Зачем нужен GDPR?

Консультанты Data Privacy Office довольно часто сталкиваются с вопросами: зачем понадобилось принятие GDPR, почему Регламент распространяется на весь мир, для чего нужно подобное регулирование?

К слову, ответы на все эти вопросы и не только вы можете узнать на GDPR DPP, онлайн-курсе по защите персональных данных от сертифицированного специалиста по информационной приватности Сергея Воронкевича, CIPP/E, CIPM, CIPT, MBA, FIP. Старт: 15 февраля. Будет много полезного контента, практики и никакой воды!

Начнем с вопроса, зачем было нужно принятие GDPR. С момента появления “Интернета вещей” и вступления в силу Регламента, реалии жизни сильно изменились. Миллионы терабайтов персональных данных оказались в открытом доступе. Люди перестали чувствовать себя в безопасности, ведь за их личными данными стали охотятся сотни, если даже не тысячи компаний.

И в этой охоте у крупных компаний действовало правило: "Выигрывает тот, кто получает большую часть возможной личной информации и максимально эффективно манипулирует сознанием, страхами, желаниями, потребностями людей. Те же, кто отказываются это делать, в том числе по моральным соображениям, рискуют проиграть и уйти с рынка".

Так сформировалась общемировая тенденция: если бизнес хочет стремительно развиваться, то должен стать дата-ориентированным, то есть собирать, накапливать персональные данные, придумывать новые способы и цели для их использования. На эту компанию смотрят другие игроки рынка и начинают собирать еще больше информации, превращая это в конкурентное преимущество. В результате, все в игре, хотя и не собирались.

Это усугублялось тем, что до Регламента правила заботливого использования персональных данных было “дешевле” нарушать, ведь штрафы применялись редко и в маленьких размерах. Поэтому внедрять систему защиты персональных данных было невыгодно (а вот сейчас компания может получить огромные штрафы за нарушение GDPR). 

После того, как Регламент вступил в силу, надзорные органы изменили некоторые правила работы с персональными данными и увеличили штрафы. Стало выгоднее сразу предусматривать бюджет на заботу о клиентах: оберегать от возможных рисков, которые связаны с использованием их персональных данных. Тем более, часы профессиональных консультантов стали более доступными по цене. Конечно, некоторые компании продолжают действовать по старой схеме, где персональные данные рассматриваются только как актив, но не как риск. 

Правда, сейчас правила игры кардинально поменялись. В долгосрочной перспективе выживут лишь те компании, которые перестроятся, продолжив собирать только необходимые данные, при этом не создавая угрозы для людей.

Поэтому европейские избиратели, сталкиваясь с этими постоянными и грубыми нарушениями своего права на приватность, голосовали за те партии и тех кандидатов, которые предлагали проводить более строгую политику в отношении компаний-нарушителей. В результате принятие Регламента не остановили даже лоббисты транснациональных корпораций, которые пытались сделать так, чтобы Регламент был мягче либо чтобы он и вовсе не был принят.

Регламент — логичное продолжение прежнего законодательства Евросоюза, поскольку создать более эффективный механизм регулирования приватности сложно. GDPR изменил некоторые ключевые моменты в сфере обработки персональных данных и увеличил стоимость нарушения правил. 

Таким образом, когда Европейский Союз ратифицировал Регламент, у остальных стран не осталось других вариантов, кроме как следовать общему тренду защиты приватности и вводить схожие законы. При этом другие страны стали так быстро развивать свое местное законодательство в этой области и заставлять бизнес оберегать персональные данные клиентов вовсе не по воле избирателей: в основном, это произошло благодаря лоббированию бизнеса. Когда такой крупный агломерат стран, как Европейский союз, принял нормы поведения, многие страны, которые торгуют и работают с ЕС, испытали на себе шок. Государства были поставлены перед выбором: либо вводить схожее законодательство с тем, чтобы между правовыми системами не росла пропасть, либо полностью потерять европейский рынок, поскольку беспрепятственно пользоваться персональными данными субъектов из Еврозоны уже нельзя.

GDPR в 44 статье ввел ограничения на передачу персональных данных субъектов за пределы Европейского Союза. Поэтому компании, которые зарабатывали благодаря использованию персональных данных, были вынуждены соответствовать Регламенту, чтобы сохранить свой бизнес. Государства, желающие сотрудничать с Евросоюзом, начали экстренно вводить законодательство, обеспечивающее строгую защиту персональных данных. Рано или поздно практически все страны последуют их примеру (а здесь мы рассказываем, как правильно оформить трансграничную передачу данных).

Читайте в нашем лонгриде "Что такое GDPR (General Data Protection Regulation)" о всех тонкостях и нюансах Регламента!

Сегодня сложно оценивать распространяющийся на весь мир тренд ужесточения законодательства о защите приватности. С одной стороны, есть компании, которые получают выгоду из обработки персональных данных — это весь консалтинг, IT, финтех, продуктовые, транспортные и логистические компании, медицинские и страховые услуги и другие. С другой стороны, абсолютно каждый из нас — субъект персональных данных. И каждый из нас заинтересован, чтобы его личная информация была защищена от незаконных посягательств.