Многие компании сознательно откладывают внедрение инициатив по соблюдению новых принципов GDPR (General Data Protection Regulation), хотя они открывают широкие возможности для цифровых активов предприятия, в частности относительно сбора и отслеживания данных на корпоративных веб-сайтах и в мобильных приложениях. Осознавая, что компании постепенно видоизменяют свою природу на цифровой формат, руководители и сотрудники фирм зачастую демонстрируют неподготовленность к верному использованию правил GDPR.

Причины GDPR невежества

Глобальные исследования показывают неутешительные результаты. Так, 37% компаний не знают, применимы ли принципы GDPR к их деятельности (Статья «GDPR Uncertainty and Confusion Remains» для Watchguard, 2017). Согласно SAS, 42% организаций не располагают полноценными сведениями о влиянии GDPR-регулирования на бизнес, и только 39% респондентов полагают, что у них есть правильные политики и процедуры безопасности (Статья «Only 45% of Organizations Have a Structured Plan for GDPR compliance» для HelpNetSecurity, 2017). Тем не менее, 54% опрошенных утверждают, что готовность к GDPR служит приоритетом в их повестке дня относительно обеспечения конфиденциальности и безопасности данных (Пресс-релиз «Pulse Survey: US Companies Ramping Up GDPR Budgets» для PwC, 2017).

Очевидно, что существует некая базовая путаница насчет расширения ответственности компаний относительно соблюдения конфиденциальности данных пользователей согласно GDPR. Руководители фирм за пределами ЕС не в полной мере понимают принцип экстерриториальности GDPR. Также имеет место общее нарушение нормативных требований, в первую очередь из-за отсутствия ясности и рекомендаций относительно правомочности принципов GDPR. Выделяют следующие причины легкомысленного отношения компаний к инициативам по обеспечению соответствия своих цифровых активов правилам GDPR:

  • Мировая путаница. Многие американские компании при разработке стратегии сотрудничества с национальными клиентами и маркетинговой политики не воспринимают того факта, что данные посетителя веб-сайта ЕС не могут быть собраны без разрешения последнего. Принципы GDPR вряд ли станут серьезной проблемой для бизнеса, не имеющего интересов на территории Евросоюза. Но в случае если компания ориентируется на расширение масштабов деятельности за счет деловых отношений с европейскими партнерами (разработчики, подрядчики, поставщики и пр.), ей следует скрупулезно изучить правила GDPR при сборе, обработке, хранении или обмене данных.
  • Цифровая неграмотность. Виртуальное пространство является динамичной средой, включающей участие множества третьих сторон для предоставления финального контента, ориентированного на потребителя, через веб-сайты и мобильные приложения. Проблема заключается в ограничение функциональности сторонних организаций, работающих за рамками компетенций корпоративных IT-инфраструктур и департаментов безопасности ввиду того, что они не являются частью внутренней системы безопасности или управления рисками.
  • Неправильное распределение ответственности и / или бюджета. Экспертные группы, отвечающие за создание политики оценки рисков, не несут ответственности за ее реализацию. В основном, сотрудники службы соблюдения конфиденциальности и управления рисками определяют стратегию, маркетинг и уровень продаж, а также генерируют данные о потребителях, в то время как IT-команды должны автоматизировать, документировать и / или демонстрировать соответствие избранной тактики регуляторным нормам. Между указанными группами специалистов существует минимальный уровень сотрудничества, направленный на снижение степени подверженности риску компании в цифровой среде.
  • Ошибочное мнение об адекватности имеющихся процедур и политик безопасности. За последние несколько лет были предприняты значительные усилия для защиты общих данных компании (т.е. клиента, партнера, продукции, сотрудника) и систем, которые их используют. Тем не менее, до сих пор остаются противоречия относительно понимания природы сведений, которые регулярно собираются, обрабатываются, хранятся или передаются посредством веб-сайта или мобильного приложения.

Цифровой комплаенс: соответствие времени

Согласно исследованиям, около 70% владельцев торговых марок уверены, что маркетологи не располагают полной осведомленностью о принципах GDPR (Статья «Almost Three in Four Global Marketers Still Unaware of Full GDPR Implications» для Marketing Week, 2017). Такое положение вещей создает трудности при попытке предотвратить риски, связанные с повседневной работой веб-сайта компании и мобильными приложениями.

Учитывая комплексность виртуального пространства, многие фирмы обращаются к решениям из внешних источников, такие как управление данными, трансфер контента, видеохостинг, виджеты социальных сетей, маркетинговая аналитика и многое другое. Удивительно, но поставщики указанных сторонних программ, как правило, не учитываются в процессах управления рисками третьих сторон или политике соблюдения конфиденциальности данных.

Стоит отметить, что предоставление широких полномочий сторонним организациям сопровождается потерей контроля. Без ведома IT-отделов компании третьи лица часто действуют за рамками своей компетенции, поскольку не являются частью корпоративной IT-инфраструктуры и появляются только в ответ на запрос посетителя веб-сайта или пользователя приложения. Невозможность идентифицировать собственное присутствие или действия усугубляется тем фактом, что третьи лица собирают данные о потребителях при воспроизведении цифрового контента. Учитывая преобладание кода сторонних компаний на среднестатистическом веб-сайте, корпоративные цифровые активы выступают существенными точками риска, когда речь заходит о соблюдении GDPR.

Опора на сложные и неконтролируемые сторонние сервисы открывает путь к несанкционированному сбору и утечке данных. Стоит задуматься о том, когда в последний раз эксперт по комплаенсу проверял цифровые активы компании на предмет отсутствия файлов cookie, надежность веб-хранилища или адекватность сбора данных идентификаторов устройств. В цифровой экономике трудно обеспечить соблюдение правил из-за постоянно меняющейся природы информации и коммерции, предоставляемой через Интернет. Эксперты предлагают следующие шаги для разработки стратегии цифрового комплаенса:

  1. Формирование цифровой экосистемы. Проверка поставщика программ обеспечения соответствия нормативным требованиям, знание того, кто работает в вашей цифровой среде, имеют решающее значение для повседневных процессов управления рисками компании.
  2. Анализ активности поставщиков. Высокодинамичное цифровое пространство требует документирования действий авторизованных поставщиков.
  3. Сравнение активностей с установленными политиками. Для оценки соответствия действий поставщиков установленным стандартам можно использовать политику цифровых активов, в которой излагается приемлемое поведение третьих лиц относительно регулирования норм и использования лучших отраслевых практик.
  4. Устранение несоответствующей деятельности. Сообщайте о нарушениях политики GDPR непосредственно поставщикам и требуйте соблюдения регуляторных норм для продолжения дальнейшего сотрудничества.

Таким образом, компаниям следует помнить о благосклонном отношении регулирующих инстанций к игрокам, демонстрирующим понимание принципов GDPR и предпринимающим попытки их выполнить. Тактика игнорирования правил GDPR не даст  положительных результатов, поскольку нежелание изучить и соблюдать закон не избавляет владельцев бизнеса от ответственности и штрафных санкций.

Источник:

https://www.corporatecomplianceinsights.com/advantageous-compliance-strategies-digital-economy/

Читайте также: