Общий регламент по защите данных General Data Protection Regulation окажет заметное влияние на работу компаний за пределами ЕС. Я предлагаю вниманию читателей обзор GDPR, отражающий основные факторы, которые способствовали его появлению на свет, а также потенциальные достоинства и «подводные камни», затрудняющие использование данного регламента.
GDPR, или ратифицированный парламентом Европейского союза «Общий регламент по защите данных», вступил в действие в мае 2017 года. Документ, имеющий обязательную силу во всех странах ЕС, был принят в апреле 2016 года. Законодатели предусмотрели двухлетний начальный период, предоставляющий компаниям и правительствам время для развертывания процессов и протоколов, которые помогут им привести свою практику в соответствие с одним из самых жестких законов, обеспечивающих защиту персональных данных. Далее GDPR, по-видимому, станет первым из целого ряда подробных и направленных на защиту потребителей законов, которые будут приняты в ближайшие годы.
Следует отметить, что в регламенте GDPR речь идет не о регулировании деятельности функционирующих в ЕС контроллеров данных (компаний, сохраняющих данные клиентов) или процессоров данных (компаний, обрабатывающих такие данные), а о защите той имеющей отношение к гражданам ЕС информации, которая соотносима с личностью, то есть с данными, с помощью которых можно идентифицировать конкретного человека. Следовательно, GDPR имеет обязательную силу применительно к любому объекту, обладающему данными по потребителям ЕС, сохраняющему такие данные и обрабатывающему их, независимо от того, находится ли такая компания в границах стран ЕС. Именно по этой причине регламент GDPR имеет большое значение для компаний других стран и глобальных компаний, если только последние обрабатывают или сохраняют данные, касающиеся граждан ЕС.
Эффективное управление данными должно быть главной целью любого профессионала, работающего с информацией. Корпорации обязаны обеспечивать максимальную прибыль для акционеров в рамках закона и в соответствии с нормами, которыми руководствуются конкретные отрасли. Разумеется, сбором и хранением данных корпорации начали заниматься не сегодня, однако надо иметь в виду, что технологии, разработанные на протяжении последних 25 лет, породили три основные фактора, обусловившие появление норм типа GDPR.
- Операции по получению и хранению данных упростились и требуют меньших затрат, чем когда-либо прежде.
- Из-за одного только объема данных, поступающих через бизнес-процессы и социальные сети, область операций по сбору данных стала средоточием множества проблем.
- Данные превратились в валюту. Финансовые выгоды, которые можно извлекать в ходе «добычи данных», побуждают предприятия всех секторов брать на себя роль культиваторов данных в обстоятельствах, когда они, возможно, не имеют инфраструктуры, средств или намерений корректно обращаться с данными.
Чтобы побудить наименее добросовестных участников соблюдать нормы, изложенные в GDPR, регламентом предусмотрена система санкций. За нарушение положений GDPR на организации могут налагаться штрафы в размере 20 млн евро или до 4% глобального товарооборота. Это максимальные суммы штрафов, налагаемые за самые серьезные нарушения, однако в регламенте реализован многоуровневый подход к начислению штрафных сумм в зависимости от характера нарушений. Регламентом GDPR регулируется деятельность как «контроллеров» — организаций, которые собирают и хранят данные, обеспечивающие идентификацию граждан ЕС, так и «процессоров» — компаний, которые могут производить вычисления или использовать эти данные каким-либо образом с целью получения ценных знаний, услуг или товаров для себя или «контроллера», который является их клиентом.
Шаблон защиты данных
Регламент GDPR написан языком, характерным для юридических текстов, но, как бы то ни было, это документ весьма объемный, он занимает более 100 страниц. Важно иметь в виду, что регламент построен на тех же принципах надежной защиты данных, которые профессионалы в области работы с информацией отстаивали на протяжении многих лет. GDPR содержит пояснения относительно того, каким образом физические лица дают согласие на обработку их данных, как передается информация об утечке данных, каковы требования к претендентам на должности служащих, ответственных за безопасность данных, какие сведения относятся к персональным данным и какими правами наделяются граждане ЕС в соответствии с регламентом GDPR.
Здесь я хочу остановиться на последней из перечисленных областей, поскольку эта сфера управления представляет предмет особого внимания с точки зрения глобальных организаций.
Теперь давайте рассмотрим права, предоставляемые в соответствии с GDPR.
Право на удаление (Right to Erasure)
Это право также известно как «Право на забвение» (Right to be Forgotten). В период, когда организации готовились к вступлению регламента в силу, больше всего споров вызывало право на удаление. В соответствии с положениями GDPR субъекты данных имеют право требовать, чтобы данные о них были удалены из базы данных в течение определенного периода времени. Это относится не только к оперативным данным, но и к данным, сохраненным в резервных копиях. Указанные требования побуждают многие организации создавать механизмы деактивации доступа и методы удаления, которые можно ввести в действие при поступлении запроса на «забвение». Эти процессы распространяются на восстановленные резервные копии, которые могут содержать данные, имеющие отношение к соответствующим запросам. Вполне вероятно введение правил, предусматривающих сокращение периодов, в течение которых многие организации сохраняют резервные копии или оперативные данные в своих системах баз данных.
По моему мнению, это означает конец естественных ключей для реляционных баз данных, особенно если считается, что столбец, выступающий в качестве ключа, в том или ином отношении представляет собой соотносимую с конкретной личностью метрику. Кроме того, в результате затрудняется работа со многими базами данных nosql, которые дают возможность выполнять так называемые «программные удаления» (soft deletes) данных, то есть не удалять данные, как это делается при «полных удалениях» (hard deletes), а помечать их как удаленные с помощью флага или какого-либо символа. Я полагаю также, что могут возникнуть проблемы, когда необходимость сохранить данные для целей бизнеса, напрямую связанных с подготовкой статистической отчетности, с выполнением обязательств перед лицами, которым была дана гарантия или ручательство, а также с соблюдением иных требований закона, войдет в противоречие с директивами GDPR. Как говорится, время покажет.
Право доступа
GDPR наделяет субъектов данных правом требовать от контроллера предоставления им бесплатно и своевременно всей хранимой этим контроллером персональной информации о соответствующем субъекте. Организациям придется встраивать в каждую систему для экспорта полные наборы данных для физических лиц. Кроме того, им нужно будет разработать защищенный процесс для передачи такой информации.
Право быть информированным
В этом разделе GDPR речь идет о праве субъектов данных быть информированными о том, каким образом их данные обрабатываются, обрабатывались раньше и будут обрабатываться в дальнейшем. Мне приходилось слышать, как некоторые представители отрасли приравнивают эту часть документа к кампании за более транспарентную политику в отношении защиты конфиденциальности частной информации. На мой взгляд, регламент еще не обрел свою окончательную форму. В него нужно будет вносить поправки и уведомления в случае изменения любого аспекта бизнеса — рабочих процессов, расширения сферы деятельности и т. д. Право быть информированным нужно будет всегда рассматривать в контексте процесса изменения управления.
Право на ограничение обработки данных корреспондирует с правом на забвение, но оно не столь радикально. В сущности, речь идет о том, что субъекты данных могут давать согласие на хранение организациями своей персональной информации, не соглашаясь при этом на ее обработку. Работа по таким правилам может обернуться настоящим логистическим кошмаром, поскольку сотрудникам придется маркировать по отдельности все записи, которые в дальнейшем нужно будет задействовать в вычислениях, относящихся к категории «обработка». Это означает необходимость внесения изменений в схемы баз данных и во все исполняемые коды, которые управляют обработкой данных, а также возникновение накладных расходов, неизбежных при столь масштабных изменениях во всех приложениях, осуществляющих обработку данных.
Цель GDPR состоит в регулировании процессов хранения и обработки данных, касающихся граждан ЕС, однако последствия вступления в силу этого регламента будут ощущаться по всему миру. В частности, компаниям придется пойти на серьезные дополнительные затраты, определяемые временем, которое потребуется для переработки и усовершенствования существующих систем и для создания приложений. Нет сомнения, что в связи с вопросами, регулируемыми регламентом, в предстоящее десятилетие будет инициировано множество судебных разбирательств. И в ходе этих процессов будут формироваться принципы управления данными, которыми мы будем руководствоваться в обозримом будущем. Ибо технология, как и способы взаимодействия технологии и человека, будут продолжать развиваться.