Генеральный регламент по защите данных (GDPR): от проблем к возможностям

Возможно, вы обратили внимание, какую серьезную ответственность придется понести за несоблюдение положений Генерального регламента по защите данных Европейского союза? А может, вы боитесь потерять доверие своих клиентов или вас пугает вся эта шумиха, которую устроили СМИ вокруг конфиденциальности и защиты персональных данных?

Если оставить в стороне страхи, связанные с необходимостью соответствовать разнообразным требованиям регламента, то вы сможете оценить уникальные возможности, которые GDPR дает компаниям. Давайте посмотрим, что такое Генеральный регламент по защите данных самом деле, кого он касается и как с его помощью можно извлечь выгоду для вашей компании.

Что такое GDPR?

Евросоюз принял GDPR в качестве нового нормативного документа, заменяющего Европейскую директиву о защите данных 1995 года. Новый Генеральный регламент ЕС по защите данных (вступил в силу 25 мая 2018 г.) предусматривает значительное ужесточение требований к обеспечению защиты персональных данных, возлагая за это ответственность на организацию. В регламенте приведено более широкое определение персональных данных, чем в предыдущей директиве. При этом центральное место в защите данных занимает именно личность человека, а также предусматриваются более строгие требования к обеспечению соблюдения регламента и повышение штрафов за несоблюдение этих требований.

В последние годы большой ажиотаж вокруг GDPR был вызван рядом законопроектов в сфере защиты данных. В качестве примера можно привести аннулирование принципа «безопасной гавани» — механизма, который обеспечивал возможность передачи данных между ЕС и США, впоследствии замененного соглашением Privacy Shield. У многих компаний вызывает тревогу необходимость соблюдения положений Генерального регламента по защите данных. Особое беспокойство вызывает тот факт, что денежные штрафы за несоблюдение требований GDPR могут достигать 22 миллионов долларов или 4 % глобального годового оборота (в зависимости от того, какая сумма больше).

Кто попадает под действие Генерального регламента по защите данных?

Запомните: ваша компания не освобождается от необходимости соблюдать требования GDPR только потому, что зарегистрирована за пределами ЕС. Этот регламент действует во всем мире в отношении всех компаний, которые выполняют обработку персональных данных граждан ЕС. Например, персональные данные сотрудника, который проживает в Германии, но работает в компании, зарегистрированной в Нью-Йорке. Или клиента из Ирландии, который покупает что-то в Интернете у поставщика в Калифорнии.

Обновленное определение персональных данных

В соответствии с новым регламентом персональными данными являются любые данные, которые прямо или косвенно позволяют идентифицировать личность пользователя. Для установления личности могут быть использованы совершенно разные виды данных. Например, IP-адрес или данные о местоположении теперь считаются данными, идентифицирующими личность (PII) и, соответственно, теперь подлежат защите как персональные. Это очень широкое определение, и в будущем оно, вероятнее всего, станет еще шире. 

В чем основные нововведения GDPR?

Новое определение персональных данных весьма наглядно демонстрирует общую тональность нового законодательства. В рамках Генерального регламента по защите данных персональные данные считаются ценным активом. Все требования и обязательства по соблюдению регламента существенно ужесточаются.

Не случайно такое ужесточение связано с новейшими тенденциями в сфере технологий (например, облачные вычисления, большие данные и Интернет вещей). При использовании любой из этих технологий сбор и качественный анализ данных становятся стратегическими конкурентными преимуществами. Признавая это, GDPR Евросоюза фактически идет в ногу со временем.

Давайте посмотрим на 4 важнейших нововведения в области требований к защите персональных данных, описанные в новом регламенте.

Более строгие правоприменительные нормы 

Теперь органы по надзору за соблюдением законодательства о защите данных объединены в единый общеевропейский надзорный орган и располагают дополнительными ресурсами и полномочиями. Примечательно, что всего 10 лет назад защита данных была вопросом, который даже не входил в топ-10 самых важных проблем нормативно-правового обеспечения деятельности компаний. На сегодняшний день этот вопрос имеет бесспорный приоритет для компаний любого масштаба и в любой отрасли. 

Повышенная ответственность 

Генеральный регламент по защите данных возлагает на компании ответственность за защиту персональных данных. Организации во всех случаях отвечают за обеспечение, способы и надежность защиты. В данном случае речь о внедрении мер безопасности для защиты от атак злоумышленников, оперативном реагировании и оповещении пользователей и властей о фактах таких атак. В будущем соблюдение требований по защите данных будет скорее заключаться в качественно организованных бизнес-процессах вашей компании, а не получении официального разрешения на обработку данных. Вполне оправданным шагом будет прием на работу сотрудника (например, специалиста по защите данных), который разбирается в вопросах конфиденциальности и защиты данных и знает правоприменительные нормы и практики.

GDPR может предусматривать обязательное наличие такой должности в компании в зависимости от формата и количества объема обработки данных пользователей. Независимо от требований закона, не менее важно, чтобы этот сотрудник понимал ценность данных для компании как стратегического бизнес-актива. Лучше всего принять на работу специалиста по защите данных, который сможет эффективно провести изменения в масштабах всей организации. Это нужно не только ради соблюдения требований, но и для того, чтобы в целом сделать защиту персональных данных и управление данными основным бизнес-требованием.

Концепция «проектируемой конфиденциальности»

Придется тщательно изучить те данные, с которыми работают все отделы компании, и методы обработки этих данных. Таким образом, первым шагом для любой компании будет описание потока данных в масштабах всей организации. Когда будет определено местонахождение персональных данных и методы их обработки, необходимо обеспечить надлежащую защиту. Оценка данных с точки зрения обеспечения их конфиденциальности и защиты (начиная от разработки продукта и далее на всех этапах цепочки поставок, вплоть до конечного потребителя) является важнейшим требованием нового закона о защите данных. Проектируемая конфиденциальность также предполагает повышенную прозрачность структуры данных и процессов их передачи.

Персонализация 

Помимо особенностей соблюдения нормативно-правовых требований, важнейшим изменением в новом законодательстве является общее смещение фокуса на конфиденциальность. С точки зрения GDPR, защита данных пользователей должна быть приоритетной целью компаний. Например, право на переносимость данных означает, что клиент должен иметь возможность без проблем выбрать нового поставщика услуг и перенести все свои данные в систему нового поставщика. Более того, GDPR дает потребителям дополнительную возможность — потребовать от компании удаление своих персональных данных из системы, предусматривая для клиента своего рода «право на забвение».

4 способа извлечь выгоду для бизнеса из GDPR 

Если оценить все нововведения, становится очевидно, что правила игры стали жестче и соблюдать их теперь сложнее. Однако базовые принципы, к которым мы уже успели привыкнуть, остались практически неизменными. В этом смысле для многих компаний соблюдение требований Генерального регламента по защите данных будет скорее подразумевать изменение нормативно-правовых процедур, чем создание каких-то новых структур. Какие бы последствия ни повлекло принятие GDPR для вашей компании, вы получаете много новых возможностей, которые помогут преуспеть в бизнесе. 

Инновационность

Компании, которые увидели в GDPR стимул для развития инноваций, получат весомое конкурентное преимущество в условиях нового рынка, работающего в соответствии с GDPR. Подумайте о разработке новых услуг или продуктов, которые смогут гарантировать клиентам безопасную обработку и хранение персональных данных. Например, хранилища персональных данных. С помощью этих облачных приложений пользователи могут хранить свои персональные данные и самостоятельно управлять разрешениями для доступа.

Подумайте также об инновационных методиках использования данных без нарушения норм законов о конфиденциальности. Интересным примером может послужить компания, предлагающая счетчик посетителей нового поколения, который поможет розничным торговым компаниям оценить свою клиентскую базу без сбора персональных данных. Это решение представляет собой интеллектуальное напольное покрытие, которое сохраняет изображения обуви посетителей и анализирует их шаги. Эти изображения в сочетании с технологиями машинного обучения и искусственного интеллекта позволяют системе автоматически подсчитывать количество посетителей. Что удивительно, система способна самостоятельно определять и распределять по категориям демографические характеристики людей, анализируя их обувь и особенности походки. Она даже умеет распознавать реакцию людей на происходящее на экранах в магазине. 

Прозрачность = доверие

Надлежащее обеспечение конфиденциальности дает компании весомое конкурентное преимущество. Мы более склонны доверять поставщику услуг, который искренне уважает нашу конфиденциальность (а не просто соблюдает требования законодательства) и стремится дать нам всю информацию о том, как будут использоваться наши данные. Требования GDPR предусматривают изменение политик компании относительно информирования пользователей о сборе и обработке их данных и повышение открытости компаний. Повышенная прозрачность поможет построить более доверительные отношения с пользователями и повысить их лояльность.

Мы хорошо усвоили, что не надо делать на примере печально известного датского банка. Несколько лет назад банк заявил о запуске проекта на основе больших данных. В рамках этого проекта планировалось использовать данные клиентов для целевой рекламы. Банк надлежащим образом проинформировал клиентов о проекте, но никак не попытался рассказать о том, в чем заключается его важность и ценность. В результате не был учтен один важный негативный фактор: клиенты были лишены возможности самостоятельно решить, хотят они участвовать в этом проекте или нет. Для банка все это обернулось плачевно, и после огромного количества негативных отзывов и большой шумихи в прессе было решено свернуть проект.

Права клиента

Новый регламент по защите данных фактически передает бразды правления потребителям. Если вы поддерживаете клиента на всем пути, то станете для него несомненным лидером в вопросах конфиденциальности.

GDPR подтверждает существующие права клиентов и дает им ряд новых прав. Несмотря на распространенное мнение, согласие пользователя — одно из законных оснований для обработки персональных данных, но далеко не единственное. GDPR действительно наделяет пользователей полномочиями решать, хотят ли они, чтобы их персональные данные обрабатывались каким-либо образом, и выбирать, как именно это будет происходить. Это, конечно, добавляет забот компаниям. Довольно непросто разработать новые или изменить существующие программы обеспечения соблюдения конфиденциальности, чтобы полностью сохранить все права пользователей, предусмотренные GDPR.

Принятие GDPR фактически инициировало значительный сдвиг в корпоративной культуре. Более того, данный вопрос также имеет стратегическое значение. Расширяя полномочия пользователя, вы также даете своему бизнесу преимущества в условиях рынка с высокой конкуренцией.

Стратегия управления, определяющая способы управления и контроля данными

Защиту персональных данных сегодня следует рассматривать как стратегически важный вопрос. Чтобы соответствовать нормативно-правовым требованиям, необходимо внедрить грамотно сформулированные политики управления данными. Генеральный регламент по защите данных дает вам возможность полностью переосмыслить свои политики, действующие в отношениях всех данных компаний, а не только персональных данных. Это ценная возможность, которая позволит компании многократно окупить все вложения в дорогостоящий масштабный проект нормативно-правового обеспечения деятельности компании.

Данные — важнейший актив вашей компании, и их объем постоянно растет. Если уже сегодня внедрить надежные политики, это не просто поможет обеспечить соблюдение требований, но также позволит максимально эффективно использовать имеющиеся данные.

Генеральный регламент по защите данных (GDPR): больше, чем нормативные требования

Конечно, невозможно за пару минут изменить привычную точку зрения и начать рассматривать Генеральный регламент по защите данных как возможность, а не как проблему. Нужно действовать на опережение. Это позволит вам подготовиться к работе в условиях нового законодательства ЕС по защите данных по мере того, как рынок превратится в полностью регулируемое правовое пространство. Евросоюз, как и многие страны, входящие в его состав, в настоящее время разрабатывает собственные политики и законы, регулирующие применение технологий искусственного интеллекта. В процессе этой работы возникают определенные сложности, связанные с прозрачностью используемых алгоритмов. Другие текущие инициативы ЕС по разработке политик ориентированы на регулирование доступа к данным и владение данными, в том числе и в контексте отношений B2B. Сейчас самое время оценить все имеющиеся у компании данные и разработать комплексную стратегию, которая упростит работу в будущем.

Об авторе

Каллиопи Спиридаки (Kalliopi Spyridaki) — старший специалист по разработке стратегий конфиденциальности компании SAS Europe Она присоединилась к команде SAS в 2007 году. В SAS Каллиопи делится с коллегами и клиентами компании передовым опытом в области защиты данных и конфиденциальности. Она стремится восполнить пробел между государственной политикой, правовыми вопросами и проблемами бизнеса, чтобы и компания SAS, и ее клиенты всегда были в курсе происходящего в постоянно изменяющейся нормативной системе Европы. Прежде чем присоединиться к SAS, Каллиопи работала в консалтинговой компании по связям с общественностью, в Европейской торговой ассоциации, в различных юридических фирмах в Греции и других странах Европы, в Еврокомиссии, а также в Министерстве иностранных дел Греции. Каллиопи Спиридаки окончила Афинский университет и является членом Адвокатской коллегии Афин с 2003 года.