Как построить защиту персональных данных внутри компании

На тему GDPR говорят до сих пор. Юристы советуют защищаться, но нюанс в том, что мало кто из юристов знает и понимает тонкости «айтишного» сегмента, в котором свои способы защиты.

Почему в разрезе GDPR все сложно?  Потому что чаще всего украинские компании не знают где хранятся персональные данные. Распоряжаются информацией, не понимая для чего они собирают ее, где хранят и что с ней делают.  И самое главное – компании не понимают масштаб трагедии в случае, если персональные данные «уйдут».

Я создал своеобразную дорожную карту по подготовке компании к регламенту GDPR. Она станет «ключом» к тому, как соблюсти в компании все требования по данному регламенту и куда двигаться при работе с персональными данными граждан ЕС.

Речь пойдет о нескольких пунктах, которые регламентируют работу компании в области GDPR. Если вкратце: необходимо подготовить план, в котором будут описаны требования к соблюдению регламента, определить, где хранятся данные, уведомить персонал о правилах и политиках и описать бизнес-процессы, связанные с данными.

Шаг 1. Инвентаризация данных. Это всегда сложно и долго, поэтому многие компании бросают ее на этапе, когда сделано 50-70%. Но в разрезе GDPR, инвентаризация – это must have. Компания должна понимать, где у нее «ходят» персональные данные, и кто с ними работает. Благодаря инвентаризации, в будущем можно будет сузить область аудита и сконцентрироваться на группе серверов и компьютеров, на которых курсируют нужные данные.

Шаг 2. Проведение аудита. Провести аудит в рамках бизнеса очень просто – при помощи программного обеспечения типа eDiscoverу, или его аналогов. Как только компания сузит область аудита, появится понимание, что интересны только 30% данных, с которыми предстоит работать. Уже не нужно тратить год времени для того, чтобы провести аудит. Образно говоря, задача упрощается до 2-3 месяцев потраченного времени. А в последующие годы эти 2-3 месяца, с учетом регулярного соблюдения требований регламента, сократятся до нескольких недель.

Шаг 3. Определение рисков. После того, как компания создала рамки области аудита, необходимо понять риски. Например, риск утечки информации. Он может быть маловероятен, но в случае, если он оправдается, финансовые потери будут колоссальными. Или риск возникновения пожара – если сгорят сервера – компания потеряет как репутацию, так и финансы. Вероятность этого риска индивидуальна. Как только компания трезво взглянет на риски и соотнесет их с ценовой политикой потерь, она сможет построить карту рисков. Если вероятность появления риска и величина возможных потерь – высоки, значит – это зона опасного риска. Главная задача – во чтобы ни стало закрыть этот риск, или хотя бы снизить его вероятность. Если же вероятность риска высокая, а потери – небольшие, можно смириться с этим риском. Еще один вариант – принятие определенных потерь только лишь потому, что риск закрыть намного дороже, чем те деньги, которые потеряет компания, в случае, если он выстрелит. Если же стоимость риска составляет миллион долларов, а стоимость закрытия – 1000 долларов, то его лучше все-таки закрыть.

После того как инвентаризация проведена, область аудита сужена, карта рисков построена – проделанную работу стоит отдать бизнесу. За ним решение, какую сторону выбирает компания.