Две недели до этапа применения GDPR, что теперь?

Опубликовано: 2018-06-08

Это наконец случилось. Общий регламент по защите данных, наконец, вступил в силу 25 мая 2018 года, мемы и все такое.

Мультфильм об этапах подготовки к GDPR

Несмотря на опасения многих рекламодателей, конец света не наступил после того, как GDPR вступил в силу. Но оно изменилось. Иллюстрация предоставлена: Teach Privacy

Была ли индустрия готова? Было ли достаточно последних обновлений политики ? Что происходит? В этом сообщении блога мы рассмотрим, как основные игроки подготовились к крайнему сроку, что произойдет с GDPR и как ваша компания может работать над соблюдением требований с этого момента.

Первые удары по крупнейшим игрокам

Крупнейшим компаниям не потребовалось много времени, чтобы ощутить на себе жало судебного разбирательства. Всего через несколько минут после того, как GDPR вступил в силу , активист по защите конфиденциальности Макс Шремс и его организация «None of Your Business» обрушили на Google и Facebook судебные иски о «принудительном согласии». В исках говорится о несоблюдении правил GDPR в отношении конкретного согласия, поскольку эти компании предоставляют пользователям возможность выбора «все или ничего» — согласиться с этими условиями для доступа к этой услуге — вместо того, чтобы позволить им согласиться с некоторыми условиями, а не с другими.

В ответ Google и Facebook заявили, что приняли адекватные меры для соблюдения GDPR.

Затем этому примеру последовала французская группа по защите цифровых прав La Quadrature du Net , подав дополнительные жалобы на Google, Facebook, Apple, Amazon и LinkedIn. Жалобы аналогичны жалобам Шремса и предполагают нарушения с использованием принудительного согласия. La Quadrature также планирует подать официальные жалобы на Android, WhatsApp, Instagram, Skype и Outlook, хотя на момент написания этой статьи еще не предприняла официальных действий.

Как Apple, Facebook и Google подготовились

Хотя трудно сказать, действительно ли эти жалобы удивили какую-либо из этих компаний, многие из них выразили общее чувство готовности в дни, предшествовавшие принудительному исполнению.

Apple , например, в конце мая 2018 года представила новый веб-сайт , показывающий клиентам, какие личные данные о них она хранит. Клиенты Apple в ЕС теперь могут запросить просмотр этих данных, от истории входа в систему до контактов, календаря, заметок, фотографий и документов. Клиенты также могут исправить данные, деактивировать свою учетную запись и удалить всю информацию. (В настоящее время Apple предлагает эту услугу только в странах ЕС, Исландии, Лихтенштейне, Норвегии и Швейцарии, но заявляет, что планирует расширить ее на другие страны в конце этого года.)

В апреле 2018 года Facebook обновил свой веб -сайт, добавив более четкие версии условий обслуживания и политики в отношении данных , предоставив пользователям семь дней на то, чтобы оставить отзыв о новом языке, прежде чем завершить его и попросить пользователей согласиться с ним. Facebook также сообщил, что будет пересматривать и оптимизировать элементы управления приложением, чтобы упростить поиск настроек, заявив, что «вместо того, чтобы настройки распределялись почти по 20 различным экранам, теперь они доступны из одного места».

Google был одним из первых участников, поскольку они сделали обновления, связанные с GDPR, и уведомили пользователей более чем за шесть месяцев до крайнего срока GDPR. Наиболее существенные обновления были внесены в поправки к обработке данных и условия безопасности для G Suite и Google Cloud, которые делают их более понятными для соблюдения требования «четкого и прозрачного уведомления» о том, как будут использоваться данные. Другие обновления включают новые параметры и возможности для экспорта данных.

Что впереди

Полное влияние GDPR еще предстоит определить, и частично оно будет зависеть от того, насколько активно клиенты и группы активистов реализуют свои новые права. В опросе потребителей Великобритании, проведенном Forrester в августе 2017 года, 51% респондентов заявили, что они, по крайней мере, в некоторой степени могут воспользоваться своими новыми правами в соответствии с GDPR. Однако наиболее распространенным примером было удаление данных, что далеко от полноценных судебных исков.

Но самый большой вывод из этого нового правила заключается не в том, что все больше потребителей изучают компании, а в том, что больше компаний изучают другие компании. Поскольку GDPR устанавливает совместную ответственность для всех сторон, имеющих дело с персональными данными, компании гораздо тщательнее изучают процессы и действия своих деловых партнеров. В этом истинная гениальность GDPR, объясняет директор по соблюдению данных в Европе Саймон МакГарр в недавней статье Quartz :

«В Европе много органов по защите данных, но их недостаточно, чтобы стучаться в каждую дверь. Таким образом, у них была многоуровневая структура соответствия, встроенная в закон, в результате чего крупные компании обеспечивают соблюдение требований в отношении малых компаний и так далее».

Компании, менее подготовленные, чем они надеялись быть после 25 мая, возможно, уже ощущают давление со стороны своих деловых партнеров, и эксперт по кибербезопасности Эллиот Роуз предсказывает , что будет много организаций, которые все еще набирают скорость после крайнего срока. Для тех, кто в этой ситуации, первоочередной задачей является устранение областей высокого риска, связанных с конфиденциальной информацией. Компании должны сосредоточиться на защите конфиденциальных данных, выяснить, где они хранятся и кто имеет к ним доступ. Важно составить план и действовать как можно быстрее (и точно).

Быть готовым

В конечном счете, GDPR поможет выровнять игровое поле, когда речь идет о конфиденциальности и прозрачности, и откроет двери для общения там, где раньше они были закрыты. Как компания, вот несколько шагов, которые вы можете предпринять, чтобы поддерживать разговор:

Оцените законность обработки данных

Есть ли у вас согласие конечных пользователей? Является ли оно конкретным, недвусмысленным и свободно данным? Ваш опыт конечного пользователя дает понять это? Есть ли у вас законный интерес в сборе, обработке и хранении данных? Если вы не можете ответить «да» на каждый вопрос, пришло время сделать шаг назад.

Обновите все необходимые уведомления

Просматривали ли вы текущие политики конфиденциальности, уведомления или другую информацию, которую вы предоставляете конечным пользователям? Являются ли эти важные уведомления в пункте сбора? Просмотр всех уведомлений о конфиденциальности может быть необходим, чтобы сбор, использование и хранение ваших данных были прозрачными для конечных пользователей.

Внедрение протоколов доступа к данным, права на исправление и права на забвение

Эти принципы позволяют вашим конечным пользователям исправлять устаревшие или неточные личные данные и полностью исключать их из обработки. Следует внедрить и поддерживать внутренние политики и процедуры для надлежащего реагирования на такие запросы.

Используйте псевдонимные или анонимные данные

Рассмотрите возможность удаления или ограничения уникальных идентификаторов посредством анонимизации или псевдонимизации данных. Некоторые методы включают хэширование, соление, шифрование и использование токенов. Это может помочь свести к минимуму возможность идентификации конечных пользователей в будущем, а также может помочь свести к минимуму ваши обязательства по соблюдению требований.

Чтобы узнать больше о TUNE и GDPR, прочитайте нашу страницу здесь .