На GDPR Day 2021, который прошёл 25-26 мая в online, обсудили privacy-тренды и перспективы, смотрели рекламу Apple и вдохновлялись privacy-стратегией бизнеса, работали с cookies в режиме реального времени, пугали CEO и бизнесы штрафами и просто общались.
Американской компании Disqus Inc. грозит штраф в размере 2,5 миллиона евро от Управления по защите данных Норвегии. Это один из самых крупных скандалов, связанный с несоблюдением правил GDPR.
Disqus предоставляла онлайн-платформу для обмена публичными комментариями ряду норвежских онлайн-газет. Управлению по защите данных стало известно, что кроме этого данные посетителей норвежских веб-сайтов передавались сторонним рекламным партнерам.
Утверждается, что в Disqus не знали, что GDPR применяется в Норвегии, потому что страна не входит в ЕС. В компании не учли, что эта страна является членом Европейского экономического пространства и адаптировала национальное законодательство к GDPR ещё в 2018 году. Таким образом, это один из первых крупных случаев применения принципа экстерриториальности в сфере защиты персональных данных.
Именно такие новости обозначают общий тренд в индустрии интернет-технологий. Национальные и региональные законодательства выставляют все больше требований, которым необходимо соответствовать, если вы выходите на локальный рынок. Контролирующие органы могут затребовать документы, чтобы проверить принцип подотчетности, насколько процессы соответствуют нормам регламентов по защите данным, рассмотреть внутреннюю политику компании, соответствующие сертификации. Это влияет на то, что все больше и больше компаний получают запросы от контрагентов о том, насколько они соответствуют нормам по защите персональных данных, и, если компания не может показать адекватную работу в этом направлении, отказываются от сотрудничества. Отношение к сфере приватности становится признаком надежности партнера, на которое обращают внимание консультанты и инвесторы.
Большие штрафы тем не менее не исправляют ситуацию в целом. Для многих интернет-проектов приведение своих процессов в соответствие с требованиями регламентов по защите персональных данных так и не стали приоритетом. История с Disqus демонстрирует, что это касается даже крупных игроков. А молодые стартапы тем более склонны перенаправлять время и деньги, необходимые для такого рода задач, на то, что им кажется более важным особенно на ранних этапах развития проектов. Защита персональных данных по-прежнему кажется чем-то невыгодным и сложным во внедрении.
Это не так. Исследование, которое провели в рамках Cisco Cybersecurity Series, показало, что обычно для 2500 опрошенных компаний на каждый вложенный в приватность доллар 2,7 доллара вернутся обратно. А в таких странах как Мексика и Бразилия, коэффициент был намного выше. Чем больше компания, тем больше прибыль от приватности.
Как получается на приватности зарабатывать?
Простой пример. Если у компании очень много клиентов и постоянно идет логирование, собирается много данных, это большая нагрузка на операционку, в связи с чем большие затраты на хранение данных. А в GDPR заложены принципы, которые хранение данных серьезно ограничивают. И если компания правильно ими руководствуется, то работа с данными более осознанная. Это позволяет адекватно оценить, а нужны ли нам эти данные, а с какой целью мы их храним и обрабатываем, какой у нас срок хранения, если данные не нужны, то можно их удалить или анонимизировать. И это оптимизирует серьезный объем затрат.
Ещё простой know how работы с персональными данными заключается в том, чтобы разбить деятельности на “процессы”. Каждый процесс разбивается на customer journey: что куда, что на каком этапе, кто получает доступы и зачем, какие данные и т.д. На карте, которую получается в итоге отлично видно, когда к данным прикасаются ИТ, а когда – маркетинг. Сразу можно понять, кто за что отвечает, кто к чему должен прикасаться, а у кого доступа вообще не должно быть. Забота о персональных данных парадоксальным образом помогает компании разобраться во внутренних процессах, более четко расписать роли и тем самым помогает минимизировать риски, которые могут возникнуть в результате неправильной обработки персональных данных.
На конференции GDPR Day 2021 основатели Privacy Hub Артем Кобрин и Дмитрий Корчинский особенно подчеркнули важность работы с приватностью для молодых стартапов на ранних этапах: “Есть очень много бесплатных материалов. Можно найти какой-то бюджет или процент хотя бы для предварительной консультации. В будущем это очень поможет. Принцип Privacy by design базируется на том, что в самом начале, когда вы только задумались о проекте, уже нужно обдумывать то, как он будет на выходе выглядеть и какой там будет комплаенс по защите персональных данных”.
Если эти процессы не настроены изначально, на поздних этапах все переделывать гораздо тяжелее. Однако надеятся на то, что условное Управление по защите данных Норвегии войдет в положение и получится избежать большого штрафа тоже не стоит.