30 Ноября, 2018

Facebook и Cambridge Analytica: каковы были бы последствия при применении GDPR

Panda Security в России и СНГ
С недавних пор защита данных пользователей стала обязательством для компаний во всем мире. И не только моральным,  но и юридическим, поскольку различные нормативные акты могут налагать всевозможные штрафы на любую компанию, которая не соблюдает данные правила.
Одни законы жестче других. Вот один яркий пример того, как может работать закон: общественное недоверие к Facebook вышло на первый план после серьезного скандала с Cambridge Analytica, в результате чего в Великобритании был наложен штраф в размере 500 000 фунтов стерлингов (порядка 560 000 евро). Офис комиссара по делам информации (ICO) в Великобритании расследовал порядка 30 компаний в аналогичной ситуации как с Facebook. Согласно их отчету , социальная сеть, основанная Марком Цукербергом, не была прилежной в вопросах защиты данных пользователей или их конфиденциальности.
Впрочем, когда все сказано и сделано, может ли в действительности штраф в размере 500 000 фунтов стерлингов серьезно навредить Facebook? На самом деле, данная сумма стала просто легким недоразумением для финансов компании, особенно на фоне того, с чем мог бы столкнуться Facebook, если бы был оштрафован в рамках нового европейского общего положения о защите данных (GDPR) , которое вступило в силу 25 мая этого года.
Что случилось бы при применении GDPR ?
Если бы халатность Facebook имела место при применении GDPR, то последствия для соцсети могли бы оказаться заметно другими. Помимо того, что репутации компании был бы нанесен серьезный урон (что и произошло на самом деле), экономические санкции были бы гораздо более существенными.
В случае несоблюдения требований GDPR предусмотрены четыре уровня санкций : предупреждение, выговор, приостановление обработки данных и штраф. В случае штрафа существует два уровня:
Уровень 1. Штраф в размере 10 миллионов евро или 2% от годового глобального оборота (смотря, что выше).
Уровень 2. Штраф в размере 20 миллионов евро или 4% от годового глобального оборота (смотря, что выше).
Таким образом, в данном случае Facebook, который заработал 32,75 миллиардов евро в 2017 году , мог бы столкнуться со штрафом в размере 1,3 миллиарда евро. Хотя этой суммы все равно было бы недостаточно, чтобы финансово напугать компанию, все же такой штраф имел бы более пагубные для нее последствия.
После того, как прошло уже полгода с момента вступления в силу GDPR, многие компании по-прежнему не соблюдают все требования закона . И многим уже не повезет также, как Facebook, поскольку теперь размеры налагаемых штрафов будут определяться положениями нового законодательства. Именно это произойдет и с Exactis, у которой была раскрыта база в 340 миллионов записей , или с Timehop, у которой была раскрыта база персональных данных 21 миллиона пользователей .

Как соблюдать требования GDPR
Изучение тонкостей нового законодательства не должно быть слишком большой проблемой для таких компаний, как Facebook, учитывая наличие у них высококлассных специалистов и ресурсов. Однако существуют и другие компании, которые в силу своего размера или сферы деятельности могут иметь больше проблем с соблюдением новых требований.

Чтобы GDPR не стал головной болью, компании всех типов и всех размеров могут следовать нижеприведенным рекомендациям:

1. Защитите информационную безопасность компании. Информационная безопасность всегда была важна для компаний, но теперь как никогда ранее. Помимо тщательной защиты данных и конфиденциальной информации, они должны также разработать планы действий на случаи возможных инцидентов. Также крайне важно быть кибер-устойчивой компанией, оставаться в курсе последних событий и новых стратегий, используемых для совершения кибер-атак. Если компания пострадала от нарушения данных, то она должна сообщить об этом инциденте соответствующим уполномоченным государственным органам в сфере защиты данных в течение 72 часов после того, как стало известно о данном нарушении.

2. Применяйте технологические решения. Ни одна компания не может делать всю работу в одиночку: некоторые обязанности должны быть делегированы внешнему технологическому решению. В этой связи Panda Data Control (модуль по защите данных для решения Panda Adaptive Defense) классифицирует и сопоставляет все данные о кибер-угрозах с целью выполнения задач по предотвращению, обнаружению, реагированию и восстановлению в сочетании с сервисами снижения уровня рисков. Решение осуществляет мониторинг всей активности в компании, обнаруживает потенциальные рискованные ситуации и упрощает процессы управления подобного рода задач внутри компании.

3. Защищайте пользователей. Информационная безопасность – это не только сохранение и защита корпоративной информации: это также защита сотрудников, клиентов, провайдеров, пользователей компании и других групп лиц, связанных с ней. Компаниям необходимо защищать конфиденциальность тех, с кем она имеет бизнес-отношения, а также оставаться прозрачной с ними, чтобы они могли точно знать, что происходит с их данными. Чтобы выполнить все это, компании должны также иметь ответственного сотрудника за защиту данных, чтобы выполнять надзорные функции и управление такого рода задачей.

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com