Вступление в силу директивы GDPR демонстрирует: определить, под действие законов каких стран попадает деятельность компании, может оказаться очень непростой задачей.
В соответствии с директивой ЕС о защите данных (GDPR), вступающей в силу 25 мая, компании обязаны в течение 72 часов уведомлять регулирующие органы о происшествиях, связанных с утечкой личных данных клиентов. Однако опрос, проведенный фирмами Centre for Information Policy Leadership (CIPL) и AvePoint, показывает разную степень готовности компаний к таким действиям. Хотя 70% опрошенных утверждают, что в их компании приняты соответствующие внутренние процедуры, а 66% — что в компании имеется план реагирования на происшествия, только в 31% компаний проводили репетиции действий по соответствующему сценарию, и только в 21% компаний заключили на подобный случай договор с фирмой, специализирующейся на отношениях с общественностью.
Специалисты советуют составить план действий, учитывающий все требования законодательства о защите данных. К составлению необходимо привлекать не только ИТ-специалистов, но и юристов и специалистов по кризисным коммуникациям. Нужно определить, под действие законов каких стран попадает деятельность компании — возможно, это окажется самым трудным этапом, предупреждают специалисты. Шаблоны уведомлений можно разработать заранее, хотя из-за большого разнообразия сценариев утечки данных это может быть сложно. В любом случае, следует проводить тренировки и быть готовым к изменениям правил.