Руководство по GDPR: Общее положение о защите данных

Опубликовано: 2021-03-09

Общий регламент по защите данных (GDPR) был принят в мае 2018 года в попытке защитить граждан от утечки данных из-за небрежности или недобросовестных действий. Европейский регламент является одним из многих, которые пытаются сделать цифровую среду более безопасной для потребителей: CCPA в Калифорнии, LGPD в Бразилии, PIPL в Китае, PIPEDA в Канаде.

GDPR — это ответ на растущую обеспокоенность общественности в Европе по поводу конфиденциальности данных. Европейский Союз использовал этот регламент для защиты данных в ЕС и Европейской экономической зоне со строгим соблюдением правил, полномочиями по расследованию и значительными штрафами за несоблюдение или в случае утечки данных.

GDPR обеспечивает защиту данных потребителей, включая:

  1. Право на получение информации
  2. Право доступа
  3. Право на исправление
  4. Право на стирание
  5. Право на ограничение обработки
  6. Право на переносимость данных
  7. Право на возражение
  8. Права в отношении автоматизированного принятия решений и профилирования

Кому нужно заботиться о соответствии GDPR

Само собой разумеется, что если вы европейская компания или компания, которая ведет какой-либо бизнес в Европе, вам необходимо знать требования GDPR.

Предприятиям в Соединенных Штатах также следует обратить внимание на GDPR, потому что, хотя регулирование относится к Европе, оно затрагивает предприятия за пределами ЕС и ЕЭЗ, которые также обрабатывают данные европейских потребителей. Мировая экономика не изолирована, и в ней много побочных эффектов; вам следует проверить поставщиков, с которыми вы работаете, чтобы убедиться, что они соответствуют требованиям соответствия, чтобы избежать какой-либо ответственности.

Если вы являетесь компанией электронной коммерции, вы, как продавец, являетесь контролером данных, ответственным за данные ваших потребителей. Выбор правильных партнеров для работы будет частью того, как вы достигнете полного соответствия. Например, Shopify имеет множество ресурсов, связанных с GDPR, которые помогут вам понять ваши обязательства и продемонстрировать их собственное соответствие.

Потребители в США также должны быть заинтересованы в GDPR, поскольку они могут получить выгоду, даже если они об этом не подозревают. GDPR гарантирует защиту не только гражданам Европы, но и любым потребителям, чьи данные передаются в Европу, например тем, кто приезжает в отпуск или по делам. Это также должно служить напоминанием о том, какие данные защищены, а какие нет в Соединенных Штатах.

Отношение потребителей к защите данных

В отчете RSA о конфиденциальности и безопасности данных было опрошено более 7500 потребителей во Франции, Германии, Италии, Великобритании и США на предмет «влияния конфиденциальности, данных и правил на их отношения с бизнесом».

Он показал недоверие к интернет-маркетологам и страх перед хакерами, поскольку «более 40% респондентов признались, что фальсифицировали личную информацию и данные при подписке на продукты и услуги в Интернете», чтобы избежать продажи или потери конфиденциальных данных.

80% респондентов назвали финансовую и банковскую информацию проблемой раскрытия данных в результате утечки данных, а также обеспокоены своими паролями (76%) и идентификационной информацией, такой как паспорта и водительские права (72%).

Другие интересные демографические данные включают в себя то, что 51% респондентов из Германии защищают свои генетические данные, а 51% молодых миллениалов (в возрасте 18-24 лет) обеспокоены использованием личной информации для шантажа.

Крайне важно создать онлайн-пространство, которому потребители могли бы доверять, но у предприятий также есть стимул улучшать свои методы обеспечения безопасности данных: 82% респондентов из Великобритании заявили, что бойкотируют компанию, которая постоянно демонстрирует, что они не уважают защита данных клиентов.

Хотя угроза бойкота может быть недостаточным стимулом для саморегулирования компаний, европейские страны разработали существенную и прогрессивную нормативно-правовую базу, которая заставляет компании серьезно относиться к вопросу безопасности данных, и они не боятся взимать огромные штрафы, чтобы продемонстрировать серьезность проблемы.

Какие персональные данные защищены GDPR

В рамках общих правил соответствия GDPR компании должны защищать данные потребителей, в том числе:

  • Личная информация (PII), такая как имя, адрес и идентификационные номера.
  • Веб-данные, такие как IP-адреса, данные файлов cookie и метки RFID.
  • Здоровье и генетические данные.
  • Политические взгляды.
  • Сексуальная ориентация.

Преимущества GDPR

GDPR тщательный и прогрессивный. Наложенные высокие штрафы, возможно, раздражали Google, но они являются средством для достижения цели — цели, которая представляет собой более безопасную цифровую среду, которая защищает потребителей и заставляет компании нести ответственность за разработку более совершенных систем. Генеральный директор Apple Тим Кук сказал, что «это должно быть законом во всем мире» и что правительства должны отстаивать конфиденциальность данных потребителей.

Хотя GDPR может применяться не ко всем североамериканским компаниям, раннее внедрение методов обеспечения безопасности данных выгодно для вашего бизнеса. Майкл Фимин в статье для журнала Forbes признает пять преимуществ соблюдения GDPR.

1. Повышенная кибербезопасность

GDPR «требует от организаций определения своей стратегии безопасности и принятия адекватных административных и технических мер для защиты личных данных граждан ЕС». Внедрение этих методов защищает ваши данные и повышает вашу кибербезопасность.

2. Улучшенное управление данными

При проверке сбора и хранения данных «избавьтесь от избыточных, устаревших и простых (ROT) файлов, которые хранятся в вашей организации», и сделайте ваши данные доступными для поиска. Ваши сотрудники будут работать более эффективно, если ваши системы будут экономичными, индексируемыми и доступными для поиска.

3. Повышение рентабельности инвестиций за счет большего количества квалифицированных лидов

Когда вы изменили свою политику в отношении файлов cookie на политику, на которую пользователи должны согласиться, у вас может быть меньший пул данных, но, поскольку каждый в этом пуле должен был бы активно принимать решение, чтобы разрешить вам использовать свои данные, они должны считаться более квалифицированным.

4. Потребительское доверие

Потребители обеспокоены тем, как их данные собираются, используются и подвергаются риску в Интернете. Выход за рамки американских требований по защите данных ваших клиентов в соответствии со стандартом GDPR подчеркивает, насколько вы цените их личные данные и насколько серьезно вы относитесь к угрозе утечки данных.

5. Дифференциация рынка

Быть ранним последователем имеет много преимуществ. Вы можете пройти множество итераций методов обеспечения безопасности данных, чтобы усовершенствовать свои системы до того, как поздний пользователь войдет в это пространство, вы предугадываете требования любых будущих правил и можете добиться их соответствия до того, как они станут обязательными или подлежащими принудительному исполнению, и это даст вам рыночное преимущество в море. конкурентов, которые еще не сделали шаг в области безопасности данных. По словам Фимина, соблюдение GDPR — это ваша возможность «внедрить новую бизнес-культуру, которая ценит конфиденциальность людей. GDPR — это ваша возможность преуспеть».

Недостатки GDPR

Беспокойство по поводу таких жестких правил заключается в том, что стоимость соблюдения может стать барьером для входа новых компаний в цифровое пространство, которое считается средой, которая вознаграждает риск, инновации и инновации со стороны новых компаний. Быстрорастущие компании могут быть менее конкурентоспособными по сравнению с более крупными конкурентами, которые уже существуют на рынке.

Для крупных компаний или компаний, работающих с большими объемами персональных данных, существуют расходы, связанные с наймом или повышением в должности сотрудника по защите данных, отвечающего за защиту данных и соблюдение требований европейских властей. Штрафы могут быть большими и сдерживающими, но такими же являются и расходы, связанные с соблюдением требований. Дополнительные накладные расходы могут стать похоронным звоном для малого и среднего бизнеса.

Соответствие — это то, чем нужно активно управлять. Небольшие компании могут быть не в состоянии обеспечить соблюдение требований в той же степени, что и более крупные компании. Это сохраняет конкурентное преимущество, которое уже есть у этих крупных компаний.

Ограничения на то, как компании могут собирать, хранить и использовать данные, повлияют на техническую сторону рекламы, на которую полагаются многие малые и средние предприятия. Без анализа данных о качестве в маркетинговых целях компаниям будет сложно охватить целевую аудиторию, а потребителям может быть показана менее релевантная реклама. Хорошая реклама приносит пользу как потребителю, так и рекламодателю, когда правильные продукты предстают перед правильными глазами.

Еще одна критика GDPR заключается в том, что она зашла слишком далеко и что чрезмерное регулирование приведет к постоянному состоянию потребителей, запрашивающих их согласие в Интернете. Либо пользователи будут встречаться с постоянными баннерами cookie, либо компании вообще не будут собирать конфиденциальные данные, вместо этого используя альтернативный анализ данных для обеспечения соответствия без каких-либо запросов на согласие, сделанных посетителям веб-сайта.

Как добиться соответствия GDPR

Конфиденциальность данных является глобальной проблемой, и GDPR влияет на любую компанию, которая обрабатывает данные резидентов ЕС. Если ваш веб-сайт собирает пользовательские данные с помощью аналитического программного обеспечения, это правило распространяется на вас, и вам придется переключиться с отказа на сбор данных о согласии.

Проведите аудит данных, которые вы собираете.

Узнайте, какие данные вы обрабатываете, как они хранятся и кто в вашей организации имеет к ним доступ. Контролируйте своих поставщиков, которые собирают данные с вашего сайта, и проверяйте их заявления на соответствие GDPR.

Обеспечьте конфиденциальность на всех уровнях.

Обращайте внимание не только на то, как устроены системы или как хранится информация, но и на то, кто имеет локальный доступ к учетным записям.

Используйте риск-ориентированный подход.

Соответствие требованиям безопасности данных требует совместной работы; получить информацию и информацию от всех в вашей организации. Собрав вместе, чтобы определить самые большие риски и расставить приоритеты по их устранению, вы сможете эффективно распознавать свои риски и добиваться соответствия требованиям.

Контроль данных

Европейские потребители теперь имеют расширенные права в отношении того, как их личные данные собираются и как они используются, но они также имеют право на «переносимость данных», что означает, что они могут запросить копию хранящихся о них личных данных или запросить их исправить или удалить.

Компании, которые активно инвестируют в цифровое пространство и обмениваются личными данными на любом уровне, должны будут разработать методы и технологии, которые позволят им легко соответствовать правилам.

  • Постоянно отслеживайте и защищайте цифровые активы.
  • Установите надлежащие средства контроля для защиты данных от утечек.
  • Предоставить данные субъектам данных в «разумные сроки».

Что произойдет, если вы не будете соблюдать требования GDPR

Громкие штрафы за GDPR были огромными. В первый год действия нового правила Google был оштрафован на 50 миллионов евро. Intersoft Consulting пишет о штрафах GDPR, что они предназначены быть «эффективными, пропорциональными и оказывающими сдерживающее воздействие в каждом отдельном случае».

Постановление было написано с двухуровневой структурой штрафов для штрафных санкций компаний:

Незначительные нарушения «влекут за собой административные штрафы в размере до 10 миллионов евро или, в случае предприятия, до 2 процентов от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше».

Серьезные нарушения «влекут за собой административные штрафы в размере до 20 миллионов евро или, в случае предприятия, до 4 процентов от общего мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше».

Наказания могут быть назначены с учетом:

  • характер, тяжесть и продолжительность нарушения с учетом характера объема или цели соответствующей обработки, а также количества затронутых субъектов данных и уровня понесенного ими ущерба.
  • преднамеренный или неосторожный характер нарушения.
  • любые действия, предпринятые контролером или процессором для уменьшения ущерба, причиненного субъектам данных.
  • степень ответственности контролера или обработчика с учетом реализуемых ими технических и организационных мер.
  • любые соответствующие предыдущие нарушения со стороны контроллера или процессора.
  • степень сотрудничества с надзорным органом с целью устранения нарушения и смягчения возможных неблагоприятных последствий нарушения.
  • категории персональных данных, затронутых нарушением.
  • способ, которым о нарушении стало известно надзорному органу, в частности, уведомил ли контролер или обработчик о нарушении, и если да, то в какой степени.
  • если меры, указанные в Статье 58(2), ранее были предписаны в отношении соответствующего контролера или обработчика в отношении того же предмета, соблюдение этих мер.
  • соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42.
  • любой другой отягчающий или смягчающий фактор, применимый к обстоятельствам дела, такой как полученная финансовая выгода или убытки, которых удалось избежать, прямо или косвенно, в результате нарушения.

Каковы средние штрафы за нарушение GDPR?

GDPR вступил в силу в мае 2018 года, и только за оставшуюся часть года был наложен 91 штраф на общую сумму 55 955 871 евро. По большей части наибольшее внимание привлекают громкие крупные штрафы, но не все штрафы GDPR публикуются или попадают в заголовки. Если убрать из данных штраф в размере 50 млн евро, наложенный на Google, средний штраф GDPR, с которым столкнулась компания, составил примерно 66 000 евро.

Управление по защите данных Нидерландов (DPA) опубликовало свои рекомендации по наказанию за нарушения в марте 2019 года. Они разработали многоуровневую систему наказаний с четырьмя категориями в зависимости от серьезности нарушения.

Категория I применяется в случае простых или канцелярских нарушений, таких как «непредоставление контактных данных ответственного за защиту данных компании (DPO) или надлежащего учета обязанностей обработчиков или совместных контролеров». Размер штрафа от 0 до 200 000 евро; стандартный штраф в размере 100 000 евро.

Категория II применяется, когда компания не выполняет определенные обязательства и требования GDPR. Размер штрафа от 120 000 до 500 000 евро; стандартный штраф в размере 310 000 евро.

Категория III применяется, когда компания отказывается быть прозрачной со своими пользователями или с Управлением по защите данных Нидерландов (DPA), отказывается уведомлять DPA о нарушениях или отказывается сотрудничать с DPA. Размер штрафа от 300 000 до 750 000 евро; стандартный штраф в размере 525 000 евро.

Категория IV применяется, когда компания занимается незаконной обработкой конфиденциальных данных, незаконным профилированием или отказывается соблюдать конкретные директивы DPA Нидерландов. Размер штрафа от 450 000 до 1 000 000 евро; стандартный штраф в размере 725 000 евро*
*Только в случае применения 20 000 000 евро / 4% от годового оборота

Известные случаи применения GDPR

Осенью 2020 года Marriot и British Airways были оштрафованы на значительные суммы после отдельных утечек данных в 2018 году, которые негативно повлияли на потребителей.

Британские авиалинии | 25,85 млн долларов | Великобритания, 2020 г.

British Airways была оштрафована на 25,85 миллиона долларов, а 400 000 данных их клиентов были скомпрометированы в результате утечки данных. Штраф, наложенный на них Управлением комиссара по информации (ICO), был наложен на их слабую защиту данных после того, как расследование показало, что они обрабатывали «значительный объем личных данных без надлежащих мер безопасности».

Хотя штраф был самым крупным штрафом, выписанным ICO, первоначально они предложили штраф в размере 229 миллионов долларов, прежде чем принять во внимание экономическое влияние Covid-19 на авиационную отрасль. ICO также отдал должное BA за «значительные улучшения своей ИТ-безопасности» после атаки и за соблюдение требований следователей — оба эти фактора помогли снизить первоначальную сумму штрафа.

Марриотт Интернэшнл | 23,8 миллиона долларов | Великобритания, 2020 г.

В 2020 году Marriott Hotels был оштрафован на 23,8 миллиона долларов за утечку данных, в результате которой были раскрыты 339 миллионов гостевых записей, что затронуло 30 миллионов пользователей в ЕС. Что интересно в деле Marriott, так это то, что первоначальное нарушение было датировано 2014 годом, но не было обнаружено до 2018 года, и «штраф распространяется только на ту часть нарушения, которая датируется 25 мая 2018 года, когда GDPR вступил в силу. .”.

Как и штраф British Airways, наложенный всего за несколько недель до штрафа Marriott, правительство Великобритании уменьшило общую сумму штрафа со 123 миллионов долларов из-за экономических последствий Covid-19, а также усилий компании по смягчению последствий и соблюдения требований.

Гугл | 57 миллионов долларов | Франция, 2018 г.

Google с момента создания GDPR вызывал гнев французских регуляторов данных. В 2018 году компания была оштрафована на 50 миллионов евро за «отсутствие прозрачности, неадекватную информацию и отсутствие действительного согласия на персонализацию рекламы».

Гугл | 121 миллион долларов | Франция, 2020 г.

В конце 2020 года французские регуляторы снова наложили на Google штраф в размере 100 миллионов евро, хотя в настоящее время Google оспаривает эту сумму в суде. Штраф был вызван тем, что, когда пользователи посещали google.fr, «семь файлов cookie размещались на их терминальном оборудовании до каких-либо действий с их стороны».

Амазонка | 42 миллиона долларов | Франция, 2020 г.

Amazon также был оштрафован французскими регуляторами на 35 миллионов евро за то же нарушение файлов cookie. Французские власти определили, что ни Google, ни Amazon не выполнили «требование о предоставлении предварительной, четкой и полной информации для пользователей, а также требование о получении их согласия, и что механизм противодействия этим файлам cookie был частично неисправен».

Х&М | 41,3 миллиона долларов | Германия, 2020 г.

В то время как другие громкие случаи применения GDPR были связаны с тем, что потребители пострадали от утечки данных и практики компании, штраф H&M был наложен за незаконное наблюдение за своими собственными сотрудниками в Германии.

Управление по защите данных Гамбурга (HmbBfDI) наложило штраф, крупнейший в Германии с момента введения GDPR, после того, как было установлено, что компания чрезмерно следит за частной жизнью своих сотрудников. По крайней мере, с 2014 года некоторые сотрудники подвергались «обширной записи подробностей их личной жизни».

«После отсутствий, таких как отпуска и отпуска по болезни, руководители руководящей группы проводили так называемые приветственные переговоры со своими сотрудниками. После этих бесед во многих случаях были зафиксированы не только конкретные впечатления сотрудников от отпуска, но и симптомы болезни и диагнозы», — говорится в сообщении HmbBfDI. «Кроме того, некоторые руководители получили обширные знания о частной жизни своих сотрудников посредством личных и заочных бесед, начиная от довольно безобидных подробностей и заканчивая семейными проблемами и религиозными убеждениями».

Практика сбора данных была раскрыта в октябре 2019 года после того, как внутренняя ошибка позволила информации быть доступной в течение нескольких часов. Профессор доктор Йоханнес Каспер, комиссар Гамбурга по защите данных и свободе информации, сказал о штрафе: «Сумма наложенного штрафа, таким образом, является адекватной и эффективной, чтобы удержать компании от нарушения конфиденциальности своих сотрудников».

Наши мысли о GDPR

GDPR — это прогрессивный и всеобъемлющий акт, устанавливающий стандарт защиты данных, который защищает потребителей, и это хорошо для отдельных лиц. Штрафы должны быть пропорциональными и эффективными, чтобы заставить компании понять, насколько серьезна проблема защиты данных, и предотвратить несоблюдение требований.

Я европеец, поэтому могу быть предвзятым; GDPR соответствует моим европейским чувствам. Но мои приоритеты связаны с компаниями, которым я приношу пользу, и я считаю, что усовершенствованные методы защиты данных также отвечают их интересам.

Да, это изменение может вызвать определенные трудности у компаний, которые не могут достаточно быстро выполнить требования или не могут позволить себе расходы на найм специалистов по соблюдению требований для управления определенными рисками. Тем не менее, штрафы достаточно высоки, чтобы подумать об инвестировании в специалистов по соблюдению требований или, по крайней мере, о проверке существующих рисков.

Помогает то, что европейские агентства по защите данных работают с контролерами данных, чтобы смягчить последствия любых или потенциальных нарушений. Дело не только в том, что они раздают штрафы, они активно хотят, чтобы цифровая среда была безопаснее, умнее и совершеннее; восстановить доверие потребителей к цифровым пространствам; и предоставить пользователям права и средства защиты их личных данных.

При использовании отказа от ремаркетинга для посетителей вашего веб-сайта ремаркетинг может стать более компактным. Вы можете быть уверены, что пользователи из ваших списков приняли сознательное решение подписаться на них. Наличие систем для организации и аудита ваших собственных данных также устраняет большую часть шума в данных; удаление избыточных, устаревших и тривиальных (ROT) данных. Ваши данные будут на вес золота, вы захотите их защитить, и ваша команда будет работать с ними еще эффективнее.

Мы не юристы; мы не можем помочь вам провести аудит и обеспечить соблюдение требований в области кибербезопасности, но мы можем создать потрясающий веб-сайт, который будет соответствовать требованиям GDPR, и мы можем работать вместе с вашей командой по управлению данными, чтобы создать цифровую среду, которая повысит доверие потребителей к вашему бренду и удовлетворит ваши бизнес-цели.