GDPR. Міфи про Загальний регламент захисту даних

About
Latest Posts

IT Business Analyst at eVolpe Consulting Group

W eVolpe pracuję od prawie 4 lat. Zajmuje się wdrażaniem biznesowego oprogramowania Open Source. Do moich zadań należą: analiza procesów biznesowych oraz doradztwo w zakresie odpowiedniej metodyki prowadzenia projektów. Miałam okazję współpracować z największymi polskimi i europejskimi przedsiębiorstwami. Każdy z projektów, w których brałam udział, buduje moje doświadczenie jako eksperta do spraw optymalizacji procesów biznesowych w systemach IT. Jeżeli aplikacja, z której korzystasz, nie odpowiada realiom Twojego biznesu – porozmawiajmy o tym, jak można to zmienić!

Міф 1 – GDPR є тим, чого варто боятися

До набуття чинності Загального регламенту ЄС про захист даних залишилося менше двох тижнів. За останні два роки, з моменту ухвалення регламенту (27 квітня 2016 року), навколо нього виросло багато міфів. Найбільше говорили про жахливі штрафи за недотримання зазначених у документі стандартів. Публікації, які заполонили ринок після рішення Європейського парламенту та Ради (ЄС), стосувалися насамперед цього питання; погрожуючи читачеві фінансовим штрафом у розмірі 4% річного світового обороту або 20 мільйонів євро. Це дійсно найвищий рівень адміністративного штрафу, передбачений постановою. Проте мало хто згадує, з чого починається знаменита стаття 83. .Ознайомившись з документом, ми знайдемо цілий перелік обставин, які необхідно врахувати перед призначенням будь-якого покарання. Якщо накладення адміністративного стягнення виявляється обґрунтованим, його розмір визначається відповідно до інкримінованих обробнику доводів. Хороша новина полягає в тому, що всі наявні пом’якшувальні фактори також враховуються. Перший міф, який потрібно розвіяти, це те, що GDPR призведе до розорення європейських підприємців і тому його варто побоюватися. Щоб це сталося, вони повинні діяти на шкоду особам, чиї персональні дані вони обробляють протягом тривалого часу, беззаперечно і свідомо. Ми не припускаємо, що хтось із наших читачів має намір такої поведінки. Тому немає причин піддаватися колективній паніці. Санкції, передбачені GDPR, мають бути пропорційними, ефективними та стримуючими без винятку та ніколи не накладатися безпосередньо, без попереднього аналізу конкретного випадку.

Міф 2 – GDPR – це революція

В Інтернеті можна прочитати, що GDPR запроваджує справжню революцію в захисті персональних даних і що підприємці повинні забути про все, що досі діяло в цьому питанні. Регламент суттєво накладає зобов’язання на контролерів даних та посилює їхню відповідальність за захист інформації. Однак зміни стосуються передусім документації, внутрішніх процедур, способу захисту даних (адекватного ризику) та обсягу відповідальності контролера та процесора. Загальні принципи обробки персональних даних, такі як законність, адекватність, цілісність, конфіденційність або обмеження обсягу даних, що збираються для обробки, були відомі та використовувалися набагато раніше.

Зрозуміло, що за ці роки багато змінилося в області обробки інформації. Тому правила довелося оновити. Технологічний прогрес, який ми спостерігаємо, означає, що обіг персональних даних більше не є лише сферою діяльності органів державної влади, банків чи великих корпорацій. Знаннями про нас також володіють і обробляють середні та малі підприємства, стартапи, які можуть навіть не мати фізичного місцезнаходження! Завдяки перевагам Інтернету ти можеш вести бізнес, найнявши фахівців з різних галузей і куточків світу. Як тоді контролювати безпеку циркулюючих даних? GDPR дає відповідь. Це допомагає запобігти кібертероризму, але, перш за все, дає громадянам ЄС реальний контроль над інформацією про них.

Одноголосно прийнявши положення GDPR, керівники ЄС висловили ідею розширення громадянських прав у віртуальному світі. Відправною точкою в роботі над регламентом став інший правовий акт ЄС – Директива 95/46/ЄС Європейського Парламенту та Ради від 24 жовтня 1995 р. про захист фізичних осіб щодо обробки персональних даних та вільного переміщення таких даних. Таким чином, було забезпечено спадкоємність законодавства та плавне впровадження вдосконалених положень. Тому це була радше еволюція, ніж революція.

революція “процес швидких змін у якійсь галузі”

еволюція «процес перетворення, перехід до більш складних станів»

Таким чином, можна вважати міф про раптове, імпульсивне впровадження нових норм розвінчаним. Насамкінець можна додати, що з моменту прийняття постанови у квітні 2016 року до дати набуття нею чинності пройде більше двох років. Тому підприємці отримали відносно багато часу, щоб підготуватися до цих змін.

Міф 3 – ІТ-система відповідає/не відповідає GDPR

Міф, з яким ми найчастіше маємо справу в eVolpe, пов’язаний із відповідністю (або невідповідністю) ІТ-системи чи будь-якого іншого інструменту положенням GDPR.

Виробник, постачальник програмного забезпечення або сама система, якою б великою вона не була, не несуть відповідальності за відповідність стандартам, викладеним у регламенті. Ці питання знаходяться на розсуд суб’єкта, який обробляє персональні дані, тобто. організація, яка їх використовує. ІТ-система може бути інструментом для досягнення відповідності GDPR, але це не її визначення. Будь-яка публікація, яка стверджує протилежне, є великим зловживанням. Таким чином, у контексті нових нормативних актів слід дотримуватися двостороннього підходу, тобто забезпечити синергію між правовим підходом та організаційною концепцією (включаючи ІТ-систему, але не тільки). Імплементація GDPR в частині отримання нового програмного забезпечення є безцільною та недостатньою. Необхідно: проаналізувати внутрішні процедури, адаптувати існуючі процеси до нового регламенту (обидва етапи найкраще робити у співпраці з юридичною фірмою), і лише в кінці – перевести отримані заявки в ІТ-систему.

ІТ-програмне забезпечення автоматизує повсякденну діяльність таким чином, щоб слідувати заданому шляху, але не забезпечує відповідності GDPR як такої. Тому найкращим варіантом є використання інструменту з відкритим кодом, де ти можеш вільно вносити зміни. До речі, варто звернути увагу на методологію agile впровадження, яка забезпечує гнучкий підхід і свободу вибору наступних елементів програмного забезпечення разом із розвитком організації чи змінами законодавства, як у випадку з GDPR.

Як зазначено вище, відповідність організації та її процедур GDPR буде оцінюватися в кожному конкретному випадку, оскільки схема обігу даних у кожному випадку виглядає дещо інакше. Страховому агентству потрібен, наприклад, реєстраційний номер транспортного засобу, який воно страхує, а потім пов’язує цю інформацію з персональними даними конкретного клієнта. Медичний заклад, пацієнтом якого є одна і та ж особа, обробляє зовсім іншу інформацію про них, наприклад історію хвороб, яка є більш описовою. Ймовірно, обидві організації використовують ІТ-систему, але якщо вони хочуть відповідати GDPR, їм слід підходити до цього питання індивідуально. Стандартний пакет модулів, полів або робочих процесів, запропонований виробниками коробкових рішень, скоріше непридатний в контексті спеціалізованого обслуговування клієнтів.

Кожен бізнес-процес, у якому обробляються персональні дані, має відповідати GDPR. Не існує жодної ІТ-системи, яка за своєю природою відповідала б GDPR. Однак його можна адаптувати, щоб служити компанії інструментом для досягнення цієї головної мети. Це перевага програмного забезпечення з відкритим кодом, оскільки його можна вільно налаштовувати.