Европарламент ратифицировал закон о защите персональных данных  после более четырех лет интенсивного обсуждения законопроекта Советом Европы и представителями бизнеса и гражданского общества. Последняя редакция Общеевропейского закона о защите данных была наконец одобрена Комитетом гражданских свобод в Европарламенте, а также министерствами юстиции и внутренних дел.

Как заявили парламентарии, принятие этого закона будет способствовать развитию «Единого цифрового рынка» на всей территории Евросоюза. Таким образом, граждане смогут больше доверять онлайн-сервисам, а бизнес станет более прозрачным. Существенный пересмотр устаревшего закона от 1995 года окажет значительный эффект на ведение бизнеса в регионе.

Чтобы соответствовать положениям новых директив, компании должны внедрить соответствующие меры до 4 мая 2018 года. Кроме того, закон будет применяться и по отношению к компаниям, зарегистрированным вне юрисдикции ЕС, но ведущим бизнес на территории Евросоюза.

Принятие новых нормативов защиты информации во многом обусловлено откровениями Сноудена и бурным развитием информационных технологий. В Общеевропейском законе о защите данных пересмотрены гражданские права пользователей, ответственность за сохранность данных, а также введены некоторые ограничения перемещения данных между различными странами.

Эдуардо Устаран (Eduardo Ustaran), ведущий специалист компании Hogan Lovells по вопросам безопасности и приватности в Европе, считает, что с принятием нового закона вопросы приватности в Европе выходят на новый уровень. Он рекомендует европейским организациям поскорее привести свои дела в соответствие с новыми директивами, иначе они не только столкнутся с проблемами юридического характера, но и не смогут в полной мере воспользоваться преимуществами новых технологий в сфере аналитики данных.

Также важным новшеством является введение более сурового наказания за несвоевременное разглашение информации об утечках. Компаниям, нарушившим положения новой директивы и не доложившим о факте утечки или взлома в течение 72 часов с момента обнаружения инцидента, грозит крупный штраф до 4% общемирового оборота или до 20 млн евро. Очевидно, принудительное раскрытие информации об утечках является наиболее противоречивым пунктом новых норм.

Эксперты, однако, признают, что для многих организаций такие жесткие требования послужат мотивирующим фактором: пока остается два года до вступления новых правил в силу, у компаний есть время, чтобы привести системы в соответствие и нанять отдельного руководителя высшего звена, ответственного за сохранность данных. К тому же этот шаг позволит распространить ответственность за утечку данных на всех контрагентов, работающих с информацией клиентов на всей территории Евросоюза.

Теперь, когда действие нового закона распространяется на все страны Евросоюза и компании, ведущие бизнес в ЕС, последним придется привести «к общему знаменателю» национальные нормы в области защиты информации  например, в сфере защиты медицинских данных. Это, как предполагают эксперты, усложнит переход всего Евросоюза на новые правила. Компании, которые зарегистрированы вне юрисдикции ЕС, но предлагают продукты и услуги европейцам, должны будут пересмотреть свою бизнес-модель: новые директивы могут осложнить процесс реализации товаров и услуг в глобальном масштабе.

Принятие общеевропейского закона о защите данных сделает обеспечение приватности одним из основных приоритетов глобальных организаций, которым стоит адаптироваться к новой европейской реальности. Кроме того, новый закон предполагает различные уровни риска для малых, средних и крупных предприятий.

ИБ-специалисты признают, что новые, более жесткие нормы защиты данных, принятые в Европе, будет довольно сложно воплотить в жизнь, как технически, так и организационно. «Закон будет иметь огромные последствия для европейского рынка, а также для принципов хранения и обработки данных»,  утверждает Дэвид Маунт (David Mount), консультант в Micro Focus.

Маунт приводит в пример неоднозначную формулировку в последней редакции закона: компании теперь обязаны докладывать о случившихся утечках и взломах национальным органам правопорядка и потенциальным жертвам среди пользователей. Но для этого компания, работающая в нескольких странах, должна в течение 72 часов локализовать взлом, определить, какие именно данные были скомпрометированы, и уведомить нужных пользователей.

Хотя обязанность уведомлять об утечках  это позитивное изменение, пример США показывает, что утечки становятся настолько многочисленными, что со временем пользователи начинают относиться к ним небрежнее.

«Потребители попросту привыкают к частым уведомлениям об утечках и не могут отличить серьезные уведомления от тех, которые можно проигнорировать без вреда для себя,  предупредил Маунт.  Неизбежно наступает момент, когда они перестают воспринимать все уведомления, что сводит на нет весь позитивный эффект».

Теперь перед компаниями Евросоюза стоит задача оперативно внедрить новую директиву, чтобы обеспечить соответствие «высочайшим стандартам безопасности». Хотя до вступления закона в силу еще два года, организациям нужно начинать готовиться прямо сейчас: понять, какими типами данных они владеют, насколько актуальны протоколы аутентификации, кто имеет доступ к данным. Вполне возможно, учреждениям также надо регулярно избавляться от неиспользуемых данных, чтобы не создавать ненужных рисков.

Категории: Главное, Кибероборона