Information Security
Legislation in IT
May 2018 21

Истерия вокруг GDPR

Original author: Jacques Mattheij
Translation
Статья опубликована 18 мая 2018 года

Уже через неделю GDPR или Общий регламент по защите данных станет обязательным к исполнению. Похоже, что в отличие от любого другого современного закона у GDPR проявился интересный побочный эффект — он вызвал массовую истерию в обычно рациональном технологическом секторе.

Эта статья является попыткой успокоить нервы тех, кто чувствует, что (их) мир на грани краха. Вообще, когда дело доходит до каких-либо законов, в том числе этого, главный принцип — Don't Panic. Статья предназначена конкретно для владельцев маленьких и средних компаний, которые активны в интернете и сейчас оказались немного в шоке.

Немного о себе: я около десяти лет занимаюсь технической экспертизой для сделок M&A (с командой из восьми человек). Этот опыт, а также убеждённость, что за конфиденциальность в интернете стоит бороться, привели меня к детальному изучению политики конфиденциальности в Сети. В итоге я сейчас отлично понимаю воздействие GDPR и вижу, как компаниям реагировать на новые правила.

Для начала: каждая компания, каждый проект или хобби обязаны соответствовать закону. Возможность этого обычно зависит от того, что вы делаете, от вашего местного законодательства и, очевидно, от самих законов. Не имеет значения, вы работаете ради прибыли или для удовольствия, зарабатываете копейки или миллиарды долларов, имея десятки тысяч сотрудников. Соблюдение закона — норма. Если вы ведёте бизнес за рубежом, то возможно, придётся соблюдать законы другой страны. А учитывая транснациональный характер веба, есть довольно высокая вероятность, что ваш маленький домен затронут законы нескольких юрисдикций. Для людей из относительно незначительных стран (с точки зрения властей остального мира) это не новость. На них уже влияют законы могущественных государств и поэтому они, вероятно, хорошо приспособились. А вот для жителей крупных стран, которые раньше могли игнорировать чужие законы, тут новая ситуация, которая может потребовать некоторого нового уровня понимания.

Самый простой способ прийти к этому пониманию — осознать факт, что вы и сейчас обязаны соответствовать большому количеству законов, чтобы иметь возможность работать на европейском рынке. Даже ларёк с лимонадом обязан соответствовать следующему законодательству:

  • законы о безопасности пищевых продуктов
  • законы коммерческой деятельности
  • муниципальное право
  • административное право
  • трудовое законодательство
  • возможно, и другие нормативные акты

Так что и раньше ничто не давалось просто. Сейчас до кучи добавился ещё один закон — и это не конец света. Статья не предназначена для крупных компаний, а я не юрист (да, это один из тех скучных отказов от ответственности), текст написан не на юридическом языке. Однако будут некоторые юридические термины из GDPR, которые я не смогу обойти. Определения этих терминов будут даваться сразу при первом упоминании, а для дополнительной информации пользуйтесь вашей любимой (обязательно GDPR-совместимой) поисковой системой.

Первое, что нужно понять в терминах GDPR, это формулировка «один закон для всех». GDPR написан для замены своего предшественника DPD (Европейская директива по защите данных, European Data Privacy Directive). У неё был досадный недостаток — это беззубая директива, а не жёсткое регулирование. Поэтому её практически все игнорировали. Старая история: сначала происходит саморегулирование, если оно не работает — появляется директива, и если по-прежнему нет эффекта, то наконец выходит закон с наказанием за несоблюдение. Как гласит надпись на вывеске с картой: «Вы находитесь здесь!». Теперь ровно через семь дней у нас вступит в силу закон, который уже будет жёстким и который вы — для разнообразия — не сможете игнорировать.

Почему поднялась паника? Я видел много разных объяснений, но большинство из них вращается вокруг довольно ограниченного числа заблуждений. Попытаюсь рассмотреть их одно за другим с точки зрения владельца малого бизнеса, чтобы снизить эмоциональный фон до какого-нибудь приемлемого уровня. Сначала нужно развенчать заблуждения — это позволит более подробно сосредоточиться на том, что на самом деле имеет значение.

  • Мне выставят штраф до 20 млн евро за малейшее нарушение GDPR

Ну, GDPR действительно имеет потенциал эскалации до такого уровня, но в духе добродушных европейских правоприменителей из различных агентств сначала предупредить, что вы не соблюдаете закон, дать некоторый период времени на устранение недостатков, а если вы игнорируете их — оштрафовать. Этот штраф будет пропорционален преступлению. Конечно, вы можете проигнорировать штраф, и тогда последствия непредсказуемы, но если вы его заплатили и устранили недостатки, можете считать вопрос закрытым. Типичная практика ЕС в случае повторных нарушений по одному и тому же вопросу — увеличение штрафа. Он быстро может увеличиться, так что большинство компаний, как правило, оперативно исправляют проблему, как только их оштрафовали в первый раз. Я уверен, что всё будет происходить именно так, потому что так всё работало до сих пор. Каждое взаимодействие с агентствами по защите данных происходит по одинаковой схеме: предупреждение, штраф, увеличение штрафа. Неизвестно ни одного случая — я хотел бы удивиться, но не могу найти ни одного — когда на компанию накладывают огромный штраф, не предоставив возможность приведения бизнеса в соответствие с законом.

Отметим, что 20 млн евро или 4% от мирового оборота — это максимальный штраф. Конкретно он определяется как «штраф в размере до €20 млн или 4% от годового мирового оборота за предыдущий финансовый год для предприятия, в зависимости от того, что больше». Максимальный штраф введён для гарантии, что гиганты вроде Facebook и Google не проигнорируют закон, просто заплатив штраф и продолжая прежнюю практику. Ни в коем случае не следует думать, что вам, владельцу малого бизнеса, выпишут штраф в 20 миллионов за каждое найденное нарушение.

  • GDPR позволит кому угодно подать на меня в суд, даже из-за рубежа

По GDPR такое невозможно, но вам может быть интересно узнать, что и сейчас кто угодно может подать в суд на вас или ваш бизнес по любой причине. Это прямое следствие коммерческой деятельности и не имеет никакого отношения к конкретному закону. GDPR позволяет частным лицам обращаться к своим регуляторам и жаловаться, если вы решите игнорировать их запросы. Поэтому если Джон Доу попросил, чтобы его данные удалили с вашего сервера, а вы отправили его к чёрту, Джон имеет право предупредить своего регулятора о вероятности несоблюдения вами GDPR. Если организация по защите данных в стране Джона посчитает, что это имеет смысл, то отправит вам письмо, упомянутое выше. Если нет, вы никогда не услышите о них. Агентства по защите данных будут функционировать в качестве координационных центров-посредников. Если вы считаете, что это избирательное правоприменение, то должны быть рады новому закону: с введением функции посредников значительно снижается бремя регулирования. Эта норма гарантирует, что граждане не смогут использовать GDPR для преследования предприятий. Вводится некий барьер перед принятием решения.

  • Штрафы драконовского размера выносятся без предупреждения

Нет, штрафы будут пропорциональными и взиматься только после того, как компании дали возможность исправиться. Так было во всех законах ЕС относительно конфиденциальности, и этот не будет отличаться. Регулирующие органы ЕС считают своей миссией обеспечить соблюдение закона, а не создать источник дохода.

  • GDPR потребует рассмотрения жалоб/документов на 28 разных языках

Текст GDPR доступен на английском языке, типичный регулятор отправит вам уведомление на языке, который вы можете понять. Так происходит со всеми юридическими вопросами в ЕС, от дорожных штрафов до закона «Об авторском праве» и всего остального. Если ЕС хоть с чем-то хорошо справляется, так это с работой на разных языках. Таким образом, если вы получите какие-то документы, они будут на языке, который вы можете прочитать, а если не можете, то вам будет доступен английский перевод. Вот кстати пример: в прошлом году в Париже мне выписали штраф за парковку: я оставил автомобиль не на той стороне дороги в определённый день. Я припарковался в понедельник на правильной стороне, но, видимо, во вторник нужно было ставить свой автомобиль уже с другой стороны, а я как глупый турист подумал, что всё нормально, потому что все остальные тоже там парковались. Через несколько дней я получил по почте свой талон с французским текстом, английским текстом и — что самое удивительное — идеально сформулированным голландским текстом с инструкциями, как подать в суд, если я хочу оспорить штраф, и инструкциями по уплате штрафа, если я не хочу его оспаривать.

  • GDPR потребует нанимать персонал, и моя организация слишком мала, чтобы позволить себе это

Нет, GDPR требует назначить определённые должности для гарантии, что кто-то отвечает за конфиденциальность данных.

  • Безликие бюрократы будут использовать избирательное правоприменение GDPR для наполнения казны ЕС за счёт иностранных компаний

ЕС склонен использовать штрафы как средство принуждения компании к соблюдению закона. Если компания крупная, с крупными европейскими представительствами или используют ЕС для ухода от налогов, то она справедливо беспокоится об этом конкретном аспекте, особенно если она построила свой бизнес на массивных базах данных с профилями граждан ЕС. Если это не вы, то скорее всего можете игнорировать этот аспект законодательства ЕС. Но если вы — Марк Цукерберг, то я бы определённо не советовал игнорировать его. Впрочем, шансы Марка прочитать эту статью в моём в блоге равны нулю.

  • ЕС слишком далеко. Как иностранец я просто соблюдаю мои местные законы и игнорирую остальное

Как только вы начинаете вести бизнес за границей, вам придётся соблюдать законы этих стран. Возможно, вы надеялись на что-то иное, но так было всегда. Для физических продуктов есть различные органы, которые обеспечивают соблюдение законов в других странах, включая правила производства, транспортировки, хранения, состав ингредиентов (вплоть до их происхождения) и так далее, в зависимости от контекста и характера вашего бизнеса. Для онлайн-бизнеса ситуация никогда не отличалось. Например, вы должны соблюдать закон «Об авторском праве», законы об азартных играх в интернете, DMCA и множество других законов, которые по существу местные по своей природе (хотя законы об авторском праве давно приведены в соответствие в разных странах, что упрощает ситуацию).

  • Обработка всех этих запросов от конечных пользователей станет огромной нагрузкой

Тогда автоматизируйте их. Если вы раньше смогли автоматизировать сбор данных, то определённо можете автоматизировать остальную часть жизненного цикла. Когда речь идёт о получении сочных кусочков данных, компании не испытывают никаких непреодолимых технических проблем, а как только речь идёт об их удалении — мы внезапно возвращаемся в каменный век и начинаем вручную удалять данные, как ремесленник с зубилом и молотком, и даже для маленького сайта работа якобы займёт десятилетия. Это лукавые аргументы, и если человек такое говорит, то в целом выглядит довольно глупо, ведь никто никогда не жаловался на сбор данных. На самом деле есть целые армии программистов, упорно работающих, чтобы очистить данные с публичных веб-сайтов, а это намного больше работы, чем правильно налаженный жизненный цикл этих данных после сбора. Так что да, это бремя. Но нет, бремя не огромно, если вы явно не сделаете его таковым, но это ваша проблема.

  • Закон внезапно свалился на нас, нет абсолютно никакого способа подготовиться к нему за неделю

На данный момент закон действует более двух лет, и DPD — Европейская директива о защите данных — действует более двух десятилетий. Так что нет, этот закон ни на кого не свалился, хотя вполне возможно, что вы узнали о нём только несколько недель или месяцев (или дней?) назад. Если так, всё равно не паникуйте. Скорее всего, у вас всё будет в порядке.

  • Невозможно соответствовать этому закону

Ну, мой сайт полностью соответствует закону, так что хотя бы здесь закон, кажется, работает. Почему? Потому что я не храню никакой информации о вас. Это сознательный выбор с моей стороны, который я сделал задолго до того, как GDPR вообще начали обсуждать. Но если у вас более сложная ситуация, вы тоже можете стать совместимыми или, по крайней мере, — и это главное — вы можете попытаться. Например, часто приводят аргумент, что ни один веб-сервер (или даже интернет-сервис) не сможет быть совместимым, потому что все веб-серверы регистрируют IP-адреса, а IP-адреса являются PII. Но этот аргумент не выдерживает критики. Есть несколько причин, вот основные: веб-серверы регистрируют только IP-адреса, если вы так их настроили. Почти у всех веб-серверов есть опция форматирования, которая определяет, что именно регистрируется — и вы можете настроить свой веб-сервер, чтобы регистрировать не весь адрес, а только маску сети. У вас также есть возможность вести логи и раскрыть в политике конфиденциальности, что вы делаете это. Но тогда придётся разрешить удаление этих данных по запросу, что может оказаться обременительным (или нет, это зависит от объёма таких запросов). Наконец, у вас может быть законная причина для регистрации IP-адресов при условии, что вы удаляете их после использования. GDPR позволяет хранить адрес в течение 30 дней с возможным продлением ещё на 60 дней, после чего пользователю высылается автоматический ответ, что его IP-адрес удалён — этого достаточно для соответствия закону. Это одна из причин, почему я думаю, что GDPR — удивительно хороший закон. В большинстве случаев законы о технологиях в итоге абсолютно неработоспособны, а здесь большинство сценариев, похоже, хорошо работают для всех участвующих сторон.

  • Соблюдение этого закона приведет к тому, что мой бизнес станет убыточным

Мне ужасно жаль это слышать. Но подумайте вот о чём: закон написан с явной целью обуздать некоторые из самых серьёзных нарушений конфиденциальности граждан ЕС в интернете. Если соблюдение закона приведёт к тому, что ваш бизнес станет убыточным, то это как будто признаться, что ваш бизнес построен на грубых нарушениях конфиденциальности. Если такова реальная бизнес-модель, то скатертью дорога вам и вашей компании. Но если бизнес-модель не такая, то скорее всего всё у вас будет в порядке.

  • Это несправедливо: у меня нет представительства в ЕС, потому что я не оттуда, почему моя компания должна соответствовать?

Потому что вы хотите вести бизнес в ЕС. Для этого создано много законов с трансграничным действием, но гармонизация законодательства между странами показывает, что люди не всегда понимают трансграничную природу законов. DMCA — хороший пример. Кроме того, конфиденциальность является довольно горячей темой, а среди правозащитников есть надежда, что ЕС здесь прокладывает путь, а остальные страны последуют примеру.

Тот факт, что у вас или вашей компании нет представительства в ЕС, не означает, что вы можете игнорировать закон. Если бы вы могли его игнорировать, это автоматически поставило бы в невыгодное положение тех, кто играет по правилам. Вы игнорируете закон на свой страх и риск.

  • Я не хочу, чтобы меня арестовали за нарушения GDPR, когда я поеду в отпуск в Европу (да, я действительно видел такое)

Это настолько притянуто за уши, что просто смешно. ЕС не действует таким образом, и вообще, зачем вам сознательно нарушать закон и продолжать это делать после того, как вы об этом узнали? Я ещё не слышал ни об одном человеке, которого за завтраком в постели французской гостиницы во время заслуженного отпуска подняли и увели в наручниках. Возможно, вы будете первым. Если такое случится, дайте знать — я навещу вас в тюрьме, а может даже перечислю несколько долларов в фонд защиты. (Извините за легкомысленный тон в этом разделе, но меня действительно раздражают такие опасения. Единственный такой случай, о котором я знаю, был американский арест Дэвида Карратерса из betonsports.com). [Вероятно, автор не знает о многочисленных задержаниях российских хакеров во время отдыха за границей — прим. пер.]

  • Мой бизнес не может соответствовать этому драконовскому и обременительному закону

В этом случае, пожалуйста, закройте сайт или не обслуживайте клиентов из ЕС. Но имейте в виду, что 1) вы оставляете хорошее поле для конкурента и 2) вероятно, вы занимаетесь чем-то таким, чем не следует, так что я бы сказал, что закон работает по назначению.

  • Закон настолько сложен, что его невозможно понять

С выходом этого закона меня на самом деле удивило, насколько легко он читается. Он не особенно большой и использует в основном простой язык, и обычно (но не всегда, и это обоснованная жалоба) определяет термины. Это особенно раздражает (что понятно) в определениях того, какого размера компания должна принять определённые меры. Я понимаю жалобы и понимаю позицию законодателей — вероятно, это можно было прописать более чётко. Но были веские причины оставить именно такие формулировки, о причинах чего я надеюсь рассказать позже.

  • Я не могу позволить себе риски, связанные с этим законом, поэтому закрою сайт или буду блокировать европейцев

Ладно. До свидания. Но убедитесь, что вы действительно понимаете риски. И поймите, пожалуйста, что надёжно заблокировать европейцев и выйти из-под действия этого закона может оказаться сложно. Нужно понимать, что для вас могут действовать многие другие европейские законы. В этом отношении новый закон ничем не отличается от других. За использование интернета в качестве глобальной мировой площадки вы платите тем, что взаимодействуете с юрисдикцией каждой страны, где ведёте бизнес.

  • Для пользователей должна быть предусмотрена возможность отказаться от соблюдения закона, чтобы я мог его игнорировать

На этот раз законодатели поняли потенциальную проблему — и фактически предупредили её. Подозреваю, что фиаско «закона о кукисах» заставило их понять, что компании совершенно не стесняются в таких вещах — и с радостью шантажируют пользователей, заставляя их соглашаться с тем, с чем те предпочли бы не соглашаться, ради возможности онлайн-взаимодействия.

  • Для крупных компаний нагрузка управляема, для малых — слишком тяжела

Из того, что я за последние пару лет видел в своей практике, бремя примерно пропорционально трём вещам:

  1. Объём данных в вашем распоряжении.
  2. Количество сотрудников в вашей компании.
  3. Тип данных, которыми вы распоряжаетесь.

По сути, бремя большой компании, владеющей огромными объёмами конфиденциальных данных, скорее всего, будет очень большим. Нагрузка на небольшую компанию, владеющую небольшими объёмами данных, не являющихся конфиденциальными, будет очень низкой или даже нулевой.

  • Никто не знает, что на самом деле означает GDPR

Текст легко доступен. Хотя и в самом деле пока нет полноценных программ сертификации, но со временем они тоже появятся. В некотором смысле таких программ не хватает: было бы неплохо иметь возможность сказать: «Мы соответствуем закону, потому что у нас есть значок от такого-то сертификационного органа». Но в то же время отсутствие сертификационных требований на самом деле сделано с дальним прицелом — ради снижения нагрузки на небольшие компании.

В любом случае, теперь вы поняли суть. Каждое из этих заблуждений похоже на сухие щепки в руках тех, кто хочет сжечь GDPR на старом добром костре — он подстрекает панику у других и в целом не способствует обсуждению. Как правило, заявления делаются людьми, которые действительно не в теме или чей бизнес зависит от возможности нарушать частную жизнь других людей. Они надеются, что разжигая этот огонь смогут поднять волну против GDPR, хотят поиграть в политику. Как всем известно, в наше время политика действует в области, где факты отсутствуют, так что всё по плану. С учётом этого давайте посмотрим на некоторые реальные последствия GDPR, на каком уровне вы наиболее вероятно столкнётесь с требованиями закона и как, по моему мнению, будет развиваться ситуация.

«Истерия вокруг GDPR, часть 2. Полезные советы»

+30
33.3k 63
Support the author
Comments 103
Top of the day