GDPR: надежный щит для данных или тяжкие кандалы для инноваций

Регламент ЕС о защите персональных данных (GDPR) вступил в силу в 2018 году и стал одним из самых строгих законов о защите информации в мире. Его влияние ощущается не только в Европе, но и в других странах, включая Россию, где дискуссия о необходимости улучшения защиты персональных данных активно продолжается.

В статье рассказываем, влияет ли GDPR на развитие технологий, и какие уроки можно извлечь из его применения для российской кибербезопасности.

Что такое GDPR и его цели

GDPR (General Data Protection Regulation) — это общий регламент ЕС о защите данных, который вступил в силу в 2018 году и заменил собой директиву 95/46/EC. GDPR направлен на защиту прав и свобод граждан ЕС в отношении их личных данных, обеспечивая прозрачность, контроль и право на доступ к информации. Основные цели GDPR:

1. Защита прав и свобод физических лиц в отношении обработки их персональных данных, включая право на доступ, исправление, удаление и ограничение обработки своих данных.
2. Гармонизация законодательства о защите данных для всех стран—членов Европейского Союза за счет упрощения процесса обработки данных для компаний, работающих в разных странах ЕС.
3. Повышение уровня доверия к онлайн-сервисам за счет увеличения прозрачности и ответственности компаний в отношении обработки данных.
4. Создание единого рынка данных, где они могут свободно перемещаться и использоваться в соответствии с законодательством.

GDPR влияет на все организации, обрабатывающие персональные данные граждан ЕС, вне зависимости от их местонахождения. Он устанавливает строгие правила и ответственность за нарушение закона.

Ключевые принципы GDPR

GDPR — это не просто набор правил, а комплексный подход к защите персональных данных. В его основе лежат четыре ключевых принципа:

1. Согласие. Обработка персональных данных возможна только с явного и информированного согласия субъекта данных. Это означает, что человек должен быть проинформирован о том, как его данные будут использоваться, и иметь право отказаться от их обработки. Это кардинально отличается от ситуации, когда компания автоматически собирает данные и только потом уведомляет пользователя, что они используются.
2. Прозрачность. Действия компании должны быть прозрачными в отношении того, как они обрабатывают персональные данные. Они должны предоставлять информацию о целях обработки, категориях данных, получателях данных, сроках хранения и правах субъекта данных. Такой подход повышает доверие пользователей к онлайн-сервисам.
3. Минимизация данных. GDPR требует от компаний собирать и обрабатывать только те персональные данные, которые необходимы для конкретной цели. Избыточный сбор данных запрещен.
4. Учет прав субъекта данных. Регламент ЕС предоставляет людям несколько прав, связанных с их данными: право на доступ к своим данным, на исправление неправильных данных, на удаление (право на забывание), на ограничение обработки и право на перенос данных. Эти права позволяют людям контролировать свою личную информацию.

Опыт ЕС показывает, что GDPR не является тормозом для развития бизнеса, а, наоборот, способствует повышению доверия к компаниям и упрощает процесс обработки данных. Например, регламент стимулировал развитие новых технологий и услуг в сфере защиты данных, повысил осведомленность граждан о важности защиты их персональных данных и сформировал более прозрачное и эффективное взаимодействие между компаниями и регуляторами.

Сергей Коловангин

Начальник отдела информационных технологий ООО «Газинформсервис»

Обращая внимание на международный опыт защиты персональных данных, в частности, GDPR и аналогичные законы других стран, можно кое-что взять на вооружение. В первую очередь — используемый подход к самому процессу обработки ПДн. В российской действительности сложилась порочная практика со стороны операторов и надзорных органов. Они считают ключевым основанием для обработки ПДн согласие субъекта ПДн на обработку данных. Европейское же законодательство и правоприменительная практика считают согласие слабым основанием, так как субъект вправе отозвать его в любой момент. Поэтому Еврокомиссия и национальные регуляторы ЕС рекомендуют искать иные основания для обработки (наличие требований закона, наличие договора с субъектом, легитимный интерес оператора и т. д.) и только в их отсутствие прибегать к согласию. Такой подход существенно снижает организационные сложности по обработке ПДн для операторов.

Что характерно, каких-то усилий для этого нам прикладывать не требуется — такая возможность с самого начала предусмотрена статьей 6 ФЗ-152, но опасения ответственных лиц операторов заставляет их игнорировать положения законодательства и ориентироваться на рабочий подход проверяющих органов. Улучшения по этому вопросу возникнут только после решительной перестройки подходов к проверке со стороны надзорных органов. Разумеется, информация об этом должна быть явно доведена до всех заинтересованных сторон.

Также следует активнее перенимать практики по привлечению к ответственности нарушителей законодательства. Это касается повышения штрафов и неотвратимости самого наказания. Поэтому должны постоянно улучшаться и упрощаться способы обратной связи с субъектами ПДн и операторами, а также должен быть выстроен процесс оперативного реагирования на поступающие сигналы.

В условиях текущей сложной международной обстановки давно назрела необходимость перенять от GDPR несколько ключевых моментов, которые могут повысить эффективность защиты прав и интересов граждан России:

1. Экстерриториальность применимости положений законодательства в области защиты ПДн как один из элементов системы противодействия международному мошенничеству с использованием ПДн граждан России.
2. Максимально развернутое толкование самого понятия «персональные данные», которое включало бы не только явные сведения о человеке, но и косвенную информацию, позволяющую формировать цифровые профили субъектов с использованием big data и технологий ИИ, с целью совершенствования подходов по обеспечению их безопасности и конфиденциальности.

В России некоторые аспекты законодательства о защите данных могли бы быть улучшены. Например, можно усилить право на забывание, упростить процесс получения согласия на обработку данных и ввести отдельные правила для обработки специальных категорий данных.

GDPR и кибербезопасность

GDPR представляет собой мощный инструмент повышения уровня кибербезопасности. Он стимулирует компании внимательнее относиться к защите информации, внедрять современные технологии и изменять свой подход к безопасности. Высокие штрафы за нарушение GDPR, до 4% от глобального оборота компании, заставляют европейский бизнес серьезно относиться к защите данных. Поэтому компании вкладывают средства в укрепление кибербезопасности, внедряют новые технологии и проводят регулярные аудиты безопасности.

GDPR повышает осведомленность сотрудников компаний о важности кибербезопасности и соблюдения правил обработки данных. Это приводит к уменьшению рисков утечки информации из-за человеческого фактора. Важно отметить, что европейский регламент поощряет разработку новых технологий и решений в сфере кибербезопасности, тем самым стимулируя появление более эффективных и надежных систем защиты данных.

Также GDPR формирует более тесное взаимодействие между компаниями и регуляторами в сфере кибербезопасности, что способствует быстрому и эффективному обмену информацией и сотрудничеству в борьбе с киберугрозами.

Примеры успешных практик:

• Внедрение систем управления доступом (IAM) для контроля доступа к данным и предотвращения несанкционированного доступа.
• Шифрование данных в процессе их передачи и хранения для снижения риска их кражи.
• Обучение сотрудников правилам кибербезопасности и обработки данных для минимизации риска утечки информации из-за некомпетентности или небрежности.
• Развитие систем обнаружения и предотвращения инцидентов (SIEM), чтобы быстро реагировать на киберугрозы.

Опыт ЕС показывает, что строгие правила и ответственность могут стать эффективным инструментом повышения уровня кибербезопасности. Россия может извлечь уроки из европейского опыта и внедрить более жесткие требования к защите данных, повысить ответственность за нарушения и стимулировать развитие отечественной индустрии кибербезопасности.

Влияние GDPR на технологии

Это кажется удивительным, но GDPR не только устанавливает правила обработки данных, но и оказывает влияние на развитие технологий, стимулируя более ответственный и этический подход к использованию информации.

Алена Лукашева

Заместитель руководителя департамента аудита и консалтинга iTPROTECT

GDPR стимулирует создание более безопасных и надежных решений в сфере облачных сервисов и искусственного интеллекта. Для обеспечения защиты персональных данных создаются новые методы шифрования, аутентификации и т. д. GDPR требует от провайдеров облачных сервисов прозрачности обработки данных. Таким образом, организации, использующие облачные сервисы, должны обеспечить ясный порядок обработки и хранения данных и возможности его регулирования.

Но строгие требования к соответствию стандартам GDPR вынуждают компании тратить больше ресурсов, что может замедлить процесс внедрения новых технологий. Особенно это касается систем ИИ, которые спроектированы для сбора и анализа огромных объемов данных, включая персональные.

Использование ПДн в системах искусственного интеллекта должно иметь четкую правовую основу. Значительным аспектом, который выделяет GDPR, является риск дискриминации при использовании профилирования и автоматизированного принятия решений относительно субъекта персональных данных, что может ограничить использование этих технологий в некоторых областях.

GDPR был принят до широкого распространения искусственного интеллекта и технологий больших данных. Это привело к неясности и спорам относительно его применения. Регуляторам только предстоит издать конкретные принципы по применению GDPR в отношении ИИ и технологий больших данных.

GDPR оказывает значительное влияние на развитие технологий, стимулируя более ответственный и этический подход к обработке данных. Он не тормозит развитие инноваций, а, наоборот, способствует появлению новых технологий и решений, которые увеличивают уровень безопасности и конфиденциальности данных.

Заключение

GDPR, безусловно, стал значимым шагом в защите персональных данных ЕС. Он предоставил людям больше контроля над своей информацией, усилил ответственность компаний за обработку данных и стимулировал развитие новых технологий в сфере кибербезопасности.

Ирина Якунина

Руководитель отдела консалтинга и аудита защиты информации в коммерческих и финансовых организациях системного интегратора по ИБ «Бастион»

Внедрение GDPR мотивировало контролеров обратить внимание на важность защиты ПДн и уделять ей не последнюю роль в построении бизнес-процессов компании, что значительно снизило риск утечек.

В России ожидается введение оборотных штрафов для организаций-операторов за нарушение законодательства и утечки ПДн субъектов. При этом текущие штрафы несопоставимы с ценой реализации систем защиты.

В итоге GDPR, как и другие аналоги законов о защите персональных данных — это не кандалы для инноваций, а инструмент для их ответственного и этического развития. Россия может извлечь уроки из опыта ЕС и внедрить более эффективные механизмы защиты данных, что позволит укрепить доверие к российским компаниям и стимулировать развитие отечественной индустрии цифровых технологий.