Регуле о защите персональных данных – год. И где мы?


Tanons Edijs_Diena
Принятие общей регулы о защите данных (GDPR) с одной стороны, для большинства предприятий Латвии обеспечило дополнительный стимул оперативно и целенаправленно устранить возможные риски для безопасности данных, но, с другой стороны, часть предприятий, в частности в сегменте малых и средних предприятий, нередко продолжают жить, пребывая в ошибочной уверенности, что защита данных главным образом касается крупных компаний. Несмотря на это – GDPR за один год способствовало формированию более серьезного отношения общества к данным, которые мы предоставляет и храним, как частные лица, и, как предприятия. Понимание важности защиты данных в Латвии неоспоримо продолжает возрастать, и это служит очень мощным двигателем и стимулом для бизнеса, чтобы привести себя в порядок.

В то же время, в повседневном профессиональном общении – с коллегами и конкурентами, имеющимися или потенциальными клиентами, экспертами отрасли – обобщенные мнения позволяют заключить о том, что в настоящее время на предприятиях, которые продолжают или только начинают внедрять требования GDPR, по-прежнему возникают сложности с тем, чтобы контролировать поток своих данных. Типичный промах, который отмечают лица, осуществляющие аудит безопасности – предприниматель вовсе не знает, где находятся сервера, на которых хранится накопленная фирмой информация, или даже то, где вообще такие данные хранятся. В процессе общения аудиторов и предприятий нередко обнаруживается, что предприниматель сам не желает инвестировать средства в меры для обеспечения защиты данных – до тех пор, пока его клиенты не начинают задавать неприятные вопросы об обработке и защите своих данных.

Пребывая в уверенности, что до тех пор, пока бизнес идет успешно – беспокоиться не о чем, предприниматель не осознает, что утечке данных могут быть подвержены не только персональные коды или зарегистрированные адреса его клиентов, но также и собственные коммерческие тайны – наряду с этим такой предприниматель рискует и безответственно играет шансом долгосрочного существования своего бизнеса.

В свою очередь сознательные и заинтересованные собственники и руководители предприятий, выполняя требования GDPR, и, желая обеспечить подлинные гарантии своим клиентам, в первую очередь проводят углубленный аудит безопасности данных, и лишь затем, опираясь на результаты аудита, инвестируют средства в необходимые практические меры. Создаются должности специалиста по защите данных, заказываются и внедряются инструменты, контролирующие качество и добросовестность работы внешних поставщиков услуг.

Прежде многие руководители фирм были уверены, что могут справиться со всем силами и ресурсами самого предприятия, однако взгляд на объем необходимых работ стал более реалистичным, и они не стесняются просить помощи у специализированных консультантов. Сегодня как ИТ-специалисты предприятий, так и специалисты outsorce должны привыкать к регулярным и подробным отчетам руководству предприятий, касательно проделанных работ в области защиты данных.

К сожалению следует признать, что слабым звеном в цепочке безопасности данных нередко являются ИТ-сотрудники, даже высоко квалифицированные специалисты. Поэтому и сама безопасность данных демонстрирует частые ошибки уже в ее доступности. Очень часто просто игнорируются основы защиты данных – использование паролей и учетных записей.

В свою очередь предельная ясность при внедрении требований регулы данных несомненно наблюдается в юридических вопросах. Блюстители законов на предприятии действуют, как налаженная система – им понятно, какие требования в каких случаях необходимо соблюдать; какие договоры необходимо подготовить, чтобы обеспечить соблюдение требований регулы данных; они знают, что можно обещать, заключая договоры, а чего обещать нельзя.

Для успешного внедрения GDPR, разумеется, очень важен контроль со стороны государства – роль Государственной инспекции данных (ГИД). Я считаю, что ГИД должна произвести стандартизацию проблем в сфере безопасности данных, стандартизацию допущенных нарушений и применяемых штрафов. Таким образом учреждение могло бы действовать более эффективно и оперативно, не застревая на оценке каждого «уникального» случая или разрешении спора между клиентом и поставщиком услуг. Это позволило бы ГИД помогать предприятиям, обеспечивая консультации в чрезвычайных случаях – особенно, когда необходимы юридические интерпретации при оценке требований, заявленных клиентами.

ГИД в течение этого года, после вступления в силу GDPR, получила в четыре раза больше жалоб, чем в прошлом году, и, как и обещала, была способна отреагировать на них соответствующим образом. Если в аудитах, выполненных экспертами, главным образом были констатированы проблемные ситуации среднего уровня критичности, за которые можно вынести выговор, то из жалоб, поданных в инспекцию, четвертая часть оценивается, как сообщения с угрозой высокого риска, в которых констатируется некорректное отношение предпринимателей к получению и обработке данных. В случаях, когда констатируются признаки кражи данных, уже привлекается полиция, которая расследует каждый конкретный случай.

Оценивая в целом, в Латвии соблюдение требований безопасности данных это уже не только вопрос человеческого понимания или непонимания. В нем все больше доминируют практические – и решаемые! – проблемы.

 

Эдийс Танонс, директор по решениям SIA «Datakom»


  

Постоянный адрес статьи



К этой статье еще нет комментариев.
Добавить комментарий
Имя:
E-mail:



Другие новости...

Новости