Государства, стоящие по многим политическим или экономическими вопросам на разных позициях, удивительно солидарны в попытках обеспечить эффективный контроль персональных данных.
Чем больше информации, тем сложнее ее хранить и обрабатывать. И это действительно проблема, причем о ее масштабности можно судить хотя бы потому, что государства, стоящие по многим политическим или экономическими вопросам на разных позициях, удивительно солидарны в попытках обеспечить эффективный контроль персональных данных.
Общий регламент по защите данных (General Data Protection Regulation, или GDPR), вступивший в силу весной 2018 года, отличный пример такого единодушия. Разработанный и одобренный парламентом Европы в первую очередь для государств Евросоюза, он, тем не менее, носит экстерриториальный характер, затрагивая интересы компаний за пределами Старого Света, в том числе из России.
Обратимся к Википедии. Энциклопедия называет GDPR постановлением, которое усиливает и приводит к единой форме мероприятия по защите персональных данных граждан Европейского Союза. Требования директивы распространяется также на экспорт этих данных за пределы ЕС.
Суть GDPR легко понять, если знать основные принципы постановления.
Польза GDPR и в том, что он в одинаковой степени регламентирует работу тех, кто собирает данные – Controller, и тех, кто их обрабатывает – Processor. Первые отвечают за цели, вторые за data processing, но ответственность за выполнение стандартов равно лежит на всех.
Нужно ли бояться GDPR? Нет. В реальности внедрение положения несет исключительно позитивные изменения в общую и частную цифровую среду. Разумеется, если вы соблюдаете закон и ведете бизнес на перспективу.
Проблемы возможны там, где:
Обобщим: адекватному и добросовестному бизнесмену вообще нет причин переживать из-за возможных проблем с GDPR. Мало того, поэтапное приведение внутренней структуры сервиса к требованиям положения естественным образом сделает ее эффективнее и проще.
Часто можно услышать такое мнение: главная цель регламента по защите данных – административные санкции. Действительно, несоблюдение закона может привести к ощутимому удару по корпоративному бюджету: штраф до 20 млн EUR или сумма до 4% от прошлогоднего финансового оборота компании. Между тем, редкий эксперт вспоминает о том, что декларация подобных мер привела к быстрому пересмотру алгоритмов защиты личной информации среди таких монстров как Google, Apple, Amazon. В итоге это привело к качественному росту общего мирового уровня в обеспечении безопасности персональных данных.
Внимательно изучая текст документа, приходишь к выводу, что авторы явно рассчитывали на его распространениеза границы EU. Судите сами, вот некоторые условия, которые обязуют компанию внедрять GDPR:
Очевидно, что такой подход сделает экспансию GDPR за пределы стран Европы вопросом очень скорого времени, после чего соблюдение права людей на защиту персональных данных станет обязательным правилом честной игры на мировом рынке цифровых услуг.
Одной из главных проблем технологического бума последних десятилетий, оказалась необходимость в масштабном сборе и обработке персональной информации. Любой цифровой продукт, независимо от географии и коммерческого профиля, по умолчанию может потребовать от клиента, какие-либо данные – открыто и с туманными целями.
Инструментами, которыми новая директива GDPR предполагает контролировать процессы обработки личной информации, стали концепция систем встроенной защиты персональных данных – privacybydesign – и конфиденциальность по умолчанию – privacybydefault.
Privacybydesign применяется к любым внутренним процессам любой компании: планированию, маркетингу, разработке, продажам и рекрутингу. Ее суть, свести к минимуму объем персональной информации, необходимой для запланированного результата. По рекомендации GDPR каждый процесс внутри компании должен начинаться с оценки рисков, которые могут встретиться при обработке данных клиента. По замыслу авторов положения, практику подобных аудитов следует довести до автоматизма, с возможностью подключения ее на всех этапах жизни проекта.
Доказательством, что компания практикует privacybydesign, может стать сертификат, внутренняя директива или письменное указание от имени руководства компании либо лица, отвечающего за обработку данных.
Privacybydefault также призывает бизнес оперировать исключительно минимумом информации, необходимой для корректной работы сервиса, и сохранять ее только до тех пор, пока клиент пользуется услугами компании. Цели GDPR в этом случае очевидны: создать условия для осознанной необходимости соблюдать регламент на практике, а в перспективе, добиться тотального и безальтернативного исполнения его стандартов по всему земному шару.
Если рассматривать вопрос перемен с позиции технических мер, мало что. Конечно, многие программные параметры придется адаптировать к условиям нового регламента, но акцент GDPR сделан все же на пересмотр общего и частного отношения к защите персональных данных.
Например:
И, безусловно, больше всех выиграют сами клиенты, на защиту которых встанут более совершенные и безопасные алгоритмы сбора и обработки информации.
GDPR – огромная тема, которая требует детального изучения. Более того, ее влияние на каждую конкретную компанию или продукт нужно рассматривать отдельно. Однозначно понадобится реорганизация устоявшихся правил и методов веде́ния бизнеса. Но это правильный путь. Единственно возможный в сложившихся обстоятельствах.
Хороший пример – верификация данных, которая еще пару лет назад воспринималась многими, как необоснованная попытка украсть личность с неясным или полукриминальным мотивом. Сегодня – это естественный процесс, необходимость которого очевидна всем, кто активно пользуется сетью.
Относительно принятия правил GDPR российскими компаниями ситуация выглядит как ожидание последствий внедрения регламента бизнесом в Европе. Мотивация, чаще всего, следующая: доля европейских клиентов в русских базах настолько мала, что лишает смысла какие-либо изменения в существующих подходах.
И все же, процесс запущен. Более того, он активно развивается. Его имплементация в России – дело нескольких лет. И только от нашей готовности к цивилизованному бизнесу зависит, насколько эффективными и безболезненными окажутся правила нового цифрового порядка, когда он по-настоящему придет к нам.
Удачи!
Сервис верификации криптокошельков
Сервис идентификации физических лиц
Обзор судебной практики Верховного суда о противодействии незаконным финансовым операциям