Май 17

Что вам стоит знать о GDPR

Чем чаще упоминают Общий регламент по защите данных (англ. General Data Protection Regulation, GDPR), тем больше появляется трактовок и многочисленных версий законодательства, и тем сложнее становится разобраться и эффективно применить эту информацию на практике.

На самом деле именно на принятие необходимости, изучение и понимание этого вопроса уходит половина отведенного на эту активность времени. Railsware, успешно преодолев этот этап, находится на финальной стадии внедрения принципов GDPR. Хотим поделиться опытом еще и потому, что у нас была возможность пройти этот процесс от А до Я не только как консалтанси, но и как продуктовая компания — внедрив GDPR на Mailtrap, а также Smart Checklist плагине для Jira.

В этой статье я расскажу о своем понимании GDPR, а также попробую спрогнозировать дальнейшее развитие темы защиты персональных данных и ее влияние на IT-рынок в целом.

Стоит ли бояться GDPR

Кажется, что главный вопрос, который мучает представителей постсоветских стран — «бояться или не бояться» данного положения. На самом же деле «страшным» является только то, что многие обсуждают эту тему именно в таком ключе.

Вам нечего бояться, если вы:

Не покупаете списки email адресов и не делаете холодных рассылок.
Открыто говорите о типах персональной информации, которую собираете, то есть предупреждаете посетителей сайта с помощью всплывающих окон о политике конфиденциальности (Privacy Policy), положении, описывающем все cookie-файлы (Use of Cookies, Navigational Information Statement). В этих документах человек сможет прочесть, какие именно персональные данные вы собираете, с какой целью, на какой срок, а также узнать о своих правах.
Не запрашиваете у пользователей ненужные для работы продукта или предоставления услуг данные.
Обеспечиваете должный уровень сохранности данных, то есть:
- стараетесь использовать шифрование чувствительных данных;
- внимательно следите за тем, чтобы чувствительные данные не попадали в логи в чистом виде;
- по возможности, ограничиваете доступ к продакшен-базе.
Предоставляете клиентам возможность «отписаться» от рассылок.

Еще одно заблуждение связано с тем, что главной целью GDPR является наложение административных штрафов на бизнес. При этом мало кто обращает внимание на то, что озвучив такие меры, GDPR вызвал переполох и заставил мировых лидеров (Google Inc., Hubspot Inc., Apple Inc., Amazon.com Inc., Atlassian Inc.) пересмотреть свои подходы к защите не только персональных данных, но и к обеспечению целостности и надежности хранения информации в целом.

Почему GDPR-ом интересуются не только в ЕС

Итак, давайте разберемся, кто же должен внедрять GDPR. Ознакомившись с текстом регламента, я пришла к выводу, что это должны быть компании, которые:

имеют постоянного представительства в ЕС;
не имеют постоянного представительства, но обрабатывают персональные данные людей (субъектов персональных данных), которые находятся в одной из стран ЕС и могут иметь гражданство другого государства;
сотрудничают с организациями, которые уже имплементировали GDPR и для сохранения своего статуса обязаны выбирать подрядчика по тому же принципу.

Очевидно, что такие условия помогут GDPR-у быстро и с легкостью распространиться далеко за пределы одного экономико-политического объединения. И, таким образом, вывести права человека на защиту персональных данных на новый уровень во всем мире.

С чего начать

Первое, что я советовала бы сделать, — все-таки прочитать положение и выделить главные моменты для своей организации. Во время изучения GDPR, мы обратили особое внимание на несколько пунктов:

GDPR представил расширенную трактовку персональных данных, которая теперь включает в себя информацию, относящуюся не только к идентифицированному (identified) физическому лицу, но и к тому, которое можно идентифицировать по косвенным признакам (identifiable). Таким образом, концепция персональных данных дополнилась такой информацией, как Client ID и User ID (online identifier), месторасположением и другими факторами, которые имеют отношение к физическому, физиологическому, генетическому, экономическому, культурному и другим отождествлениям человека (личности). В общем этот пункт не вызвал особых проблем, а, скорее, внес ясность, которую мы постарались отразить в официальных документах компании (Privacy Policy, Navigational Information Statement).
GDPR установил четкие требования к персональным данным. Они должны быть корректными, актуальными и собираться лишь в том количестве, которое необходимо для работы продукта, предоставления услуги, либо достижения любой другой цели, для которой они запрашивались. Также положение рекомендует сократить сроки хранения этой информации до минимума. Для этого стоит установить четкий временной промежуток, по истечении которого все данные будут пересматриваться (groomed) или удаляться. Этот вопрос вызвал немало споров внутри нашей компании, поскольку такой подход противоречил бытующему мнению, что любые данные — одинаково полезны. В результате мы пересмотрели объемы и сроки хранения персональной информации (а также сроки хранения логов, бекапов и информации в аналитических системах, Google Analytics) и отобразили эти изменения в политике хранения данных (Data Retention Policy).
В регламенте есть интересная статья (№ 13, стр. 8), которая, если перевести дословно, говорит, что «регламент включает послабления относительно ведения учета для организаций с менее чем 250 сотрудниками». При этом каждое государство-член ЕС должно принимать необходимые меры по применению регламента на местах. В Польше, например, пытались использовать эту статью и освободить малый бизнес от необходимости соответствовать принципам GDPR, что прилежно обозначили в драфте польского Закона «О защите информации» (Data Protection Act, «DPA»). Но после многочисленных дебатов раздел убрали, а закон отправили на согласование.

Несмотря на существование этого пункта, я бы не советовала игнорировать тему GDPR только потому, что в вашей компании, скажем, 50 сотрудников. Напротив, лучше привлечь юристов, которые, изучив ваш конкретный случай, смогут дать дельный совет.

Как GDPR повлияет на разработку

Авторы положения говорят о том, что стремительное развитие технологий привело к небывалым масштабам роста сбора персональной информации во всем мире. Почти каждый продукт или сервис в любой точке земного шара может беспрепятственно и на свое усмотрение собирать и использовать данные физических лиц. Поэтому GDPR напоминает о необходимости использования на практике уже известных нам концепций «privacy by design» и «privacy by default».

Концепция «privacy by design» применима к каждой, связанной со сбором и обработкой персональных данных, активности внутри компании. Данный подход встречается и в дальнейшем повлияет на процессы планирования и разработки продукта, а также становления таких направлений, как маркетинг, продажи, рекрутинг и т. д.

«Privacy by design» призывает минимизировать сбор персональной информации, необходимой для работы любого продукта, сервиса или проекта внутри компании. Для этого перед началом какого-либо процесса GDPR рекомендует оценить риски, которым будет подвержен человек (субъект персональных данных) в результате сбора и обработки вашим ресурсом (отделом, сотрудниками) его персональной информации (Data Privacy Impact Assessment). В дальнейшем проведение таких аудитов можно интегрировать в процесс управления проектами и при необходимости повторять на каждом следующем этапе развития проекта.

Подтверждением тому, что вы в своей практике следуете этому принципу может быть внутренний документ или процедура, сертификат, инструкция или письменный приказ от имени владельца (руководителя) компании, либо лица, ответственного за организацию обработки персональных данных.

«Privacy by default», в свою очередь, призывает владельцев продуктов и услуг собирать и обрабатывать лишь необходимую для работы сервиса или приложения информацию. А также хранить ее до момента, пока человек продолжает пользоваться этим продуктом или услугой.

В данном случае GDPR, скорее всего, подталкивает нас к «осознанному стремлению» следовать данным принципам на практике, которое, в будущем, приведет к полному переходу и 100%-му выполнению требований регламента.

Что кардинально изменится в работе с персональными данными

Самое большое изменение, которое произойдет в вашей организации после имплементации GDPR, будет не появление новых правил и политик, а пересмотр отношения к персональным данным и их защите.

А именно:

Компании почувствуют возросшую ответственность за сбор, обработку и хранение данных.
Большое количество данных — уже не будет равняться «хорошему результату», а будет, скорее всего, подразумевать незнание и неумение эффективно использовать их в своей работе.
Разработка продукта или сервиса будет начинаться с продумывания и оценки влияния и рисков для данных уже до, а не после релиза.
Каждый сотрудник, который имеет доступ к персональной информации будет осведомлен о правилах и поэтому будет уже осознанно заботиться о сохранности персональных данных, тем самым соблюдая базовые правила по их защите.

Выводы

GDPR — обширная тема, которую нужно детально изучать. К тому же применение этого регламента, в отличие от любого другого закона, требует внимания не только со стороны менеджмента компании, но и технических специалистов.

Мы составили один план по имплементации GDPR для продуктов и консалтанси. Но уже в процессе адаптировали каждый его пункт под конкретный проект исходя из:

Количества клиентов/лидов и их географии.
Объемов данных, которые продукт или консалтанси собирает и обрабатывает.
Активностей, связанных со сбором данных. В консалтанси, например, у нас также хорошо развито направление рекрутинга и HR, которое активно собирает и обрабатывает персональные данные аппликантов.
Каналов, через которые эти данные поступают. Railsware консалтанси получает данные лидов через заполненную на сайте форму, тогда как соискатели могут отправлять нам свои резюме и через другие сайты и платформы. А Smart Checklist for Jira получает лишь минимальное количество данных, потому что основной объем информации собирает и обрабатывает сама Jira.

А процесс планирования был лишь вершиной айсберга... Как говорится в одном известном высказывании «Незнание закона не освобождает от ответственности. А вот знание нередко освобождает».

Удачи!