Государства, стоящие по многим политическим или экономическими вопросам на разных позициях, удивительно солидарны в попытках обеспечить эффективный контроль персональных данных.

Что нужно знать о GDPR

Чем больше информации, тем сложнее ее хранить и обрабатывать. И это действительно проблема, причем о ее масштабности можно судить хотя бы потому, что государства, стоящие по многим политическим или экономическими вопросам на разных позициях, удивительно солидарны в попытках обеспечить эффективный контроль персональных данных.

Общий регламент по защите данных (General Data Protection Regulation, или GDPR), вступивший в силу весной 2018 года, отличный пример такого единодушия. Разработанный и одобренный парламентом Европы в первую очередь для государств Евросоюза, он, тем не менее, носит экстерриториальный характер, затрагивая интересы компаний за пределами Старого Света, в том числе из России.

GDPR, что это такое?

Обратимся к Википедии. Энциклопедия называет GDPR постановлением, которое усиливает и приводит к единой форме мероприятия по защите персональных данных граждан Европейского Союза. Требования директивы распространяется также на экспорт этих данных за пределы ЕС.

Суть GDPR легко понять, если знать основные принципы постановления.

  • Сбор и использование данных допускаются исключительно в правовом поле, с соблюдением всех территориальных законов, сопровождающих обработку информации.
  • Клиент должен четко понимать цели сбора информации. Обработка не должна превышать полномочия и задачи, о которых говорится в политике приватности компании.
  • Количество данных, используемых для решения задач, ограничивается необходимым минимумом.
  • Используются исключительно достоверные персональные данные. Всякая неточность должна быть исправлена.
  • Период хранения личной информации регулируется целесообразностью. Данные, потерявшие актуальность, удаляются.
  • Приоритет условий надежного хранения личной информации. Регулярный аудит параметров безопасности баз данных и каналов, по которым данные передаются.
  • Тщательное соблюдение перечисленных принципов GDPR. Веде́ниепротоколов, фиксация нештатных ситуаций, назначение ответственных за эффективную и безопасную обработку.

Польза GDPR и в том, что он в одинаковой степени регламентирует работу тех, кто собирает данные – Controller, и тех, кто их обрабатывает – Processor. Первые отвечают за цели, вторые за data processing, но ответственность за выполнение стандартов равно лежит на всех.

GDPR – это совсем не страшно

Нужно ли бояться GDPR? Нет. В реальности внедрение положения несет исключительно позитивные изменения в общую и частную цифровую среду. Разумеется, если вы соблюдаете закон и ведете бизнес на перспективу.

Проблемы возможны там, где:

  • используют для рассылок «черные» базы email;
  • требуют от пользователей данные, которые не нужны для корректной работы сервиса;
  • не обеспечивают достаточный уровень безопасности персональной информации;
  • отказывают клиентам в праве отписаться от ненужных рассылок;
  • скрывают формат данных, не используют функционал сообщений о политике конфиденциальности (PrivacyPolicy) и описание cookie-файлов (UseofCookies).

Обобщим: адекватному и добросовестному бизнесмену вообще нет причин переживать из-за возможных проблем с GDPR. Мало того, поэтапное приведение внутренней структуры сервиса к требованиям положения естественным образом сделает ее эффективнее и проще.

Часто можно услышать такое мнение: главная цель регламента по защите данных – административные санкции. Действительно, несоблюдение закона может привести к ощутимому удару по корпоративному бюджету: штраф до 20 млн EUR или сумма до 4% от прошлогоднего финансового оборота компании. Между тем, редкий эксперт вспоминает о том, что декларация подобных мер привела к быстрому пересмотру алгоритмов защиты личной информации среди таких монстров как Google, Apple, Amazon. В итоге это привело к качественному росту общего мирового уровня в обеспечении безопасности персональных данных.

Внедрение GDPR за пределами Евросоюза

Внимательно изучая текст документа, приходишь к выводу, что авторы явно рассчитывали на его распространениеза границы EU. Судите сами, вот некоторые условия, которые обязуют компанию внедрять GDPR:

  • постоянное представительство/филиал в Евросоюзе;
  • необходимость в учете данных жителей Евросоюза, или лиц с двойным гражданством, при отсутствии представительства/филиала в ЕС;
  • профессиональные связи с компаниями, исполняющими пункты закона и для сохранения репутации вынужденными выбирать партнеров по аналогичному принципу.

Очевидно, что такой подход сделает экспансию GDPR за пределы стран Европы вопросом очень скорого времени, после чего соблюдение права людей на защиту персональных данных станет обязательным правилом честной игры на мировом рынке цифровых услуг.

Privacy by design и Privacy by default

Одной из главных проблем технологического бума последних десятилетий, оказалась необходимость в масштабном сборе и обработке персональной информации. Любой цифровой продукт, независимо от географии и коммерческого профиля, по умолчанию может потребовать от клиента, какие-либо данные – открыто и с туманными целями.

Инструментами, которыми новая директива GDPR предполагает контролировать процессы обработки личной информации, стали концепция систем встроенной защиты персональных данных – privacybydesign – и конфиденциальность по умолчанию – privacybydefault.

Privacybydesign применяется к любым внутренним процессам любой компании: планированию, маркетингу, разработке, продажам и рекрутингу. Ее суть, свести к минимуму объем персональной информации, необходимой для запланированного результата. По рекомендации GDPR каждый процесс внутри компании должен начинаться с оценки рисков, которые могут встретиться при обработке данных клиента. По замыслу авторов положения, практику подобных аудитов следует довести до автоматизма, с возможностью подключения ее на всех этапах жизни проекта.

Доказательством, что компания практикует privacybydesign, может стать сертификат, внутренняя директива или письменное указание от имени руководства компании либо лица, отвечающего за обработку данных.

Privacybydefault также призывает бизнес оперировать исключительно минимумом информации, необходимой для корректной работы сервиса, и сохранять ее только до тех пор, пока клиент пользуется услугами компании. Цели GDPR в этом случае очевидны: создать условия для осознанной необходимости соблюдать регламент на практике, а в перспективе, добиться тотального и безальтернативного исполнения его стандартов по всему земному шару.

Что изменится с внедрением GDPR

Если рассматривать вопрос перемен с позиции технических мер, мало что. Конечно, многие программные параметры придется адаптировать к условиям нового регламента, но акцент GDPR сделан все же на пересмотр общего и частного отношения к защите персональных данных.

Например:

  • поставщики цифровых услуг почувствуют другой уровень ответственности за работу с данными клиентов;
  • запрос большого объема информации перестанет считаться профессионализмом, и будет восприниматься, как организационная слабость компании;
  • оценка рисков для данных клиентов станет проводиться до начала проекта, а не после запуска или по факту претензий;
  • персонал компаний, имеющий отношение к обработке личных данных, начнет внимательнее относиться к обязанностям, что повысит общее качество безопасности.

И, безусловно, больше всех выиграют сами клиенты, на защиту которых встанут более совершенные и безопасные алгоритмы сбора и обработки информации.

Заключение

GDPR – огромная тема, которая требует детального изучения. Более того, ее влияние на каждую конкретную компанию или продукт нужно рассматривать отдельно. Однозначно понадобится реорганизация устоявшихся правил и методов веде́ния бизнеса. Но это правильный путь. Единственно возможный в сложившихся обстоятельствах.

Хороший пример – верификация данных, которая еще пару лет назад воспринималась многими, как необоснованная попытка украсть личность с неясным или полукриминальным мотивом. Сегодня – это естественный процесс, необходимость которого очевидна всем, кто активно пользуется сетью.

Относительно принятия правил GDPR российскими компаниями ситуация выглядит как ожидание последствий внедрения регламента бизнесом в Европе. Мотивация, чаще всего, следующая: доля европейских клиентов в русских базах настолько мала, что лишает смысла какие-либо изменения в существующих подходах.

И все же, процесс запущен. Более того, он активно развивается. Его имплементация в России – дело нескольких лет. И только от нашей готовности к цивилизованному бизнесу зависит, насколько эффективными и безболезненными окажутся правила нового цифрового порядка, когда он по-настоящему придет к нам.

Удачи!


Вам может быть интересно:

Сервис верификации криптокошельков

Сервис идентификации физических лиц

Обзор судебной практики Верховного суда о противодействии незаконным финансовым операциям

Краудфандинг в России – теперь по закону

Подпишитесь на обновления и будьте первыми, кто узнает новости