Разрушаем мифы и стереотипы про GDPR и рассказываем, как сделать ваш бизнес лучше.
После первой части, где речь шла про то, что GDPR - это НЕ дорого и НЕ долго, мы получили очень теплый фидбэк, поэтому с публикацией второй части решили не тянуть😊
Сегодня речь пойдет про сложность и формальность соответствия Регламенту. Поехали!
GDPR - это сложно.
Здесь работает принцип страуса, прячущего голову в песок. Компания считает, что работа по GDPR - это сложно и неподъемно. А раз так, то лучше просто игнорировать эту работу, и может быть, как-нибудь оно само рассосется. Или вообще исчезнет со временем.
Этот стереотип часто приводит к тому, что руководство компании принимает решение не делать по GDPR абсолютно ничего. Но, к сожалению (или к счастью - тут уж как посмотреть), Регламент пришел к нам надолго, если не навсегда. Это связано с тем, что во всем мире развиваются новые технологии, объемы обрабатываемых персональных данных увеличиваются, а вопрос защиты этих данных становится все более и более актуальным.
Сегодня мы живем как за стеклом на витрине: все, что мы делаем, снимается на видеокамеры, все что мы говорим, может быть услышано. Так, по данным "Лаборатории Касперского", Россия в первом полугодии 2020 года стала лидером по числу людей, столкнувшихся со слежкой через шпионское программное обеспечение в смартфоне, речь в первую очередь идет о так называемом прослушивании.
А ещё в 2017 году гражданин Турции подал жалобу на постановления суда, разрешающего массовое наблюдение за всем населением страны на ограниченный период времени - примерно один месяц. Европейский суд по правам человека постановил, что Турция нарушила статью 8 Европейской конвенции о правах человека - про право на уважение частной жизни.
Наша жизнь перестает быть полностью приватной, а это создает очень большие трудности. Судьбы людей, карьеры, отношения и многое другое находятся не в безопасности. Одна утечка приватных данных - и карьера политика завершена, доверие к компании навсегда подорвано, а семья распалась.
Это доказывает всю важность GDPR. Со временем законодательство о приватности будет только расширяться, а сами правила - становится строже. Сейчас в совершенно разных странах принимаются законы о защите персональных данных. В Российской Федерации и Украине уже приняты, в Беларуси собираются принять в ближайшее время (хоть и стоит отметить, что “ближайшее время” длится уже несколько лет) .
Так что не стоит бояться большого количества задач, которые придется решать. Во-первых, со временем законы о приватности будут ужесточаться. Лучше начать разбираться в этих правилах заранее. А во-вторых, в ходе работы может выясниться, что ваша компания является не контролером, а всего лишь процессором.
К примеру, маркетинговые компании, в зависимости от выполняемых ими функций, могут быть как контролерами, так и процессорами, или выполнять функции обоих.
Так, маркетинговая компания, которая по договору имеет право решать, с кем из ее клиентов связываться, какие персональные собирать и какие обрабатывать, будет являться одновременно и контроллером, и процессором.
При этом, если выбор клиентов, цели и порядок обработки их персональных данных определяет другое юридическое лицо, заключившее с маркетинговой компанией договор на обработку, наша маркетинговая компания будет являться всего лишь процессором.
И от этого резко сужается спектр мероприятий, который предстоит провести. Не нужно будет, например, заботиться об ограничениях целью, а просто не выходить за рамки, установленные контролером.
Как там говорят на бизнес-тренингах про успех? “Если хочешь достигнуть цели - беги к ней, если не можешь бежать - иди, если не можешь идти - ползи, если не можешь ползти - ляг в том направлении”. В общем, просто сделайте хотя бы шажочек к соответствию глобальным стандартам приватности сегодня, и уже завтра вам не придется начинать с нуля.
Фух, как-то мотивационненько получилось.
GDPR - это формально.
Еще один стереотип, с которым мы столкнулись во время работы с нашими клиентами: GDPR - это формальность. Нужно просто составить пакет документов “чтобы был”, если вдруг надзорные органы дотянутся. И на этом всё.
Во-первых, дотянутся. GDPR имеет экстерриториальное значение и распространяет свое действие за пределы Евросоюза. Да и национальные законодательства будут постепенно унифицироваться с европейским правом информационной приватности - об этом мы уже говорили ранее.
А во-вторых, суть в том, что Регламент не про декларации, а про процессы. Не про документы (хотя и без них никак), а про реальные изменения внутри компании. Можно сколько угодно прятаться от GDPR-дождя при помощи бумажных документов. План, конечно, надёжный, как швейцарские часы. И первое время от капель это спасет, но уже в скором времени мы промокнем до нитки.
Поэтому нужно строить систему защиты данных, а не просто обкладываться документами. Гораздо лучше ведь переждать дождь в домике, каждый кирпичик которого может защитить от угроз. Документы - это не волшебная таблетка, потому что во время проверок европейские надзорные органы уделяют внимание не только их наличию, но также артефактам (материальным доказательствам защиты приватности) и интервью (разговорам с сотрудниками на предмет их осведомленности о требованиях GDPR).
Шведский орган по защите данных Datainspektionen оштрафовал одну из шведских школ на 200 000 шведских крон за неправильное обращение с личной информацией учащихся в рамках пилотной программы распознавания лиц, которая отслеживает посещаемость учащихся. При назначении штрафа была проанализирована не только документация, предоставленная руководством школы свидетельствующая о проведении оценки рисков, но и такие обстоятельства как мнение учащихся, отношения учащихся и руководства (их неравенство), отсутствие предварительных консультаций с органом по защите данных, фактическая возможность школы устанавливать присутствие человека иным образом.
Так что описанные с точки зрения приватности процессы, обученные защите персональных данных сотрудники и принятые меры технической безопасности при проверках ценнее, чем просто документы. GDPR требует от бизнеса конкретных шагов по встраиванию приватности, а не просто составления документов.
Мы всегда советуем клиентам подходить к работе с персональными данными комплексно. GDPR - это не парочка документов и парочка процессов. Регламент - это часть целой системы по защите персональных данных. Важно понимать, что все это затрагивает реальные жизни реальных людей. Есть много случаев, когда несоблюдение этих принципов нанесло людям непоправимый ущерб: повредило их репутации, карьере и взаимоотношениям с другими.
Например, Netflix проводил конкурс на лучший алгоритм для подсказки фильмов пользователям, для чего предоставлял исследователям анонимные (как он считал) данные. В результате один из исследователей смог идентифицировать значительное число пользователей по этому показателю. Компания смогла вычислить их по IMDB, где пользователи оставляют отзывы о фильмах. Видеосервис предположил, что люди обычно оставляют отзывы сразу после просмотра или в первые часы, и соотнес время просмотров ими фильмов с временем оставления отзывов. В результате одна из пользователей подала на Netflix в суд, так как идентификация способствовала раскрытию ее сексуальной ориентации, что принесло ей значительный дискомфорт.
Компании, которые хотят соответствовать Регламенту, должны делать это в первую очередь для своих пользователей и клиентов. Это дает не только заботу о простых людях, но и улучшает имидж компании вместе с плюсиком в карму каждому сотруднику.
Мы рады делать контент полезным для вас, поэтому оставляйте свои вопросы по GDPR и информационной приватности в комментариях или пишите нам на почту. Ответим на всё😀