GDPR: первые месяцы применения и что из этого следует

25 мая 2018 года GDPR вступил в силу. Прошло несколько месяцев - достаточно, чтобы стали видны первые паттерны: что компании поняли неверно, где возникают практические трудности, и что регулятор сигнализирует своими первыми действиями.

Я работаю с компаниями, которые либо обрабатывают данные европейских пользователей напрямую, либо используют европейские сервисы в своей инфраструктуре. И главный вывод, который я сделал за эти месяцы: большинство проблем возникают не там, где компании их ожидали.

Что понимают неверно

Самое распространённое заблуждение - думать, что GDPR это про юридические документы. Добавить согласие на куки, обновить политику конфиденциальности, собрать галочки - и готово.

Регламент требует другого: знать, где лежат персональные данные, иметь возможность их найти, выгрузить и удалить по запросу. Это технический и организационный вызов, а не юридический.

Компании, которые обрабатывали данные стихийно - когда данные пользователей расползлись по десятку систем, Excel-файлов и почтовых ящиков - обнаруживают, что не могут ответить на элементарный вопрос: где хранится информация о конкретном человеке?

Три практических проблемы

Отображение данных. Прежде чем что-то защищать, нужно знать, что у вас есть и где это лежит. Большинство компаний не имеют этого понимания. У них нет реестра обработки данных не потому что они ленивые, а потому что данные накапливались годами без документирования.

Право на удаление. Когда пользователь просит удалить свои данные, система должна это сделать - причём во всех местах, где данные есть. Если данные из CRM дублируются в аналитической базе, в резервных копиях и в почтовых рассылках - технически обеспечить удаление значительно сложнее, чем кажется.

Уведомление об инцидентах. GDPR требует уведомлять регулятора об утечке данных в течение 72 часов. Это означает, что у компании должен быть процесс обнаружения инцидента, его классификации и оповещения - причём работающий, а не написанный в документации для галочки.

Что меняет подход

Смотреть на GDPR только как на compliance-задачу - значит видеть лишь поверхность. Компании, которые относятся к нему серьёзно, используют его как повод сделать то, что давно нужно было сделать: разобраться, где и какие данные хранятся, установить ответственность за их корректность и безопасность.

Это полезно независимо от штрафов.

Практический фильтр

Несколько вопросов, которые стоит задать прямо сейчас:

1. Есть ли у нас реестр обработки данных - список систем, типов данных и оснований для обработки?
2. Если пользователь попросит показать все данные о себе - сможем ли мы собрать их за разумное время?
3. Если пользователь попросит удалить данные - есть ли у нас технический процесс, который охватывает все системы?
4. Есть ли у нас процесс реагирования на инциденты с персональными данными, и проверяли ли мы его?
5. Кто в компании отвечает за эти вопросы и принимает решения при конфликте интересов между продуктом и защитой данных?

Честные ответы на эти вопросы дадут более точную картину реального уровня готовности, чем любой юридический документ.