Маленький закон с огромным потенциалом, о котором все мечтают забыть

Данная директива стремится навес­ти порядок в сфере торговли и использования личных данных и вернуть контроль над этими данными нам (физическим лицам). На сегодняшний день объём «рынка личных данных» оценить почти невозможно, но мы говорим о триллионах. 

Также директива заставляет компании, хранящие и обрабатывающие эти данные, относиться серьёзно к безопасности. Это связано с тем, что чёрный рынок личных данных, используемых кибер-преступниками, также растёт и исчисляется десятками миллиардов. К примеру, набор «свежих» данных клиента, включая информацию о кредитной карте, может стоить 100-200 долларов за штуку. Украл 100 000 записей из базы клиентов супермаркета или онлайн-магазина, продал за 10 000 000. Это намного быстрее, безопаснее и проще торговли наркотиками и ограблений.

В этой статье я предлагаю вам рассмотреть самые обычные «возражения», которые возникают у предпринимателей, узнавших об этой чудесной директиве.

Отрицание - в психологии один из элементов защиты. Применяющий её человек, собственно, отрицает события или информацию, которую не может принять.

Суммы штрафов звучат действительно пугающе. Да, в Эстонии очень мало фирм с местным оборотом более 500 миллионов евро, что привело бы к нижнему потолку максимального штрафа. Однако, есть несколько нюансов, связанных с тем, что «закон един для всех»:

Размер штрафа связан с тяжес­тью нарушения, а не с размером компании. Сегодня небольшая фирма из 10 человек может создать гигантскую базу личных данных и злостно рассылать рекламу по всему ЕС, что наказуемо.Эстония – дом нескольких крупных ИТ-компаний с рыночной капитализацией около миллиарда. Таких становится больше, и все они обрабатывают и хранят огромные объёмы личных данных.Штрафы могут инициироваться страной, откуда родом «пострадавший». Т.е. если французская компания нарушила данное законодательство в контексте данных жителя Эстонии, который подал жалобу в нашу инспекцию по защите данных, то штраф будет выписан (и получен) Эстонией.Размер штрафа действующей в Эстонии «маленькой» дочки международной компании может рассчитываться из глобального оборота всей корпорации.

К тому же, различные министерства закладывают доход от штрафов в доходы казны. За нарушения ПДД планируют собирать миллионов по 15 в год. А с этим законом потенциал просто фантастический.

Важно отметить, что Инспекция по защите данных несколько раз подчёркивала, что её главный приоритет – предотвращение и исправление проблем, а не сбор штрафов.

Никто ничего об этом законе не знает. Можно не дёргаться

Разумеется, великое русское «авось» имеет право на жизнь, но стоит учесть, что это может быть не лучшей стратегией. Всё дело в том, что большинство предприятий годами игнорировало как требования к защите личных данных, так и общие рекомендации в области кибер-безопасности.В случае провала аудита, просто «написать пару бумажек и повесить плакат на стену», как в случае с Инспекцией по труду, будет недостаточно. Нужно будет делать срочные серьёзные вложения в:

программы и продукты по кибер-безопасности;изменения в бизнес-процессах;обучение персонала;консультантов

Срок на исправление проблем предсказать сложно, но, вероятно, он будет зависеть от запущенности ситуации и варьироваться между «всё удалить и прекратить немедленно» до «в течение пары месяцев исправить и подробно отчитаться».Также с большой долей вероятности процедура оспаривания штрафов уже в этом году будет происходить по цепочке:инспекция выявила нарушения и выписала штраф;предприятие заплатило;предприятие пытается оспорить штраф в суде;у суда не хватает прецедентов (и ресурсов), и он растянулся на 3 года

Этим (хранением и обработкой личных данных) занимаются все. Получили письмо от контрагента? Его имя и адрес электронной почты – это личные данные. Наняли сотрудника на работу, заключили с ним договор и попросили копию диплома? Опять же, вся информация в электронном виде об этом сотруднике – личные данные.

Вероятно, если решить полностью «уйти с цифры», то можно очень сильно минимизировать объём этих личных данных. Однако создастся риск того, что вместе с грязной водой мы выплеснем и ребёнка, ведь, как ни крути, инфотехнологии делают нашу жизнь и ведение бизнеса удобнее.

Также хочу отметить цифру 462. Это количество обращений с жалобами в Инспекцию по защите данных в 2017 году. По мере того, как граждане будут узнавать о новом законе, жалоб будет становиться больше. А инс­пекции придётся все жалобы рассмат­ривать. Самым простым и быстрым шагом в рамках такого рассмотрения будет предписание предприятию срочно предоставить информацию по конкретной жалобе и уровне соответствия закону о защите личных данных. Ведь по умолчанию все соблюдают закон, т.е. предоставить нужную информацию должно быть легко.

К счастью, или к сожалению, вступ­лению в силу этой директивы сопутст­вует классическая проблема в стиле «зима наступила неожиданно»: местные законодатели и исполнители всё ещё в процессе подготовки.

Многие правовые акты Эстонс­кой Республики не до конца соответствуют положениям этой директивы. Некоторые права, которыми GDPR наделяет физических лиц, в определённых ситуациях будут просто невыполнимы. Ввиду того, что директива даёт местным органам довольно широкие права в области интерпретации, на создание полной гармонии уйдут годы.

Также очень важно понять, что соответствие законодательству о защите личных данных – это не юридическая и не ИТ-проблема. В первую очередь, это требование к упорядочиванию работы с личными данными во всех процессах предприятия. Во вторую – обучения сотрудников тому, что можно делать с личными данными, а что – нельзя. И только после решения этих задач стоит начать инвестировать деньги в инфосистемы и витиеватые контракты.

Мы должны осознать то, что кибер-безопасность и защита личных данных очень важны и требуют внимания и инвестиций. Лучше начать готовить своё предприятие и сотрудников постепенно и заранее, а не ждать стука инспектора по защите данных.

Личные данные – это любая информация, идентифицируемая с физическим лицом, включая контактные данные, документы, интересы, домашние животные и т.п.Прежде чем начать использовать и обрабатывать чьи-то личные данные, предприя­тие должно получить явное и осознанное согласие физического лица на это. Т.е. если предприятие создаёт клиентскую программу в целях анализа покупок и поведения клиента, то клиент должен быть об этом уведомлён в чётких и понятных терминах и согласиться на это. Не 3 страницы мелкого текста, а 3 чётких предложения крупным шрифтом.Компании должны иметь чёткий обзор хранимых и обрабатываемых личных данных, а также защищать их. Архитектура электронных сис­тем должна строиться из принципa «заложенной конфиденциальности», а объём аккумулируемых личных данных целенаправленно сводиться к минимуму.В случае хранения и обработки «особых» личных данных и/или больших объё­мов данных, компании должны нанять директора по защите данных. В Эстонии используется термин andmekaitsespetsialist (специалист по защите данных).В случае утечки личных данных, предприятие обязано оповестить об этом Инспекцию по защите личных данных и затронутых физических лиц. Т.е. украли лаптоп менеджера по продажам – докладываем; компьютер бухгалтера подцепил вирус – почти наверняка докладываем.

Право доступа: требовать информацию о том, какие личные данные хранятся/обрабатываются, кем, зачем и на каком основании. Обработчик информации обязан предоставить эту информацию бесплатно и в читаемом элект­ронном виде.Право быть забытым: требовать удаления всех своих данных и получения отчёта об этом. Если ранее физическое лицо давало согласие на использование своих данных, то оно может его отозвать в любой момент.Право передвигать данные: требовать копию всех данных для их переноса к другому оператору в структурированном электронном виде. Например, если вы хотите сменить врача, то прежний должен будет передать вам в удобном формате всю историю болезней, анализов и т.п.

Собственно, нарушение этих принципов, прав лиц и других положений этой директивы, а также соответствующих законов стран ЕС и может повлечь за собой штрафы.

 

Autor: Владимир Елов эксперт в области инфотехнологий, управления персоналом и безопасности