Стереотипы о GDPR. Часть 1

Несмотря на то, что вопрос о защите персональных данных существует давно, он до сих пор не является чем-то понятным и простым. Это абсолютно нормально. Компании не уделяют ему достаточно внимания, так как считают, что всегда есть другие, более важные дела, связанные с развитием бизнеса.

Такое мнение возникает из-за большого количества стереотипов. Самые распространенные заблуждения: GDPR — это дорого, долго, сложно и формально, для галочки. Мы в Data Privacy Office часто видим это во время работы с клиентами. Наша цель — развеять эти стереотипы и помочь вашему бизнесу стать лучше.

Стереотипы, над которыми поразмышляем в первой части статьи — дорого и долго. Поехали!

Компания CISCO в 2020 году провела исследование среди своих клиентов, в котором пыталась выяснить, сколько респонденты зарабатывают и теряют на приватности. Статистика по тем компаниям, которые они опросили, показала, что каждый инвестированный в защиту персональных данных доллар не просто возвращается в полном объеме, а приносит в 2-3 раза больше первоначальных вложений.

Так происходит потому, что у компаний, которые инвестируют в защиту персональных данных, схожие цели. В первую очередь, они хотят стать успешным и процветающим бизнесом. Бизнесом, который имеет множество лояльных клиентов и с которым выгодно сотрудничать. А во вторых, компании хотят обезопасить себя от вероятных трудностей: потери клиентов, угрозы штрафов, репутационных рисков и так далее. И внедрение GDPR, как раз-таки, помогает достичь обе цели.

Этому есть яркий пример. За нарушение одного из принципов GDPR — ограничения целью — крупный испанский банк получил штраф в размере 50000€. Организация хранила данные своих клиентов гораздо дольше, чем позволяет Регламент. Вместо удаления персональных данных после того, как человек переставал быть клиентом, банк продолжал использовать эти данные для других, не заявленных изначально, целей.

Да, пожалуй, для банка, банковской компании или финтех организации 50 тысяч евро — не самая страшная сумма для штрафа. Но для бизнеса, который базируется на доверии и конфиденциальности, куда больший ущерб несет сам факт публикации сведений о нарушении приватности. Это увеличивает риски потерять инвесторов и вкладчиков. Как только у клиента возникнут хоть небольшие сомнения в обработке его данных, то никами подарками и бонусами организация потерянное доверие не вернет.

Что касается стоимости внедрения, то здесь мы можем обратиться к принципу Парето. Другими, словами, принципу, когда «20% усилий дают 80% возможных результатов».

Почему даже 20% принесут плоды? Все просто. GDPR — это не столько ограничения, сколько возможности. Например, мы в своей практике столкнулись с ситуацией, когда компания, которая существовала десятки лет и за это время накопила огромное количество данных, заказала GDPR Roadmap (проект по системному внедрению защиты персональных данных по стандарту ISO 27701).

Первым шагом в этой работе была инвентаризация, которая заняла полтора месяца. Были найдены целые «кладбища» данных, которые компания не имела права хранить. Очень много чего пришлось удалить. Но огромным сюрпризом стали ценные, полезные данные, для которых имелись правовые основания. Компания стала их использовать и вуаля — ощутимая экономическая выгода буквально через пару месяцев.

Это произошло во многом благодаря проведенной инвентаризации. Если бы мы не нашли эти данные, они бы лежали в архивах и притягивали штрафы по GDPR. Но компания поступила мудро и уже на первых порах получила бенифит от работы по соответствию правилам Регламента.

Внедрение GDPR — это огромная возможность не только избежать штрафов, но и улучшить отношения с клиентами и партнерами. Хороший пример: компания Apple отказалась предоставить расшифрованные данные террориста американским властям. Да, устройство все-таки было взломано, но без ведома и участия организации. Этот случай еще больше укрепил доверие со стороны пользователей, которые заботятся о своей приватности, а также привлек новых. Все это доказывает, что GDPR можно и нужно делать своим маркетинговым преимуществом и зарабатывать на нем, а не выполнять из под палки.

Важно отметить, что не обязательно сразу внедрять все принципы Регламента. Для начала нужно оценить, в каком положение вы находитесь — найти точку А. Оценить свой запас ресурсов: время, сотрудников, деньги и т.д. В самом начале этого длинного пути важно ответить на следующие вопросы: зачем нам приватность? Кто мы? Зачем нужна наша компания? А потом уже небольшими шагами двигаться к точке B — полному соответствию GDPR.

И тут мы плавно переходим ко второму стереотипу.

Внедрение GDPR — это как работа в тренажерном зале. Например, если мы хотим красивую фигуру, нам необходимо постоянно следить за своим питанием, заниматься спортом, хорошо высыпаться. Мы постепенно прорабатываем каждую группу мышц и балансируем питание.

Те же правила касаются и Регламента — полного соответствия за день не добьешься. Это работа не на один или два месяца, а навсегда. Процесс внедрения GDPR будет длиться столько же, сколько существует ваша компания, ведь мир меняется, а мы меняемся вместе с ним: появляются новые обработки информации, новые продукты, новые законы.

К примеру, Великобритания после выхода из Европейского союза переписала себе в законодательство основные положения GDPR, так как в современном мире вовсе не выгодно быть неадекватной страной, которая не обеспечивает защиту персональных данных. Это накладывает ограничение на передачу данных, рыночные связи с остальной континентальной Европой.

Если Великобритания приняла такое решение, тогда что говорить о странах которые очень сильно взаимодействуют с ЕС (Россия, Беларусь, Украина и другие страны бывшего СССР). Законодательства этих стран будут меняться и ориентироваться на европейские стандарты — это очевидно.

И надзорные органы прекрасно понимают, что за раз начать соответствовать всем принципам GDPR невозможно. Поэтому они хотят видеть, в каком направлении вы движетесь. Большую ценность представляет сам план действий, даже если он не реализован от и до. Также важен прогресс: как изменилась компания за последние три месяца? С какой интенсивностью воплощается план в реальность: компания постоянно совершенствуется или сделала один шаг год назад и остановилась?

Вот, на что смотрят надзорные органы. Их задача не зарегулировать всё, что можно, и наказать всех подряд. Они стремятся создать систему по защите приватности, которой компании будут стараться соответствовать сами, без постоянных проверок и угроз штрафами.

Так что, история про «это долго, подумаем о Регламенте позже» здесь не прокатит. Особенно это актуально во время разработки приложений или сайтов. Классическая история:работа уже начата, а о GDPR никто не подумал. По ходу проекта приходится вносить много поправок. Это увеличивает бюджет и смещает сроки. А программисты вообще советуют начинать все заново. И все, game over. Поэтому важно не забыть о Регламенте в самом начале. Его требования — основа для дальнейшей работы. На первом этапе кажется, что предстоит куча работы, компания прокрастинирует и откладывает работу по Регламенту

Но у страха глаза велики. Мы часто слышим от клиентов «у нас так много обработок, для всех нужно искать правовые основания, работы куча». Однако в 99% случае уже на первом этапе работы становится понятно, что не все обработки являются таковыми, а GDPR нужен далеко не для всех процессов.

Друзья, скоро выйдет вторая часть этого лонгрида. В ней поговорим о том, что GDPR — это сложно и формально. Подписывайтесь!