Пропущенный дедлайн, или почему больше половины компаний оказались не готовы к GDPR

В последние дни на почту регулярно падают письма от разных компаний, приложений, сервисов и сайтов, которыми вы когда-либо пользовались или где заводили аккаунты. Письма примерно одинаковые — они сообщают об изменении политики конфиденциальности и разъясняют, как компания обрабатывает персональные данные.

Мы уже писали о том, что именно меняется в политиках обработки данных крупных IT-компаний: WhatsApp, Facebook, Instagram и Twitter. Теперь разбираемся, почему десятки писем от многих сервисов начали приходить только сейчас, после формального дедлайна по GDPR, почему не все компании смогли своевременно подготовиться к переходу и с какими проблемами они столкнулись.

vglkenlik13mfousdbajwvz1v6k.jpeg
/ фото Dennis van der Heijden CC BY

Что происходит


25 мая в силу вступил GDPR — Общий регламент по защите данных (General Data Protection Regulation). Он регламентирует защиту персональных данных жителей стран ЕС и заменяет собой Data Protection Directive, директиву от 1995 года.

GDPR затрагивает каждого, потому что распространяется не только на компании, зарегистрированные в Евросоюзе, а на всех, кто хранит, обрабатывает и использует ПД граждан ЕС.

Заранее начали готовиться компании, бизнес-модели которых сильно зависят от работы с ПД — например, Facebook ещё до ввода GDPR рассказал, что будет сделано для соответствия новому регламенту: всем пользователям предложат пересмотреть свои настройки приватности. Так же они смогут сами выбрать, готовы ли они делиться своей информацией для целей таргетированной рекламы, и если да, то какой именно. Кроме того, соцсеть планировала вернуть распознавание лиц, которое было отключено по решению суда, постановившего, что этот инструментарий соц.сети нарушает законы о персональных данных.

Но не все компании отнеслись к новому регламенту с таким же повышенным вниманием. Ponemon Institute в апреле провёл опрос среди тысячи компаний, половина из которых призналась, что к дедлайну они не будут готовы. Среди IT-компаний таких оказалось 60%.

В итоге многие действительно не смогли выполнить требования регламента в срок — хотя дедлайн был известен уже давно (итоговый вариант GDPR был опубликован еще 2 года назад). Согласно опросу, проведенному европейской компанией TrustArc год назад среди двухсот бизнесов из разных стран и индустрий, 61% компаний тогда ещё даже не начали готовиться к GDPR.


Почему так сложно соответствовать


Многие компании не успели к дедлайну не только потому, что решили отложить всё до последнего. Есть и несколько относительно объективных причин.

Закон очень сложный


И иногда он пересекается с локальными правовыми актами, касающимися обработки персональных данных. Юристы отмечают, что в предписаниях регулятора действительно очень сложно разобраться — и уж тем более перестроить свой бизнес так, чтобы им соответствовать.

Например, некоторые формулировки в ключевых для закона пунктах вызвали бурные дебаты: согласие на использование обычных персональных данных должно быть «unambiguous» (то есть недвусмысленным, понятным, однозначным), а согласие на использование «деликатных» персональных данных — «explicit» (четко обозначенным, исчерпывающим).

Но есть ли разница между этими двумя определениями и, как следствие, двумя «согласиями», и если да, то какая и в чем она должна выражаться в приложении к практике? Вопрос вовсе не праздный — от правильного (с юридической точки зрения) ответа на него зависит, например, как можно и как нельзя оформлять в интерфейсах подписи к чекбоксам, отмечающие согласие пользователя на обработку ПД.

xabsox7zxesihj98ijiithgxanw.jpeg
/ изображение Giulia Forsythe PD

Кроме того, закон не учитывает локальную специфику: например, у разных стран разное отношение к персональным данным. Отчасти поэтому многие части закона намеренно обтекаемы — что создает пространство для разнообразия его трактовок.

А ещё некоторые пункты GDPR противоречат, например, российскому № 152-ФЗ «О персональных данных», что тоже создает трудности для российских компаний, которые так или иначе собирают и используют ПД европейских граждан.

Перестройка процессов


Причем не только с точки зрения технологий, но и с точки зрения бизнеса. Некоторые компании боятся, что, если они расскажут пользователям, как именно они пользуются их персональными данными, люди никогда им их не отдадут.

Поэтому подход, который внедрила Facebook для получения пользовательского разрешения, в итоге раскритиковали: весь путь пользователя мотивирует его побыстрее согласиться с новыми правилами и продолжать делиться своей информацией с сервисом.

Кнопка «Согласиться и продолжить» самая красивая и заметная, и вот противоположное решение выглядит уже сложно: «Управлять настройками данных». Если на неё нажать, Facebook попробует сначала убедить пользователя оставить всё, как есть. Кроме того, Facebook лишает пользователя возможности делиться какой-то личной информацией у себя на странице, но при этом не разрешить соцсети пользоваться этой информацией в рекламных целях.

Кроме того, у маленьких и средних бизнесов часто просто нет технологических и кадровых ресурсов, чтобы разобраться в требованиях закона и сделать все необходимые приготовления — поэтому для них процесс приведения всех систем в соответствие с требованиями GDPR становится очень дорогостоящим.

Закон уже не учитывает новые технологии


Регламент разрабатывался и принимался несколько лет, поэтому многие представления о современном состоянии технологий в нем уже устарели: например, непонятно, что делать с Big Data и машинным обучением.

Так, GDPR требует прозрачности от алгоритмов машинного обучения — разработчики должны быть в состоянии объяснить, почему алгоритм принял то или иное решение. Иными словами, закон предписывает, что пользователь в любой момент может получить подробное объяснение механизма использования его персональной информации, чтобы принять информированное решение — соглашаться на это или нет.

В случае с алгоритмами на машинном обучении сделать это не так и просто — почему системы ИИ принимают именно это решение именно в этот момент иногда не могут объяснить даже его инженеры. Это не регулируется GDPR. И таких вещей будет становиться всё больше — закон придется постоянно обновлять, но на деле право будет всегда отставать от развития технологий.

Сложнее всего пришлось компаниям, которые разрабатывают умных ассистентов — Google Assistant, Alexa, Siri.

Эти сервисы всегда (пусть и в фоновом режиме) прослушивают всё, что происходит вокруг них — чтобы в нужный момент «проснуться» и выполнить команду по кодовому слову. Технология по-прежнему несовершенна — например, не так давно Amazon столкнулись с неожиданной проблемой: Alexa периодически начинала смеяться, потому что разбирала в окружающей её речи фразу «Алекса, смейся».

Звучит «смешно», но в рамках GDPR эта ситуация — серая зона, которую пока непонятно, как контролировать. Формально умные ассистенты не записывают звук и никуда его не передают —, но недавний случай с той же Alexa, которая из-за технического бага передала аудиозапись личного разговора жильцов дома одному из контактов в телефонной книге, показывает, что ситуации бывают разными.

В таких случаях все будет зависеть от того, пострадали ли в итоге пользователи или нет: например, если информация не была использована и сервис быстро «среагировал» и удалил её. Сами разработчики Alexa пообещали улучшить алгоритмы распознавания голоса, чтобы такой маловероятный случай точно не повторился.

wguuh8s7-ccnnetbubyhdzq55xi.jpeg
/ фото Oliver Henze CC BY-ND

Как работа таких сервисов будет регулироваться с точки зрения соответствия GDPR пока непонятно. Эксперты и журналисты сходятся во мнениях: вероятно, таким сервисам придется получать согласие от пользователей на то, что умный ассистент всегда слушает, всегда записывает и, возможно, передает информацию третьим лицам.

Что будет


Что ждёт компании, которые не успели привести бизнес-процессы в соответствие с законодательством или нарушили его? Некоторые считают, что 25 мая был «мягкий запуск», и регулятор не будет преследовать компании, не успевшие к дедлайну (особенно если у них будут на то объективные причины). Хотя штраф за несоответствие регламенту уже обозначен, и он весьма значительный — до 4% годовой выручки компании.

Здесь есть, однако, затруднение — не весь контроль теперь лежит только на регуляторе. У самих пользователей тоже есть власть: например, они могут потребовать у сервиса получить, изменить или удалить всю свои ПД. Если эти процессы не налажены и сервис чисто технически не сможет удовлетворить требованиям пользователя, появляется риск судебного разбирательства, которое пользователь вполне может выиграть.

Многие эксперты до сих пор считают, что рынок не сможет полностью соответствовать требованиям GDPR Как минимум потому, что сфера сильно недоисследована — закон, хоть и правильный в своих намерениях, не затрагивает многих важных случаев и способов использования и хранения персональных данных. Если такие исследования (подробные и детализированные) всё же появятся, они станут хорошей базой для доработки закона.

Тем не менее, появление GPDR — важный показатель смещения приоритетов. Если раньше управление персональными данными было «теневой составляющей» практически любого бизнеса, и компании могли распоряжаться ими, как им вздумается, то теперь пользователи наконец получили хоть какие-то инструменты для контроля над собственными данными в Сети.

P.S. О чем еще мы пишем в Первом блоге о корпоративном IaaS:


P.P. S. Несколько материалов по теме из нашего блога на Хабре:

© Habrahabr.ru