Невыполнение правил грозит штрафом до 20 миллионов евро.
В эту пятницу, 25 мая, на территории Евросоюза вступает в силу Общий регламент по защите данных (GDPR). Документ вводит ответственность для европейских компаний (либо компаний, продукция и услуги которых представлены в ЕС), что хранят и обрабатывают личную информацию о пользователях, пишет onliner.by.
Например, при заполнении профиля в социальной сети вы обозначили свои религиозные убеждения — и администрация соцсети обязуется тщательно оберегать эти данные, потому как они считаются приватными. Иначе штраф до 20 миллионов евро либо 4% годового оборота за предыдущий финансовый год. Как это все коснется пользователей и компаний из Беларуси? В нюансах помог разобраться Алекс Енин, эксперт консалтинговой компании Polontech, которая работает в области IT Service Management и Agile Transformation, а также является системным интегратором продуктов Atlassian.
Содержание
• Зачем GDPR нужен
• Затронет ли это белорусские компании
• Где в этом реальная польза
Зачем GDPR нужен
— Откуда необходимость в новых правилах?
— GDPR ориентирован на информационную безопасность, а IT-индустрия очень динамична. И так удивительно, что изменения проходят лишь сейчас — предыдущий акт же действует с 1995 года. Все намного ушло вперед, в том числе не только IT, но и технологии по манипуляции общественного мнения, сознания.
Сейчас выбран хороший момент, общество готово к изменениям: вспомните недавние скандалы, связанные с политическими событиями. Популярный CRM-сервис Hubspot в конце 2017 года проводил опрос тысяч своих пользователей. Около 90% приветствуют суть политик GDPR! С другой стороны, мне попадалась информация, что компании из списка Fortune 500 к концу 2017 года уже проинвестировали около 7 миллиардов долларов в реализации поддержки GDPR у них. То есть бизнес тоже не против.
— Что конкретно изменится?
— Во-первых, определяются приватные данные как таковые. Создатели документа говорят: есть сведения, которые могут идентифицировать человека. Это может быть почти что угодно в сети — имя, e-mail, IP-адрес, «кукис», название компании-работодателя. Теперь такая информация относится к приватной.
Дополнительно вводится подраздел чувствительных приватных данных. Сюда, на мой взгляд, как раз и относятся те элементы, которые позволяют манипулировать общественным сознанием: речь о политических, сексуальных и религиозных предпочтениях, расовых признаках — то, что можно собрать и подавать под определенным углом. К подобной информации теперь требуется и дополнительное внимание.
Также появились изменения и «географического» характера. Если вкратце, независимых условий по выполнению новых требований два: компания должна быть зарегистрирована на территории Евросоюза либо ориентирована на клиентов из ЕС, что, на мой взгляд, немного нечеткое требование. Но, по сути, она каким-то образом хранит, обрабатывает, принимает и участвует в сборе персональных данных граждан ЕС.
Затронет ли это белорусские компании
— То есть белорусская компания, продающая свое приложение в европейских Steam, AppStore или Google Play, обязана их соблюдать?
— Да. Специфика нашей работы такова, что мы довольно сильно погружаемся в процессы наших клиентов и взаимодействуем с командами. Еще мы стараемся быть «на гребне волны», общаемся с айтишной тусовкой и видим, что компании в западных странах очень серьезно относятся к соблюдению законов.
ольшинство наших партнеров уже выполнили требования GDPR. Во-первых, им светят довольно большие суммы штрафов. Во-вторых — репутационный риск, потому как западные рынки — это вопрос доверия и репутации. Один из лидеров Европы в области информационной безопасности, компания Netsparker, провела опрос более 300 менеджеров C-уровня. 98% сказали, что относятся к регламенту серьезно и готовятся.
Что касается СНГ, то мы, скажем так, субъективно не видим большого интереса от компаний из этих стран. То, что обсуждается в западных компаниях, кажется, не затрагивается в местных. Глобальный вывод не могу сделать, но по разговорам и мероприятиям, где мы были, именно такая ситуация наблюдается. Думаю, что глобальные корпорации с белорусскими корнями, скорее всего, уже выполнили требования, опубликовали политики на своих веб-сайтах и забыли. А вот средние и небольшие компании, на наш взгляд, не уделили внимание GDPR.
Допустим, минская компания делает ПО на заказ для европейцев. Разработчики используют популярный инструмент JIRA с хостингом на своем сервере. Веб-сайт компании и JIRA – на английском языке. Открыв доступ в JIRA хоть одному человеку из европейской компании-заказчика, наша фирма, потенциально, попадает под GDPR. Уверен, большинство компаний даже не задумываются о таком риске.
Причин несколько: мол, мы ведь далеко, европейским регуляторам не до нас и так далее. Прямые финансовые риски четко не обозначены — сложно провести судебный процесс. Но репутационные риски будут большими. Если заказчик оставит отзыв, что белорусская компания не соответствовала требованиям европейского законодательства, в дальнейшем с ней едва ли будут иметь дело.
Где в этом реальная польза
— GDPR больше нужен для галочки или документ реально повышает безопасность хранения данных?
— Нет речи о выходе нового стандарта информационной безопасности. GDPR просто подталкивает компании, которые занимаются сбором данных, уделять внимание обработке и хранению этих сведений, использовать больше технических средств защиты.
Документ вступает в силу 25 мая, но понятно, что в этот день свет не выключится — все как работали, так и продолжат. Неизвестно, как будут искать нарушения, большими ли будут штрафы, будем смотреть по реальным прецедентам.
Юридические компании точно будут на этом зарабатывать. Есть так называемые юридические тролли — люди в той же Германии, хорошо разбираясь в тонкостях законов, найдут на сайте компании нарушение и скажут: «Мы подаем на вас в суд, и вы рискуете потерять 20 миллионов евро — или пришлите нам 50 тысяч евро, и суда не будет». Думаю, такая ситуация станет популярной.
— Соответствие новому стандарту потребует больших затрат и сложностей?
— Если делаете продукт, который собирает персональные данные, то технический директор должен продумать и реализовать конкретные вещи. Допустим, если продукт ориентирован на детскую аудиторию, вы должны получить разрешения родителей. Как это сделать? Нужно запросить согласие родителей. Конечно, с большего невозможно проверить, действительно ли вам ответил представитель ребенка.
Но такие формальности нужно соблюсти. На сайте компании должна быть информация о сборе данных вашим приложением, у пользователя должна быть возможность удаления данных и так далее — значит, специалистам фирмы придется этим заняться.
В случае с аутсорсинговыми компаниями ситуация проще. Часто достаточно опубликовать политику на сайте. В интернете полно информации и примеров. Есть хорошие инструкции по внедрению GDPR, они легко гуглятся на английском языке.
Мы, как системные интеграторы продуктов для управления проектами и ITSM, спросили у самых популярных вендоров — BMC, HP, Atlassian, ServiceNow, Asana и так далее — о GDPR. Выяснилось, что они сами несколько в сложном положении из-за наличия серверных версий своих продуктов.
Не везде присутствует техническая реализация требований, допустим, связанных с Data Retention. Одна белорусская компания — поставщик подобных решений, например, на момент этого интервью не ответила на наш запрос, хотя она получила инвестиции и собирается выходить на европейский рынок. Впрочем, время до 25 мая еще есть.