Главная » Хабрахабр » Пропущенный дедлайн, или почему больше половины компаний оказались не готовы к GDPR

Пропущенный дедлайн, или почему больше половины компаний оказались не готовы к GDPR

В последние дни на почту регулярно падают письма от разных компаний, приложений, сервисов и сайтов, которыми вы когда-либо пользовались или где заводили аккаунты. Письма примерно одинаковые — они сообщают об изменении политики конфиденциальности и разъясняют, как компания обрабатывает персональные данные.

Теперь разбираемся, почему десятки писем от многих сервисов начали приходить только сейчас, после формального дедлайна по GDPR, почему не все компании смогли своевременно подготовиться к переходу и с какими проблемами они столкнулись. Мы уже писали о том, что именно меняется в политиках обработки данных крупных IT-компаний: WhatsApp, Facebook, Instagram и Twitter.


/ фото Dennis van der Heijden CC BY

Что происходит

25 мая в силу вступил GDPR — Общий регламент по защите данных (General Data Protection Regulation). Он регламентирует защиту персональных данных жителей стран ЕС и заменяет собой Data Protection Directive, директиву от 1995 года.

GDPR затрагивает каждого, потому что распространяется не только на компании, зарегистрированные в Евросоюзе, а на всех, кто хранит, обрабатывает и использует ПД граждан ЕС.

Так же они смогут сами выбрать, готовы ли они делиться своей информацией для целей таргетированной рекламы, и если да, то какой именно. Заранее начали готовиться компании, бизнес-модели которых сильно зависят от работы с ПД — например, Facebook ещё до ввода GDPR рассказал, что будет сделано для соответствия новому регламенту: всем пользователям предложат пересмотреть свои настройки приватности. Кроме того, соцсеть планировала вернуть распознавание лиц, которое было отключено по решению суда, постановившего, что этот инструментарий соц.сети нарушает законы о персональных данных.

Ponemon Institute в апреле провёл опрос среди тысячи компаний, половина из которых призналась, что к дедлайну они не будут готовы. Но не все компании отнеслись к новому регламенту с таким же повышенным вниманием. Среди IT-компаний таких оказалось 60%.

Согласно опросу, проведенному европейской компанией TrustArc год назад среди двухсот бизнесов из разных стран и индустрий, 61% компаний тогда ещё даже не начали готовиться к GDPR. В итоге многие действительно не смогли выполнить требования регламента в срок — хотя дедлайн был известен уже давно (итоговый вариант GDPR был опубликован еще 2 года назад).


Почему так сложно соответствовать

Многие компании не успели к дедлайну не только потому, что решили отложить всё до последнего. Есть и несколько относительно объективных причин.

Закон очень сложный

И иногда он пересекается с локальными правовыми актами, касающимися обработки персональных данных. Юристы отмечают, что в предписаниях регулятора действительно очень сложно разобраться — и уж тем более перестроить свой бизнес так, чтобы им соответствовать.

Например, некоторые формулировки в ключевых для закона пунктах вызвали бурные дебаты: согласие на использование обычных персональных данных должно быть «unambiguous» (то есть недвусмысленным, понятным, однозначным), а согласие на использование «деликатных» персональных данных — «explicit» (четко обозначенным, исчерпывающим).

Вопрос вовсе не праздный — от правильного (с юридической точки зрения) ответа на него зависит, например, как можно и как нельзя оформлять в интерфейсах подписи к чекбоксам, отмечающие согласие пользователя на обработку ПД. Но есть ли разница между этими двумя определениями и, как следствие, двумя «согласиями», и если да, то какая и в чем она должна выражаться в приложении к практике?


/ изображение Giulia Forsythe PD

Отчасти поэтому многие части закона намеренно обтекаемы — что создает пространство для разнообразия его трактовок. Кроме того, закон не учитывает локальную специфику: например, у разных стран разное отношение к персональным данным.

А ещё некоторые пункты GDPR противоречат, например, российскому № 152-ФЗ «О персональных данных», что тоже создает трудности для российских компаний, которые так или иначе собирают и используют ПД европейских граждан.

Перестройка процессов

Причем не только с точки зрения технологий, но и с точки зрения бизнеса. Некоторые компании боятся, что, если они расскажут пользователям, как именно они пользуются их персональными данными, люди никогда им их не отдадут.

Поэтому подход, который внедрила Facebook для получения пользовательского разрешения, в итоге раскритиковали: весь путь пользователя мотивирует его побыстрее согласиться с новыми правилами и продолжать делиться своей информацией с сервисом.

Если на неё нажать, Facebook попробует сначала убедить пользователя оставить всё, как есть. Кнопка «Согласиться и продолжить» самая красивая и заметная, и вот противоположное решение выглядит уже сложно: «Управлять настройками данных». Кроме того, Facebook лишает пользователя возможности делиться какой-то личной информацией у себя на странице, но при этом не разрешить соцсети пользоваться этой информацией в рекламных целях.

Кроме того, у маленьких и средних бизнесов часто просто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях закона и сделать все необходимые приготовления — поэтому для них процесс приведения всех систем в соответствие с требованиями GDPR становится очень дорогостоящим.

Закон уже не учитывает новые технологии

Регламент разрабатывался и принимался несколько лет, поэтому многие представления о современном состоянии технологий в нем уже устарели: например, непонятно, что делать с Big Data и машинным обучением.

Иными словами, закон предписывает, что пользователь в любой момент может получить подробное объяснение механизма использования его персональной информации, чтобы принять информированное решение — соглашаться на это или нет. Так, GDPR требует прозрачности от алгоритмов машинного обучения — разработчики должны быть в состоянии объяснить, почему алгоритм принял то или иное решение.

Это не регулируется GDPR. В случае с алгоритмами на машинном обучении сделать это не так и просто — почему системы ИИ принимают именно это решение именно в этот момент иногда не могут объяснить даже его инженеры. И таких вещей будет становиться всё больше — закон придется постоянно обновлять, но на деле право будет всегда отставать от развития технологий.

Сложнее всего пришлось компаниям, которые разрабатывают умных ассистентов — Google Assistant, Alexa, Siri.

Технология по-прежнему несовершенна — например, не так давно Amazon столкнулись с неожиданной проблемой: Alexa периодически начинала смеяться, потому что разбирала в окружающей её речи фразу «Алекса, смейся». Эти сервисы всегда (пусть и в фоновом режиме) прослушивают всё, что происходит вокруг них — чтобы в нужный момент «проснуться» и выполнить команду по кодовому слову.

Формально умные ассистенты не записывают звук и никуда его не передают — но недавний случай с той же Alexa, которая из-за технического бага передала аудиозапись личного разговора жильцов дома одному из контактов в телефонной книге, показывает, что ситуации бывают разными. Звучит «смешно», но в рамках GDPR эта ситуация — серая зона, которую пока непонятно, как контролировать.

Сами разработчики Alexa пообещали улучшить алгоритмы распознавания голоса, чтобы такой маловероятный случай точно не повторился. В таких случаях все будет зависеть от того, пострадали ли в итоге пользователи или нет: например, если информация не была использована и сервис быстро «среагировал» и удалил её.


/ фото Oliver Henze CC BY-ND

Эксперты и журналисты сходятся во мнениях: вероятно, таким сервисам придется получать согласие от пользователей на то, что умный ассистент всегда слушает, всегда записывает и, возможно, передает информацию третьим лицам. Как работа таких сервисов будет регулироваться с точки зрения соответствия GDPR пока непонятно.

Что будет

Что ждёт компании, которые не успели привести бизнес-процессы в соответствие с законодательством или нарушили его? Некоторые считают, что 25 мая был «мягкий запуск», и регулятор не будет преследовать компании, не успевшие к дедлайну (особенно если у них будут на то объективные причины). Хотя штраф за несоответствие регламенту уже обозначен, и он весьма значительный — до 4% годовой выручки компании.

У самих пользователей тоже есть власть: например, они могут потребовать у сервиса получить, изменить или удалить всю свои ПД. Здесь есть, однако, затруднение — не весь контроль теперь лежит только на регуляторе. Если эти процессы не налажены и сервис чисто технически не сможет удовлетворить требованиям пользователя, появляется риск судебного разбирательства, которое пользователь вполне может выиграть.

Если такие исследования (подробные и детализированные) всё же появятся, они станут хорошей базой для доработки закона. Многие эксперты до сих пор считают, что рынок не сможет полностью соответствовать требованиям GDPR Как минимум потому, что сфера сильно недоисследована — закон, хоть и правильный в своих намерениях, не затрагивает многих важных случаев и способов использования и хранения персональных данных.

Если раньше управление персональными данными было «теневой составляющей» практически любого бизнеса, и компании могли распоряжаться ими, как им вздумается, то теперь пользователи наконец получили хоть какие-то инструменты для контроля над собственными данными в Сети. Тем не менее, появление GPDR — важный показатель смещения приоритетов.

S. P. О чем еще мы пишем в Первом блоге о корпоративном IaaS:

P.P.S. Несколько материалов по теме из нашего блога на Хабре:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Написание собственной работоспособной ОС за пол года

Предыстория Здравствуйте! Всех категорически приветствую, сегодня хотел бы рассказать Вам о своём опыте написание работоспособной ОС под архитектуру x86.Как-то весенней ночью у меня родилась гениальная идея — попробовать себя в написании собственной ОС, которая может позволить запускать программы, работать с ...

Разработка классов-дескрипторов на C++/CLI

Шаблон Basic Dispose в C++/CLI        1.     Введение    1. Определение деструктора и финализатора        1. 1. Использование семантики стека    2. 2. 1. Управляемые шаблоны        2. 2. Интеллектуальные указатели        2. 3. Пример использования        2. Блокировка финализаторов    Список литературы NET Framework — редко используется для разработки больших самостоятельных проектов. C++/CLI — один ...