После двухлетнего подготовительного периода 25 мая в Европейском союзе официально вступает в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR). Портал InformationWeek разбирает недоразумения, которые еще остались в понимании этого документа, и обсуждает принципы дальнейшей работы по соблюдению новых европейских норм защиты персональных данных.
Когда GDPR был принят и опубликован два года назад, большинство организаций пришло в ужас от его сложности, широты применения, глобального влияния и беспрецедентных штрафных санкций. Хотя подготовка к выполнению регламента была начата, общность его формулировок и неясность деталей и сегодня у многих вызывают замешательство. Большинство организаций привыкло опираться на контрольный список установленных требований, но для GDPR этот список так и не появился на свет. Даже сейчас, когда новый порядок уже начинает действовать, 27% респондентов обеспокоены налагаемыми на них обязанностями, и многие из этих тревог обусловлены общераспространенными недоразумениями в отношении конкретных воздействий GDPR на работу компаний.
Заблуждение #1. Компании должны обеспечить, чтобы персональные данные хранились в стране происхождения
Реальность: вы должны сфокусировать внимание не на местоположении данных, а на их безопасности.
Слышатся тревожные разговоры, что согласно GDPR неевропейским компаниям придется заняться долгим и дорогостоящим процессом переноса в Европу данных, ранее обрабатывавшихся в их странах. Эти опасения безосновательны. Текст GDPR буквально утверждает, что «перемещение персональных данных в страны и из стран, находящихся за пределами Европейского союза и международных организаций, необходимо для расширения международной торговли и международной кооперации», так что нахождение данных за пределами ЕС вполне законно. При этом данные, которые уже обрабатывались, например, в США, не обязательно перемещать в ЕС. Защита и безопасность данных должны гарантироваться независимо от их местонахождения. Если данные останутся в США, потребуется соблюсти ряд дополнительных условий, таких как выполнение типовых положений или регистрация в Privacy Shield, однако если компания соблюдает регламент GDPR, эти меры являются простой юридической формальностью.
Заблуждение #2. Права на личную тайну абсолютны и безусловны
Реальность: запросы на удаление личной информации не являются высшим вердиктом.
Согласно GDPR, человек может направить запрос на удаление его персональных данных, что также называют «правом на забвение». Многие компании очень встревожены сложностью этого процесса, особенно если данные сохраняются во многих системах, и тем, что они могут потерять не только аудиторию для маркетинга или развития бизнеса, но и ценные бизнес-данные. Однако это вовсе не так. Если бы компании удаляли все персональные данные, как бы они могли подтвердить выполнение персонального запроса или выслать счет клиенту? В соответствии с GDPR данные надлежит удалять только когда отсутствуют веские деловые причины для их сохранения или обработки.
Заблуждение #3. GDPR ограничит возможности моей компании в ведении бизнеса
Реальность: воздействие GDPR будет ощутимо в основном для компаний, богатеющих на персональных данных.
Тот факт, что монетизация персональных данных стала бизнес-моделью социальных сетей, операторов глобальных сетей рекламы и ряда других компаний, побудил ЕС пересмотреть свою практику защиты личной информации. Главной целью GDPR является защита тайн личной информации, и поэтому регламент ограничивает сбор персональных данных и подчеркивает важность согласия человека на их обработку. Следовательно, новые ограничения больше всего затронут те компании, для которых главным источником доходов является агрегация и продажа данных клиентов. Для большинства других компаний, которые собирают персональные данные в рамках своих регулярных бизнес-операций, эффект ограничений будет минимальным. В конце концов, GDPR ставит целью не усложнить бизнес, а реально заставить компании пересмотреть свою практику использования данных в целях защиты персональной информации.
Заблуждение #4. Пора обращаться к консультантам
Реальность: компании сами должны понять, как они будут обеспечивать соблюдение новых требований.
Консультанты могут оказать компаниям хорошую помощь в изучении требований GDPR и в выявлении недочетов, которые потребуется исправить в соответствии с документом. Хотя все это, безусловно, полезно, в конечном счете сама компания должна понять, как ей надо изменить свои бизнес-процессы, чтобы они соответствовали GDPR. Это особенно важно потому, что GDPR не сводится к простому перечню требований; это скорее рамочная программа или способ мышления в работе с персональными данными. Только те, кто близко знаком с практической деятельностью компании, могут реально понять нюансы ее бизнес-процессов и того, как она использует данные, чтобы внести требуемые коррективы.
Заблуждение #5. После 25 мая 2018 г. компании смогут расслабиться
Реальность: после 25 мая ваша работа над соблюдением регламента должна продолжаться в другом режиме.
GDPR вступает в силу 25 мая, и есть признаки, что многие компании сосредоточены только на текущей подготовительной работе. Очень немногие начали думать о том, что им надо изменить, чтобы их деятельность соответствовала регламенту и в будущем. 25 мая работа не кончается, но компаниям надо перенести свой фокус на то, чтобы соблюдение новых норм было постоянно интегрировано в бизнес-процессы.
Важно усвоить, что в GDPR главное приватность и безопасность. Новые требования не сводятся к сверке с контрольными списками, которые могут только путать дело, пока организации не поймут, что им надо фундаментально изменить свое мышление в вопросах личной информации. Для ЕС право защиты личной информации принадлежит к числу самых фундаментальных прав человека, и оно должно уважаться превыше всего, аналогично тому, как США ставит на первое место свободу личности. Если компании будут держать это в уме и сделают соответствующие меры частью своего способа вести бизнес, они наверняка добьются успеха в организации соблюдения новых норм.