Вокруг GDPR (общий регламент защиты персональных данных) до сих много вопросов: Что будет, если компания не будет соответствовать GDPR? А что будет, если компания будет уважать приватность своих клиентов? Чего не будет у компании, если она примет GDPR? Чего не будет у компании, если она не будет соответствовать GDPR? Какие перспективы и тенденции сейчас есть в GDPR, кто первым на российском рынке на это откликнулся — такие темы обсудили эксперты в ходе первой онлайн-конференции GDPR Day 2020.
Кто был первым?
По словам со-основателя и директора DPO LLC Сергея Воронкевича, ИТ-аутсорсеры были первыми, кто заинтересовался GDPR в России. Именно они начали заниматься ИБ, Privacy by Design, изучать риск-менеджмент, управление рисками продуктов, в разработке которых принимали учаcтие.
Среди первых были и стартапы. Конечно, в большинстве своём это были ИТ-стартапы. Основатель и ведущий эксперт по защите персональных данных Б-152 Максим Лагутин отметил, что они столкнулись с GDPR, когда собрались выходить на европейский или американский рынки. Даже при том, что у них был необходимый минимум по GDPR, «но они первые, кто это стал делать и стали этим хвастаться».
Независимый эксперт по защите персональных данных и со-учредитель Russian Privacy Professional Association Алексей Мунтян назвал среди первых «пострадавших» от GDPR отраслей транспортную отрасль, авиакомпании, РЖД, операторов связи и гостиничный сектор.
Тренды и тенденции
С момента вступления в силу GDPR прошло уже два года. Многие компании за это время успели разглядеть плюсы и минусы регламента, решить для себя, что делать. И сейчас уже сложились некоторые тренды и тенденции в этой области.
Со слов Сергея Воронкевича, при внедрении регламента защиты персональных данных в свою компанию многие бизнес-процессы запустить не удастся. Например, в data science путь будет закрыт, обучить ИИ на полученных данных тоже не получится. «В какой-то мере мы потеряем некоторую свободу действий, которая сейчас у многих восточноевропейских компаний есть», — отметил Сергей Воронкевич.
Однако тут же он добавил, что если компании не начнут процесс по приведению себя в соотвествии с регламентом, то не будет развития как самих компаний, так и бизнеса в целом. При этом компании локализуют себя в границах одной страны. В это же время GDPR становится общим стандартом по всему миру — многие страны переписывают в свои законодательства нормы и подходы из регламента. «Тенденция набирает обороты. И если мы сейчас не будем комплаетса с ним, потому что нам это не требуется, потому что на ИТ-рынки мы не смотрим, то через 2 или 3 года это будет частью нашего национального закона и нам рано или поздно придётся к этому прийти», — прокомментировал Сергей Воронкевич.
Максим Лагутин также отметил, что в Евразийском экономическом союзе обсуждают свой внутренний документ, похожий на GDPR. Относительно тенденций в GDPR он высказался, что будет влияние других стран, например, помимо самого регламента есть ещё и американский подход, когда всё идёт в коммерцию. Кроме того из Китая тоже может что-нибудь прийти.
Консультант международной консалтинговой компании Денис Лукаш отметил и другую тенденцию — перетягивание ответственности за невыполнение GDPR от DPO в сторону юридической службы. Тут же он упомянул, что сейчас независимых DPO не так много — и это тоже является некой проблемой. «Далее, что мы будем видеть? Будет расти судебная практика и практика надзорных органов. С одной стороны, будет больше понимания требований к GDPR, с другой стороны, будет понятно, какая нужна компетенция от DPO, и может быть это будет как-то складываться в сторону независимости позиции DPO, и все увидят, что действительно должен быть эксперт», — пояснил Денис Лукаш.
Тенденцию на привлечение к теме персональных данных юристов отметил и Максим Лагутин. По его словам, с появлением GDPR в России этой темой заинтересовалось большое количество людей из юридической отрасли.
Потому что это была новая отрасль, новая интересная область, в которой можно зацепиться, потому что всегда любая новая область смотрится с позиции какого-то преимущества, нового развития, и, как правило, там больше бюджета. И так как там много специалистов из юриспруденции, то делается сильный упор на права субъектов, особенно в период пандемии. «То есть это тоже частый тренд, что если человек приходит из юриспруденции, кажется, что первая часть — это защита прав, вторая — документы, третья — защита всего это в суде. И я думаю, что одним из трендов будет развитие технических навыков в сторону мультифункциональности. То есть люди с юридическим, гуманитарным бэкграундом будут осваивать технические навыки, потому что у нас сейчас количество технологий, которые использует данные, зашкаливает», — поделился своим видением Максим Лагутин.
Старший менеджер KPMG Russia and CIS Кристина Боровикова рассказала про тренды, которые видны сейчас в Европе. Она привела в пример деятельность ирландского контролирующего органа, потому что он нацелен на большие компании и в плане у него изучение работы и корректности исполнения прав субъектов в приложениях таких крупных компаний как Facebook, Twitter, Instagram. По её словам, в 2019 году европейские органы анонсировали стратегию по координации между регуляторами не только по персональным данным, но и ещё антимонопольному праву, по санкциям и так далее. Такая координация, конечно, пока существует не между всеми регуляторами, но она есть. И это позволит регулятору получать достаточно много информации, например, о проценте влияния той или иной компании или об её акциях, а в дальнейшем вся эта информация может быть использована против компании во время проверки.
Денис Лукаш же назвал тенденцией решение некоторых российских компаний не комплается под GDPR, потому что он на них не распространяется. Однако по его словам, « GDPR при работе с бизнесом является конкурентным преимуществом».
«GDPR — это постоянно меняющаяся тема. В будущем, я думаю, нас будут ожидать изменения. И дело здесь не только, что наши компания хотят на зарубежный рынок, но и в том, что GDPR идёт к нам», — отметил Алексей Мунтян.
.jpg)
.png)