За последние два года, прошедшие с момента вступления в силу Общего регламента защиты персональных данных (GDPR), произошли некоторые изменения в бизнесе. Во-первых, к документу в большинстве своём перестали относиться формально, во-вторых, появился чётко прописанный принцип прозрачности. О том, что ещё поменялось и как отреагировал на это бизнес, порассуждали эксперты в рамках GDPR Day Online 2020.
Как отметила главный юрист компании Double Data Екатерина Калугина, в её работе существенно изменилось отношение к документу: два года назад она воспринимала его как очередной документ, которому нужно соответствовать, чтобы избежать штрафных санкций в Европейском Союзе, но сейчас она видит в нём огромное количество возможностей и преимуществ. «Для компании это возможность выстроить процессы, как минимум описать их внутри компании. Потому что невозможно представить себе GDPR комплаенс без чётко налаженных процессов. Второе, для российских компаний, для компаний в странах СНГ — это возможность более активно применять инструменты Legal tech, поскольку соблюдение многих обязанностей, предусмотренных GDPR, достаточно затруднительно без использования средств автоматизации, без каких-то инструментов, которые бы не вручную все эти обязанности выполняли, а были бы какие-то автоматизированные, настроенные процессы», — сказала Екатерина Калугина.
Также она добавила, что для компаний, которые хотят выйти на международные рынки или сотрудничать с европейскими компаниями, сейчас GDPR стал неотъемлемой частью бизнеса. Потому что даже зарубежные инвесторы будут смотреть, соблюдаете ли вы требования GDPR, особенно если ваш бизнес связан с Healtch tech, биотехнологиями, научными исследованиями, образовательными технологиями и так далее. Причём вопрос о соответствии требованиям будут задавать не только другие компании, но и пользователи.
Независимый эксперт по защите персональных данных и со-учредитель Russian Privacy Professional Association Алексей Мунтян тоже подтвердил, что на момент вступления регламента в силу в 2018 году многие российские компании подошли к выполнению его требований очень формально. Однако потом они осознали необходимость перестраивать свои privacy функции или вообще начали делать их у себя с нуля. «Те бизнесы, у которых privacy функция уже была, начали очень активно расширяться. Например, в том холдинге, где я работаю, изменения были драматическими: за 2 года количество privacy-специалистов увеличилось с 5 до 60. То есть это очень большой, существенный рост. И не смотря на инвестиции, вложения бизнеса в эту историю, во-первых, на рынке мало хороших зрелых privacy-специалистов, которые могут от сохи пойти и выполнять те функции и задачи, которые на них возложены; во-вторых, сам бизнес ещё во многих аспектах не поменял свой стиль мышления в отношении privacy», — пояснил Алексей Мунтян.
Он также добавил, что приходится долго пояснять коллегам, что такое Privacy by Design и Privacy by default — то, с чего начинается любой privacy-анализ. И хотя бизнес уже начал перестраиваться, но два года слишком маленький срок для перестройки своего сознания. При этом позитивные сдвиги пока видны в большей степени в международных компаниях. Крупные российские компании пытаются идти по этому пути, но пока не видят экономических преимуществ в GDPR.
Про экономические преимущества GDPR немного рассказала старший менеджер KPMG Russia and CIS Кристина Боровикова, отметив, что принятие регламента — это существенное изменение некоторых экономических процессов, связанных с изменением и появлением нового сервиса в сфере ИБ и защиты данных. «То есть до этого как такового privacy в некоторых странах вообще не было. Сейчас это денежное влияние, создание новых компаний, инвестирование в новые продукты, создание новых позиций. Поэтому стоит отметить, что появление новых должностей, новых единиц структурных в организации — это большой плюс», — добавила Кристина Боровикова.
Со стороны европейских компаний изменения после принятия GDPR видны сильнее. Менеджер по методологии информационной безопасности (Хельсинки) Андрей Прозоров отметил, что в новом GDPR появился принцип прозрачности, то есть если раньше он подразумевался, то сейчас он прописан в явном виде. И сейчас все европейские компании начали этому принципу уделять больше времени, больше внимания и показывать, как они обрабатывают персональные данные, для чего обрабатывают и так далее. «В то же время усиление фокуса внимания на прозрачности предполагает, что компания сама должна пересмотреть и доработать свои процессы, чтобы не стыдно было их показывать. Поэтому в компаниях начали механизм GDPR-комплаенса усиливать. Так что я считаю, что именно увеличение фокуса на прозрачность сделало очень много для популяризации GDPR, для внедрения GDPR и всего того, что сейчас происходит. И эта прозрачность очень важна в Европе, её очень видно» — пояснил Андрей Прозоров.
Также он отметил, что от бумажек уйти не получится, потому что GDPR предполагает еще один принцип подотчетности, когда вы должны в любой момент показать, что вы соответствуете регламенту и так далее. С этим согласна и Кристина Боровикова. По её мнению, компании в первую очередь заинтересованы в том, чтобы организационными мерами закрыть комплаенс и показать, что у них как на «картинке» всё правильно. А уже потом задумываются об имплементации тех или иных мер. При этом она не исключает, что европейские клиенты тоже заинтересованы в том, чтобы эта «картинка» работала корректно, потому что они видят проверки регулятора, видят своих конкурентов и другие компании, знают, что если они не отработают запрос субъектов в положенное время, удалят данные или не ответят на запрос, то к ним может прийти регулятор или они получат штраф. «И если в первый год GDPR можно было отметить много бумаги. То во второй год многие компании сконцентрированы на использовании дополнительных ресурсов, софта, инструментов, чтобы имплементировать те или иные меры», — заключила Кристина Боровикова.
Важность бумаг и документов подтвердил и основатель и ведущий эксперт по защите персональных данных Б-152 Максим Лагутин. «Если мы думаем, что важно, как правильно мыслить, как правильно соблюдать privacy, то бизнес думает не так. Бизнес думает: «дайте мне документы». И если посмотреть одни из самых популярных запросов в Google в Европе, то это документы по GDPR. И один из запросов: «какие документы по GDPR мне надо делать». Это то же самое, что было в России в 2010-2011 годах с российским 152 законом», — пояснил Максим Лагутин.
.jpg)
.png)