воскресенье, 22 июля 2018 г.

40 дней по GDPR?

С момента активности по GDPR в преддверии 25 мая о GDPR слышно все меньше и меньше.
Что это - летнее затишье и подготовка внутри или не увидев штрафов его просто игнорируют?
Какая же его дальнейшая судьба?

Посмотрим, что же интересного произошло за два месяца.
Сразу перед 25 мая была размещена интересная статья 
Перед вступлением в силу GDPR много Компаний потратили время и ресурсы на некий базовый уровень соответствия, дабы не ударить в грязь лицом и не попасть на штрафы. А большие игроки, вероятнее всего, потратили ресурсов значительно больше.

Пройдемся по информации которая попалась мне на глаза за это время:
1. Тут можно посмотреть полезную информацию по SA в разных странах.  Много материалов, правда часть на не самых популярных языках, но если покопаться можно найти интересную информацию.
2. “БДИ” посвятила GDPR первую полосу журнала.
3. Некоторые заблуждения описаны тут.
4. Хорошая статья с опозданием и еще одна.

Также стоит ознакомиться с двумя презентациями по данной теме тут и тут   

Странно, что по большей части все написанное нужно было внедрить еще в мае, а статьи написаны для тех кто не готов и уже не соответствует требованиям.

Из моего опыта, самые проблемные места
1. Полное удаление информации про клиента. А если логи понадобятся в рамках судебных заявлений клиента? А мы его как бы и не знаем. А тот ли клиент запрашивает удаление? Есть вариант - хешировать данные таким образом, что-бы при повторном обращении можно было как-то все же идентифицировать клиента и при этом не сохранять его данные. Что касается идентификации то самый простой вариант - автоматизация в личном кабинете после авторизации. Но я слышал и про более жесткие варианты - письмом по почте с требованием про удаление данных от нотариально заверенной личности.
2. Рассылки. Маркетинг всегда жаждет клиентов. Ему никто KPI не корректировал не смотря ни на какой GDPR. Тут явно конфликт с бизнес целями.  
3. Атаки конкурентов. Создание фейковых аккаунтов, запросов на удаление и даже вброс с архивами перс данных.
4. Как вычищать персональные данные из резервных копий и бекапов логов?
5. Борьба с неавторизованным и не документированным распространением данных внутри и за пределы Компании.

Рекомендуется поменьше паниковать, привести в соответствие базовые политики безопасности, провести аудит хранимых данных и подготовить обоснование сроков и длительности их хранения. В целом на данном этапе этого достаточно. Мой опыт показывает, что в рамках подготовки к выполнению требований GDPR значительно возрастает уровень безопасности данных и процессов небольших и средних компаний. Так как до этого, этому вопросу могли и вовсе не придавать значения.

Если вы тоже хотите навести порядок внутри, то сейчас самое время. Буду рад помочь. Моя почта.