В 2019 году число штрафов, выписанных Роскомнадзором за нарушение правил обработки персональных данных, выросло почти на 40%, а общая сумма штрафов превысила 1 млн. рублей. Масштабы штрафов европейских регуляторов, принявших 2 года назад свод требований под названием «Общие положения о защите данных» (General Data Protection Regulation, GDPR) с этой цифрой несравнимы.
Европа лидирует вопросах законодательной защиты персональных данных граждан и конфиденциальности, поэтому особенности правоприменения в области защиты данных мы рассмотрим на примере GDPR (карательное действие которого может дотянуться и до российских компаний).
С момента вступления в силу GDPR регулирующие органы уже наложили сотни штрафов. По данным регуляторов (отчет GDPR Enforcement Tracker), в Испании наложено наибольшее количество штрафов на сегодняшний день — в общей сложности 80, на общую сумму в 2 515 270 евро. Германия не сильно отстает, заняв третье место среди своих коллег из ЕС. Она наложила на данный момент 20 штрафов на еще большую сумму — 25 137 925 евро. Это подчеркивает разницу в масштабах штрафных санкций.
Страна, собравшая на сегодня самые крупные штрафы, — это Великобритания, которая, несмотря на оформления только трех штрафов, получила с нарушителей 310 200 евро. Эти штрафы включают два знаковых случая, связанных с авиакомпанией British Airways (£ 183 млн) и группой отелей Marriott International (£ 99 млн). Но Великобритания не одинока. Франция наложила 5 штрафов на сумму 51 100 000 евро, а Италия — 11 штрафов на сумму 39 452 000 евро.
В целом, до мая 2020 года в рамках GDPR было выписано 237 штрафов, а тремя основными нарушениями стали:
- недостаточные технические и организационные меры для обеспечения информационной безопасности;
- недостаточные правовые основания для обработки персональных данных;
- несоблюдение общих принципов обработки таких данных.
Эти цифры демонстрируют, что GDPR реально работает, и это хорошо. Но они также могут ввести в заблуждение малый бизнес, который подчас связывает эти крупные штрафы с большими компаниями. Самоуспокоенность — это опасное мышление, оно не принимает во внимание культурные и нормативные изменения, которые укоренились в последние два года. Эти цифры не учитывают не поддающийся количественной оценке ущерб репутации компании, наносимый компрометацией данных, а также подрыв доверия потребителей.
Сегодня, когда в результате глобальной пандемии ускоряется цифровая трансформация бизнеса, рабочая сила как никогда зависит от инновационных технологий. Крайне важно, чтобы предприятия не только полностью понимали свою ответственность, но и продолжали совершенствовать свои методы проверки соответствия и сбалансированные меры защиты данных — для соблюдения GDPR.
Недавно было опубликовано исследование Dell Technologies «Глобальный индекс защиты данных Dell 2020» (Dell Technologies Global Data Protection Index 2020), в котором подчеркивается резкое увеличение числа кибератак и инцидентов безопасности — от них страдают 82% организаций. Согласно исследованию, в настоящее время организации управляют 13,53 петабайтами (ПБ) данных, и это почти на 40% больше, чем в 2018 году (в среднем 9,70 ПБ), и на 831% больше, чем 2016 году (1,45 ПБ).
Похоже, самой большой угрозой для всех этих данных является растущее число событий, нарушающих работу организаций, — от кибератак до потери данных и простоев систем. Большинство организаций (82% в 2019 году по сравнению с 76% в 2018 году) пострадали от подобных инцидентов за последние 12 месяцев. И еще 68% опасаются, что их организация столкнется с такими ситуациями в ближайшие 12 месяцев.
По мере того, как новые технологии продолжают развиваться и формировать цифровой ландшафт, организации учатся использовать эти технологии для улучшения бизнес-результатов. Тем не менее, исследования показывают, что предприятия пытаются найти для новых технологий, таких как 5G и периферийная инфраструктура (67%), ИИ и машинное обучение (64%), адекватные решения для защиты данных.
Но для компаний среднего бизнеса с ограниченными бюджетами и небольшими ИТ-штатом поддержание соответствия нормативным требованиям может быть серьезной проблемой, потенциально непреодолимой. И регуляторам, и лидерам рынка, разрабатывающим решения для защиты данных, необходимо консультировать малый и средний бизнес в этих вопросах.
Хотя регулирование не прописывает все детали, его руководящие принципы ясны, и те организации, которые могут продемонстрировать свое намерение их выполнять, рассматриваются в лучшем свете, чем те, кто упорно их игнорирует — отсюда и значительно более высокие штрафы последних. Например, все персональные данные шифруются, хранятся только важные данные, и четко объясняется, каким образом будут использоваться персональные данные граждан.
Есть шаги, которые можно предпринять, не располагая большим бюджетом. Но в равной степени важным шагом для подготовки бизнеса к будущей деятельности в цифровом мире является инвестирование в решения и стратегии защиты данных. Защита данных должна занимать центральное место в бизнес-стратегии компании. По мере усложнения ландшафта данных организациям требуются гибкие, стабильные стратегии защиты данных, которые можно масштабировать в многоплатформенном, многооблачном мире.
