GDPR два года спустя: много успехов, но проблемы остаются

Организации работали над своей позицией GDPR, чтобы соответствовать постановлению ЕС с тех пор, как оно вступило в силу в мае 2018 года. Теперь, спустя 2,5 года, влияние GDPR на данные и конфиденциальность начинает проявляться повсюду. И хотя большинство компаний научились справляться с требованиями GDPR, многие все еще сталкиваются с проблемами.

Во многих отношениях данные можно сравнить с нефтью — в наши дни широко используется фраза «данные — это новая нефть». Это важно, ценно и чрезвычайно прибыльно. Все хранят информацию и включаются в эти данные, часто обнаруживаются личные данные. Интеллектуальный анализ данных — это огромная индустрия, извлекающая ценность и превращающая людей в продукты, которые можно продавать и продавать. Тем не менее, GDPR теперь контролирует эксплуататоров больших данных и дает людям (субъектам данных) право выбирать, как их данные должны использоваться любым, кто их владеет (контролером или обработчиком их данных).

Регулирование данных

Компании, которые являются контролерами данных и обработчиками данных субъектов данных, теперь должны действовать в рамках регулирования. Среди прочего, они не могут использовать персональные данные без явного согласия субъекта данных. Персональные данные — это не только имя субъекта данных; это распространяется на номера телефонов, реквизиты банковского счета, IP-адреса, фотографии и сексуальные предпочтения. Он даже включает MAC-адреса телефона или устройства, историю браузера — любые данные, которые могут идентифицировать человека. Контекст обширный.

Регламент помогает укрепить доверие потребителей, поскольку демонстрирует, что данные используются для целей, для которых они были собраны, и что информация безопасна.

Регламент определяет и требует от организаций ответственности за то, как персональные данные обрабатываются и защищаются. Ясно, что если организация не воспринимает GDPR всерьез, субъект данных должен быть осторожен и осторожен в отношении данных, а также вероятность нечестной деятельности. По прошествии двух лет регламент действует достаточно долго, чтобы организации могли проявить усердие и должное внимание.

GDPR сводится к тому, что организации обрабатывают данные субъектов данных на условиях субъектов данных, а субъекты данных могут доверять организациям свои данные. Это доверие, в случае злоупотребления, позволяет субъекту данных не только добиваться компенсации, но и получать ресурсы через надзорный орган, регулирующий юрисдикцию. Более того, поскольку регулирование было нормализовано во всех 29 странах, существует сотрудничество, поэтому его проще обеспечить.

Усиление глобального управления с помощью принципов, разделяемых GDPR, открывает дополнительные перспективы для облегчения безопасных потоков данных, которые приносят пользу как субъектам данных, так и организациям.

В настоящее время GDPR представляет собой комплексный регламент, который защищает потребителей в ЕС путем соблюдения организациями (контролерами и обработчиками персональных данных) стандарта управления и безопасности персональных данных, а также вводит более строгие меры контроля безопасности и аудита.

Проблемы GDPR, с которыми организации продолжают сталкиваться

1. Реализация эталона соответствия

Без сомнения, GDPR положительный; однако два года спустя многие предприятия продолжают бороться за достижение контрольного показателя соответствия. Этому есть несколько причин, в том числе следующие проблемы:

• Многие организации не знают, где находятся их данные ; данные разбросаны повсюду. Он есть на локальных серверах, в облаке, на устройствах дома, в офисе, на резервных копиях — разбросан повсюду. Не существует окончательного списка того, где находятся данные, что это такое и содержание данных.
• Многие организации за последние два года боролись с ясностью в отношении раскрытия данных. Зная, какие данные выставлены, уровень раскрытия данных данных и каково содержание фактических данных. Поскольку пользователи постоянно создают информацию на своих удаленных компьютерах, серверах, облаке и платформах, это усложняет задачу поддержания актуальности и информированности.
• Многие организации не знают, кто имеет доступ к данным. В большинстве случаев организации считают, что они знают, но когда им бросают вызов, становится ясно, что они явно не осведомлены. Например: ИТ обычно имеет доступ ко всем данным, третьи стороны, которые поддерживают компанию, тоже имеют доступ, и поставщики услуг, которые размещают данные и управляют средами, также имеют доступ. Для данных очень легко перейти от внутреннего пользователя к внешнему пользователю, а затем потеряться в любом из них. В конечном итоге это означает, что компания выходит из-под контроля. Таким образом, многим организациям предстоит проделать большую работу, чтобы обеспечить надежное управление тем, где находятся данные и кто имеет к ним доступ.
• Это означает, что многие организации до сих пор не обладают разумным контролем над персональными данными, чтобы обеспечить полное соблюдение GDPR, даже несмотря на то, что многие выступают за их соблюдение. Это могло быть связано с незнанием, а не с актом обмана. Однако, если произойдет нарушение и данные будут скомпрометированы в любом случае, организация будет нести ответственность.

2. Проблемы с вторичными данными: Массовая фрагментация данных

В связи с растущей угрозой кибератак и способов, которыми данные могут быть скомпрометированы и украдены, организациям любого размера становится все труднее обеспечивать безопасность своих данных, не допускать их попадания в чужие руки и соблюдать политики GDPR в отношении соответствия и безопасности.

Большая часть данных, обычно более 80 процентов вторичных данных в организации, находится в резервных копиях, архивах, хранилищах объектов, файловых системах и средах тестирования или разработки. Эти разрозненные данные распределены по целому ряду продуктов и местоположений, включая локальные и общедоступные облачные инфраструктуры.

Вторичными данными для многих организаций может стать практически невозможно управлять в долгосрочной перспективе. Кроме того, существует аспект множественных копий данных, с которым организациям приходится бороться — это могут быть чрезмерные объемы одних и тех же данных, хранящихся в разных облаках. Неразумно полагать, что все эти данные должным образом управляются и что все организации постоянно и надлежащим образом контролируют персональные данные. В большинстве случаев отсутствует видимость, что приводит к невозможности правильно найти данные и предпринять необходимые действия, необходимые для соблюдения правил. Два года спустя организации продолжают бороться со сложностью обработки данных на многих фронтах.

3. Отслеживание и реклама

С точки зрения субъектов данных, где организации получают свою идентичность из своего онлайн-поведения и идентифицируют их как уникальных субъектов данных? Впоследствии продажа этих данных является нарушением GDPR. Это проблема, которая существует и должна быть рассмотрена.

Это выходит за рамки использования файлов cookie для этой цели. Многие организации отслеживают пиксели, отслеживают поведение, историю браузера и другую уникальную информацию, и это подпадает под действие GDPR.

Решение этих и других проблем: шаги, которые могут предпринять организации

• Консолидируйте системы и хранилища, чтобы данные не были разбросаны по каждой онлайн-платформе и частной платформе хранения. Где хранятся данные, зашифруйте их, чтобы данные можно было защитить. Он включает в себя данные, которые находятся в резервных копиях.
• Защитите данные от несанкционированного доступа. Используйте правило наименьших привилегий и всегда используйте многофакторную аутентификацию (MFA) для всех платформ, где это возможно. Если платформа не поддерживает MFA, поместите ее за порталом, который поддерживает.
• Сделайте резервную копию всех данных и убедитесь, что данные не остаются в системе без надежного контроля доступа при хранении и передаче.
• Аудит данных и отслеживать, куда они идут и кто производит данные. Знание того, где находятся данные и где они находятся, является ключом к их защите.
• По возможности автоматизируйте периоды хранения данных. Это поможет перевести данные в автономный режим, чтобы они не были раскрыты, а также отслеживать, какие данные хранятся в организации.
• Используйте соответствующие инструменты для выполнения этой работы, где это возможно, чтобы обеспечить выполнение обязательств GDPR.

Как GDPR расширяет возможности людей и организаций

GDPR расширил возможности общественности и информировал ее о своих правах на данные. Это помогает субъектам данных сохранять и контролировать свои личные данные. С точки зрения организации, GDPR внес улучшения, установив единый набор правил, которые должны соблюдать все организации. Это уравняло правила игры для организаций, обрабатывающих данные граждан ЕС, независимо от того, находится ли организация в ЕС или за его пределами — все они подчиняются одним и тем же правилам.

До принятия правил некоторые организации злоупотребляли правами субъектов данных, используя данные в качестве прибыльного товара без надлежащего согласия и видимости и знаний субъектов данных. Два года спустя субъекты данных защищены, а регулирование будет продолжать укрепляться в том, что мы делаем, и эволюция благоприятна.

GDPR оправдывает многие ожидания, но очевидны и будущие улучшения. Возможно, прошло два года слишком рано, чтобы делать какие-либо полные выводы о его применении, поскольку многие организации продолжают решать множество проблем с соблюдением требований. Тем не менее, с дальнейшим накоплением опыта, мы можем ожидать других улучшений в долгосрочной перспективе.