И если год назад слово «GDPR» только звучало угрожающе, то теперь полетели первые головы. Недавние известия о гигантских штрафах всполошили всю мировую общественность: сначала румынское отделение Unicredit Bank получило первый штраф в размере 130 000 евро за нарушение GDPR. Потом авиакомпания British Airways выплатила рекордные 138 млн фунтов стерлингов за прошлогоднюю утечку данных ее клиентов. И буквально следом - сеть отелей Marriott оштрафовали на $124 млн. за потерянные данные клиентов после хакерской атаки.
Штрафы вполне реальные и внушительные, при этом они накладываются как на распорядителя (владельца), так и на процессора (оператора) персональных данных. Поэтому многие украинские предприниматели постепенно осознают необходимость внедрения GDPR в своих компаниях.
Что это за зверь такой?
Европарламент принял регламент General Data Protection Regulation еще в 2016 году. В силу он вступил только с 25 мая прошлого года. Регламент несет обязывающий характер по защите персональных данных для всех стран, на которые распространяется сфера его действия. Украина приняла на себя обязательства в рамках ассоциации с ЕС, которые в том числе заключаются и в защите персональных данных. Именно потому внедрять стандарты GDPR на своем предприятии важно и нужно уже сейчас.
Как не попасть под санкции?
Внедрение GDPR требует вложений. Но это, как говорится, «must have», чтобы обеспечить своим данным надлежащий уровень защиты. В противном случае можно потерять гораздо больше - максимальный штраф за нарушение GDPR по новому регламенту составляет 4% от годового оборота компании. Посчитайте сами. Уже не говоря о потере клиентов и деловой репутации, которую очень сложно заработать ( а тем более -восстановить) нашим компаниям в Европе.
Чтоб не попасть под санкции, важно привлечь специалиста, который внедрит регламент в ваш бизнес - DPO. Это специалист по обеспечению защиты при обработке персональных данных, юрист, аудитор, советник и консультант в одном лице. Он внедряет стандарты GDPR, регулярно следит за их соблюдением, дает рекомендации по оценке влияния разных факторов риска на защиту данных. А также выступает контактным лицом с европейскими органами надзора. Потому что если есть работающая система штрафов- запросы от официальных органов не заставят себя долго ждать.
Есть случаи, когда назначение DPO является обязательным, такие как:
● основные виды деятельности включают регулярный и масштабный мониторинг персональных данных граждан Евросоюза
● компания обрабатывает «чувствительные данные» (данные о состоянии здоровья, расовой принадлежности, судимости).
Во всех остальных случаях назначение DPO остаётся рекомендованным, но не обязательным. Хотя европейские регуляторы в один голос призывают не пренебрегать таким специалистом и делегировать ему все полномочия по внедрению стандартов GDPR.
Важно сделать первый шаг
Уже за год активно действующего регламента GDPR мы видим позитивные сдвиги в осведомленности и соблюдении регламента украинскими предпринимателями. Важно сделать первый шаг- определить слабые стороны в компании, найти специалиста, выделить бюджет и реализовать план по защите своей компании от возможных рисков.
Помните одно: если мы хотим работать с внешним миром — нужно жить по тем правилам, которые в нем установлены. Поэтому игнорировать GDPR уже не получится.