DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Как IT проекту не влететь на €20M за нарушения GDPR и 3 способа проверить свой Compliance

 

Сергей Воронкевич, основатель компании Data Privacy Office, тренер и ведущий консультант по защите персональных данных согласно GDPR (CIPP/E, CIPM, FIP, MBA), рассказал Kraftblick.Media, зачем IT компаниям соблюдать Общий регламент защиты персональных данных при разработке, чем грозит его нарушение, как оценить свой проект с точки зрения GDPR и нивелировать риски.

 

Источник: https://kraftblick.media/kak-it-proetu-ne-vletet-na-20m-za-narusheniya-gdpr-i-3-sposoba-proverit-svoi-compliance/?fbclid=IwAR0HawxPvB170uvvYVAIlMJrwPbInJTOTnzG1V1F4GWMov6YClW3T4jJJEY

 


 

Зачем IT компаниям соблюдать GDPR при разработке и чем они рискуют при его несоблюдении

 

GDPR (Общий регламент защиты персональных данных) — это закон Европейского Союза, который вступил в силу в мае 2018 года. Зачем IT компаниям его соблюдать? Если вкратце, то чтобы продавать. Если ваша компания хочет самостоятельно продавать софт в Евросоюзе или иметь отношения с европейскими партнерами, без соблюдения Общего регламента защиты данных не обойтись.

Конечно, GDPR в первую очередь пугает своими штрафами — до €20M либо до 4% от оборота средств компании. Но в отличие от штрафа, который еще может быть и не выписан, есть гораздо более реальные и неизбежные последствия. Даже если первый и второй раз вас не поймают, в Европе системы регулирования и судов настроены так, чтобы нарушители правил приватности недолго оставались на рынке. Поэтому рано или поздно и вам туда доступ будет закрыт по предписанию какого-либо из надзорных органов.

Отказ в размещении продукта со стороны цифровых магазинов сегодня тоже является вполне реальной перспективой. К примеру, у Google Play и у App Store уже есть критерии по соответствию приложений GDPR. И хотя пока площадки не предъявляют всех требований по Регламенту, они постепенно меняют свои правила, понимая, что тоже получают дополнительные риски, размещая проблемные продукты. Еще одним последствием, и возможно самым серьезным, может стать полный отказ западных партнеров работать с вашей компанией.

К примеру, потенциальные клиенты могут отказываться от заключения сделок, а инвесторы могут отказываться вкладываться в ваш продукт, считая его “рискованным активом”.

 

Что на практике чаще всего случается, если продукт нарушает GDPR?

 

Не считая штрафов, есть масса механизмов помешать бизнесу работать на рынке.

Большая часть негативных последствий, будь то зарубленные проекты или отказы в сотрудничестве, происходит незаметно для СМИ и общественности.

Приведу пример. У вас IT стартап, вы приходите к инвестору и рассказываете свою идею: “Вот у меня такой классный продукт, он позволяет взять контакты из мобильных устройств одних пользователей и объединить в одну большую базу.  Потом мы обогащаем эти контакты фотографиями, сводим разные телефонные номера — и даем другим пользователям полное досье на отдельного абонента”. Инвестор вполне резонно ответит: “Друзья мои, я не буду вкладывать свои деньги в этот продукт. Да, use case понятен, идея интересная, на ней можно даже хорошо заработать, но есть большие риски”. Фактически ваша бизнес-идея нарушает приватность людей, и поэтому с точки зрения инвестора продукт будет стопроцентным фейлом.

Более того, поддержав вас, инвестор может подвергнуть и себя опасности. Его компанию могут посчитать совместным контролёром, ведь он как бы с вами контролирует процесс обмена данными. Поэтому ему также придется заплатить штраф. И если, допустим, оборот компании инвестора составляет €1B, максимальный штраф будет равен €40М, а не €20М, как для меньшей компании.

А какой потенциальный доход может быть у приложения? Ну пускай €100k. Смысл тогда связываться инвестору с таким рискованным проектом? Вот ваш стартап и заглох. Хотя об этой ситуации даже не напишут в новостях, о ней не узнают никакие надзорные органы, а все случится уже на стадии бизнес-идеи.

 

Как IT проекту не влететь на €20M за нарушения GDPR и 3 способа проверить свой Compliance

 

А дает ли сейчас соблюдение GDPR какие-то преимущества?

 

Рынок, будучи защищенным от нарушающих GDPR компаний, становится более здоровым. И у тех продуктов, которые могут выполнить все условия Регламента, повышаются маржинальность и охват, ведь весь рынок открыт перед ними.

Второй плюс — улучшение репутации и имиджа. Все чаще пользователи думают: “А куда моя информация будет уходить?”

Например я, как человек находящийся в Беларуси, перестал использовать многие сервисы, использующие мою геолокацию и другие данные. Из подобных соображений и европейцы отказываются использовать те или иные продукты. Так из-за недоверия к сервисам кто-то может опасаться, что его данные могут попасть к страховщикам, спецслужбам, маркетологам, да кому угодно, и это все в итоге влияет на доходы компаний-разработчиков. Другое дело, когда ваш продукт показывает, что он этично и с заботой относится к пользовательским данным, что они не являются товаром. Так вы получаете лояльных пользователей, которые часто даже будут готовы заплатить больше по сравнению с продуктом вашего конкурента, который не дает этой безопасности.

 

Полный текст статьи доступен при платной подписке на Kraftblick.Media.

Расписание курсов загружается, подожди несколько секунд