Зачем нужен GDPR?

Зачем понадобилось принятие GDPR? Почему Регламент распространяется на весь мир? Для чего нужно подобное регулирование?

Консультанты Data Privacy Office много раз слышали эти вопросы. Время ответить на них.

Начнем с вопроса, зачем было нужно принятие GDPR. С момента появления “Интернета вещей” и вступления в силу Регламента, реалии жизни сильно изменились. Миллионы терабайтов персональных данных оказались в открытом доступе в сети. Люди перестали чувствовать себя безопасно. За ними, их ежедневным выбором, предпочтениями и личными данными стали охотятся сотни, если даже не тысячи компаний.

И в данной охоте у крупных компаний действует правило, что выигрывает тот, кто получает большую часть возможной личной информации и максимально эффективно манипулирует сознанием, страхами, желаниями, потребностями людей. Те же, кто отказываются это делать, в том числе по моральным соображениям, рискуют проиграть и уйти с рынка.

Так сформировалась общемировая тенденция: если бизнес хочет стремительно развиваться, то должен стать дата-ориентированным: собирать, накапливать персональные данные, придумывать новые способы и цели для их использования. Затем на эту компанию смотрят другие игроки рынка и начинают собирать еще больше, превращая это в конкурентное преимущество. В результате все в игре, хотя и не собирались.

Это усугублялось тем, что до Регламента правила о заботливом использовании персональных данных было “дешевле” нарушать, ведь штрафы применялись редко и в маленьких размерах. Поэтому внедрять систему защиты персональных данных оказывалось невыгодным, да и стоимость выставлялась неподъемная.

После того, как Регламент вступил в действие, изменили некоторые правила работы с персональными данными и увеличили штрафы. Стало выгоднее сразу предусматривать бюджет на заботу о пользователях: оберегать их от возможных рисков, которые связаны с использованием их персональных данных. Тем более, часы профессиональных консультантов стали более доступными по цене. Конечно, некоторые компании продолжают действовать по старой схеме, где персональные данные рассматриваются только как актив, но не как риск. 

Правда, сейчас правила игры кардинально поменялись. В долгосрочной перспективе выживут лишь те компании, которые перестроятся, продолжив собирать только необходимые данные, при этом, не создавая угрозы для людей, которые их доверили организации.

Поэтому европейские избиратели, сталкиваясь с этими постоянными и грубыми нарушениями своего права на приватность, голосовали за те партии и тех политиков, которые предлагали проводить более строгую политику в отношении компаний-нарушителей. В результате принятие Регламента не остановили даже лоббисты транснациональных корпораций, которые пытались сделать так, чтобы Регламент был мягче либо чтобы он и вовсе не был принят.

Регламент — логичное продолжение прежнего законодательства Евросоюза, поскольку создать более эффективный механизм регулирования приватности сложно. GDPR изменил некоторые ключевые моменты в сфере обработки персональных данных и увеличил стоимость нарушения правил. 

Таким образом, когда Европейский Союз ратифицировал Регламент, у остальных стран не осталось других вариантов, кроме как, следовать общему тренду защиты приватности и вводить схожие законы. При этом, другие страны стали так быстро развивать свое законодательство о праве информационной приватности и заставлять бизнес оберегать персональные данные клиентов вовсе не по воле избирателей. В большинстве случаев, это произошло благодаря лоббированию бизнеса. Когда такой крупный агломерат стран, как Европейский союз, принял нормы поведения, многие страны, которые торгуют и работают с Европейским Союзом, испытали на себе шок. Государства были поставлены перед выбором: либо вводить схожее законодательство с тем, чтобы между правовыми системами не росла пропасть, либо полностью потерять европейский рынок, поскольку беспрепятственно пользоваться персональными данными субъектов из Еврозоны уже нельзя.

GDPR в 44 статье ввел ограничения на передачу персональных данных субъектов за пределы Европейского Союза. Поэтому компании, которые зарабатывали благодаря использованию персональных данных, были вынуждены соответствовать Регламенту, чтобы сохранить свой бизнес. Государства, желающие сотрудничать с Евросоюзом, начали экстренно вводить законодательство, обеспечивающее строгую защиту персональных данных. Рано или поздно практически все страны введут похожие законодательства. 

Сегодня сложно оценивать распространяющийся на весь мир тренд ужесточения законодательства о защите приватности. С одной стороны, есть компании, которые получают выгоду из обработки персональных данных — это весь консалтинг, IT, финтех, продуктовые, транспортные и логистические компании, медицинские и страховые услуги и другие. С другой стороны, абсолютно каждый из нас — субъект персональных данных. И каждый из нас заинтересован, чтобы его личная информация была защищена от незаконных посягательств.