних для приведення компанії у відповідність до вимог Регламенту та управління даною відповідністю.

Впровадження процесів відповідності GDPR – це наступний крок після проведення оцінки відповідності та готовності до виконання вимог Регламенту. Відповідність таким регуляторним документам як GDRP – це не просто реалізація певних проектів і написання ряду організаційно-нормативних документів в компанії, але й щоденне дотримання всіх норм і правил по роботі з персональними даними. Первинним завданням є інвентаризація даних компанії, їхня категоризація і впровадження цих процесів. На підставі цих даних будується карта потоків даних (dataflow map) і визначається охоплення застосування вимог різних регуляторних документів і стандартів, в тому числі і GDPR. Окремим завданням в побудові процесів відповідності є проведення аналізу впливу на приватність/конфіденційність персональних даних (data privacy impact assessment, DPIA). Проведення цих робіт прописано в регламенті з точки зору застосування в організаціях різного типу, а також з точки зору специфіки проведення самого аналізу.

Також підготовка компанії до відповідності вимогам Регламенту передбачає внесення змін до низки юридичних норм і документів компанії. Переважно це стосується угод з користувачами або власниками персональних даних (data controller), а також політик/правил зберігання, обробки й видалення даних у компанії. Не менш важливим є й питання забезпечення безпеки даних з технічної, а не тільки організаційної точки зору. Регламент не наказує конкретних рішень або технологій для виконання цієї вимоги, але зобов’язує компанії підтримувати належний рівень технічної безпеки даних. Тому вкрай важливо, щоб консультант, який виконує роботи з оцінки та впровадження процесів відповідності GDPR мав як юридичну, так і технічну кваліфікацію, отже міг забезпечити комплексний підхід до виконання даного проекту.

Якщо ваша компанія обмірковує можливість застосування вимог Регламенту в своїй діяльності, не поспішайте бігти до юристів або системних інтеграторів. Те, що вам потрібно – це гарний консультант, який вам розповість:

  • чи потрібно вам відповідати Регламенту
  • в якій частині бізнесу і діяльності необхідна відповідність
  • як мінімізувати охоплення застосування Регламенту

Базуючись на цих висновках, ви можете провести аудит готовності до виконання вимог і спланувати реалізацію проектів щодо поступового приведення свого бізнесу у відповідність до вимог GDPR. Важлива – не швидкість, важливо – правильно обрати шлях.

Related Posts

card__image

Кібератаки на критичну інфраструктуру: цифрове поле бою

Кібератаки стають все більшою загрозою для критичних секторів, таких як енергетика та охорона здоров’я. Нещодавні попередження від CISA, NSA та ФБР вказують на вразливості, які використовуються в активностях, пов’язаних з Китаєм.   У сучасному світі важко уникнути постійного обговорення кіберзагроз, особливо коли вони вражають критичну інфраструктуру, зокрема, енергетику, сферу охорони здоров’я та транспорт. Ці атаки […]

card__image

Кіберзагрози зростають, а спеціалістів стає дедалі менше

Ключовим питанням, яке порушує дослідження ринку праці в кібербезпеці ISC2 2024 є необхідність для організацій збільшити можливості для розвитку робочої сили в цій сфері, а також забезпечити більше можливостей для початківців увійти в професію та розвивати необхідні навички за підтримки досвідчених колег.   Згідно з новими даними, глобальне зростання спеціалістів в кібербезпеці вперше за шість […]

card__image

Зростання кількості DDoS-атак на 46% у першому півріччі 2024 року

Моніторинг тенденцій DDoS, що розвиваються, важливий для передбачення загроз і адаптації стратегій захисту. Комплексний звіт Gcore Radar за перше півріччя 2024 року надає детальну інформацію по DDoS-атаках, демонструючи зміни в моделях атак і ширшому ландшафті кіберзагроз. Нижче ми ділимося низкою результатів з повного звіту.   Ключові висновки   Кількість DDoS-атак у першому півріччі 2024 року […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *