GDPR в действии: почему не стоит игнорировать требования регламента?

Прошло уже чуть больше года с момента вступления в силу Европейского регламента о защите персональных данных (GDPR), однако до сих пор далеко не каждая компания, которая попадает под влияние GDPR, озаботилась приведением в соответствие требованиям регламента своих процессов обработки персональных данных. Повсеместно бытует мнение, что в случае инцидента регулятор прибегнет к предупреждению, не налагая пугающих штрафов (размер штрафов мы рассматривали здесь).

На деле ситуация сложилась иным образом. Например, на конец 2018 года в Германии был выписан 41 штраф за нарушение принципов защиты персональных данных. Средняя величина штрафов достигла 15 000 евро, а в отдельных случаях сумма штрафа достигала 80 000 евро.

Конечно, такой размер штрафа не сравнится со штрафом в 50 миллионов евро, который был наложен в январе 2019 французским регулятором на Google LLC в результате рассмотрения жалоб, поступивших от неправительственных организаций Франции и Австрии (суть жалоб заключалась в нарушении компанией принципа прозрачности в отношении процедуры сбора и хранения персональных данных). Но, говоря о компаниях малого бизнеса, штраф в размере тех же 15 000 евро может являться весомым и значительно повлиять на дальнейшее осуществление деятельности.

Тенденция наложения штрафов за невыполнение GDPR прослеживается все ярче, а это значит, что игнорирование требований регламента со стороны контролеров и обработчиков персональных данных не может продолжаться. Многие организации сталкиваются с непониманием требований регламента, которые зачастую звучат очень расплывчато. В частности, это характерно для российских компаний, которые привыкли к четким требованиям регуляторов и Законодательства РФ в области защиты информации. С GDPR все обстоит иначе: нет четких требований об использовании того или иного типа продукта с целью защиты данных, но есть необходимость в доказательстве того, что выбранный продукт (или же организационная мера) действительно закрывает актуальные угрозы безопасности данных и минимизирует риски.

Стоит отметить, что достаточно общее описание требований регламента компенсируется разъяснениями и дополнительными документами, выпускаемыми регуляторами каждой из стран ЕС. Такие разъяснения являются публичными и могут использоваться контролерами и обработчиками при выполнении требований GDPR. Так, например, Управление по защите данных в Германии опубликовало ряд разъясняющих документов, в том числе разъяснение требований статей 30 и 32 GDPR, которые опять же не указывают на использование конкретных типов продуктов, а лишь описывают функции, которые должны быть реализованы.

Подобные документы являются подспорьем при запуске процесса приведения в соответствие требованиям GDPR, а также позволяют избежать разночтений регламента. Для компаний, у которых нет своего отдела ИБ, а также для тех, кто в силу недостатка времени, или каких-либо иных обстоятельств не может полностью погрузиться в тонкости и нюансы GDPR — самым эффективным способом приведения компании в соответствие, является привлечение внешних организаций, которые квалифицированы в данном вопросе, а также имеют опыт построения и внедрения комплексной системы защиты информации. Акрибия является именно такой организацией, и, помимо прочих услуг в области защиты информации, предоставляет услуги по приведению компаний в соответствие требованиям GDPR.