Регламент ЕС о защите персональных данных (GDPR) вступил в силу в 2018 году и стал одним из самых строгих законов о защите информации в мире. Его влияние ощущается не только в Европе, но и в других странах, включая Россию, где дискуссия о необходимости улучшения защиты персональных данных активно продолжается.
В статье рассказываем, влияет ли GDPR на развитие технологий, и какие уроки можно извлечь из его применения для российской кибербезопасности.
GDPR (General Data Protection Regulation) — это общий регламент ЕС о защите данных, который вступил в силу в 2018 году и заменил собой директиву 95/46/EC. GDPR направлен на защиту прав и свобод граждан ЕС в отношении их личных данных, обеспечивая прозрачность, контроль и право на доступ к информации. Основные цели GDPR:
GDPR влияет на все организации, обрабатывающие персональные данные граждан ЕС, вне зависимости от их местонахождения. Он устанавливает строгие правила и ответственность за нарушение закона.
GDPR — это не просто набор правил, а комплексный подход к защите персональных данных. В его основе лежат четыре ключевых принципа:
Опыт ЕС показывает, что GDPR не является тормозом для развития бизнеса, а, наоборот, способствует повышению доверия к компаниям и упрощает процесс обработки данных. Например, регламент стимулировал развитие новых технологий и услуг в сфере защиты данных, повысил осведомленность граждан о важности защиты их персональных данных и сформировал более прозрачное и эффективное взаимодействие между компаниями и регуляторами.
Сергей Коловангин
Начальник отдела информационных технологий ООО «Газинформсервис»
Обращая внимание на международный опыт защиты персональных данных, в частности, GDPR и аналогичные законы других стран, можно кое-что взять на вооружение. В первую очередь — используемый подход к самому процессу обработки ПДн. В российской действительности сложилась порочная практика со стороны операторов и надзорных органов. Они считают ключевым основанием для обработки ПДн согласие субъекта ПДн на обработку данных. Европейское же законодательство и правоприменительная практика считают согласие слабым основанием, так как субъект вправе отозвать его в любой момент. Поэтому Еврокомиссия и национальные регуляторы ЕС рекомендуют искать иные основания для обработки (наличие требований закона, наличие договора с субъектом, легитимный интерес оператора и т. д.) и только в их отсутствие прибегать к согласию. Такой подход существенно снижает организационные сложности по обработке ПДн для операторов.
Что характерно, каких-то усилий для этого нам прикладывать не требуется — такая возможность с самого начала предусмотрена статьей 6 ФЗ-152, но опасения ответственных лиц операторов заставляет их игнорировать положения законодательства и ориентироваться на рабочий подход проверяющих органов. Улучшения по этому вопросу возникнут только после решительной перестройки подходов к проверке со стороны надзорных органов. Разумеется, информация об этом должна быть явно доведена до всех заинтересованных сторон.
Также следует активнее перенимать практики по привлечению к ответственности нарушителей законодательства. Это касается повышения штрафов и неотвратимости самого наказания. Поэтому должны постоянно улучшаться и упрощаться способы обратной связи с субъектами ПДн и операторами, а также должен быть выстроен процесс оперативного реагирования на поступающие сигналы.
В условиях текущей сложной международной обстановки давно назрела необходимость перенять от GDPR несколько ключевых моментов, которые могут повысить эффективность защиты прав и интересов граждан России:
- Экстерриториальность применимости положений законодательства в области защиты ПДн как один из элементов системы противодействия международному мошенничеству с использованием ПДн граждан России.
- Максимально развернутое толкование самого понятия «персональные данные», которое включало бы не только явные сведения о человеке, но и косвенную информацию, позволяющую формировать цифровые профили субъектов с использованием big data и технологий ИИ, с целью совершенствования подходов по обеспечению их безопасности и конфиденциальности.
В России некоторые аспекты законодательства о защите данных могли бы быть улучшены. Например, можно усилить право на забывание, упростить процесс получения согласия на обработку данных и ввести отдельные правила для обработки специальных категорий данных.
GDPR представляет собой мощный инструмент повышения уровня кибербезопасности. Он стимулирует компании внимательнее относиться к защите информации, внедрять современные технологии и изменять свой подход к безопасности. Высокие штрафы за нарушение GDPR, до 4% от глобального оборота компании, заставляют европейский бизнес серьезно относиться к защите данных. Поэтому компании вкладывают средства в укрепление кибербезопасности, внедряют новые технологии и проводят регулярные аудиты безопасности.
GDPR повышает осведомленность сотрудников компаний о важности кибербезопасности и соблюдения правил обработки данных. Это приводит к уменьшению рисков утечки информации из-за человеческого фактора. Важно отметить, что европейский регламент поощряет разработку новых технологий и решений в сфере кибербезопасности, тем самым стимулируя появление более эффективных и надежных систем защиты данных.
Также GDPR формирует более тесное взаимодействие между компаниями и регуляторами в сфере кибербезопасности, что способствует быстрому и эффективному обмену информацией и сотрудничеству в борьбе с киберугрозами.
Примеры успешных практик:
Опыт ЕС показывает, что строгие правила и ответственность могут стать эффективным инструментом повышения уровня кибербезопасности. Россия может извлечь уроки из европейского опыта и внедрить более жесткие требования к защите данных, повысить ответственность за нарушения и стимулировать развитие отечественной индустрии кибербезопасности.
Это кажется удивительным, но GDPR не только устанавливает правила обработки данных, но и оказывает влияние на развитие технологий, стимулируя более ответственный и этический подход к использованию информации.
Алена Лукашева
Заместитель руководителя департамента аудита и консалтинга iTPROTECT
GDPR стимулирует создание более безопасных и надежных решений в сфере облачных сервисов и искусственного интеллекта. Для обеспечения защиты персональных данных создаются новые методы шифрования, аутентификации и т. д. GDPR требует от провайдеров облачных сервисов прозрачности обработки данных. Таким образом, организации, использующие облачные сервисы, должны обеспечить ясный порядок обработки и хранения данных и возможности его регулирования.
Но строгие требования к соответствию стандартам GDPR вынуждают компании тратить больше ресурсов, что может замедлить процесс внедрения новых технологий. Особенно это касается систем ИИ, которые спроектированы для сбора и анализа огромных объемов данных, включая персональные.
Использование ПДн в системах искусственного интеллекта должно иметь четкую правовую основу. Значительным аспектом, который выделяет GDPR, является риск дискриминации при использовании профилирования и автоматизированного принятия решений относительно субъекта персональных данных, что может ограничить использование этих технологий в некоторых областях.
GDPR был принят до широкого распространения искусственного интеллекта и технологий больших данных. Это привело к неясности и спорам относительно его применения. Регуляторам только предстоит издать конкретные принципы по применению GDPR в отношении ИИ и технологий больших данных.
GDPR оказывает значительное влияние на развитие технологий, стимулируя более ответственный и этический подход к обработке данных. Он не тормозит развитие инноваций, а, наоборот, способствует появлению новых технологий и решений, которые увеличивают уровень безопасности и конфиденциальности данных.
GDPR, безусловно, стал значимым шагом в защите персональных данных ЕС. Он предоставил людям больше контроля над своей информацией, усилил ответственность компаний за обработку данных и стимулировал развитие новых технологий в сфере кибербезопасности.
Ирина Якунина
Руководитель отдела консалтинга и аудита защиты информации в коммерческих и финансовых организациях системного интегратора по ИБ «Бастион»
Внедрение GDPR мотивировало контролеров обратить внимание на важность защиты ПДн и уделять ей не последнюю роль в построении бизнес-процессов компании, что значительно снизило риск утечек.
В России ожидается введение оборотных штрафов для организаций-операторов за нарушение законодательства и утечки ПДн субъектов. При этом текущие штрафы несопоставимы с ценой реализации систем защиты.
В итоге GDPR, как и другие аналоги законов о защите персональных данных — это не кандалы для инноваций, а инструмент для их ответственного и этического развития. Россия может извлечь уроки из опыта ЕС и внедрить более эффективные механизмы защиты данных, что позволит укрепить доверие к российским компаниям и стимулировать развитие отечественной индустрии цифровых технологий.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться