25 сентября 2018 / Время работы: 10:00-18:00

Революция в IT: новый европейский регламент GDPR и его последствия для России

Революция в IT: новый европейский регламент GDPR и его последствия для России

General Data Protection Regulation (GDPR) — новый стандарт обработки персональных данных, который начал действовать в Евросоюзе с мая 2018 года. Вы можете встретить его и под названием Регламент ЕС 2016/679 от 27 апреля 2016 г.

Фактически GDPR — не поправки к предыдущим законам, а пересмотр отношения к персональным данным и их защите. И для российских IoT-стартапов он тоже имеет большое значение.

Почему важно следовать GDPR в России

Фактически в России GDPR не действует. Но если компания имеет представительство в ЕС или обрабатывает данные людей с гражданством другого государства, следовать ему необходимо. Это также очень важно для поставщиков товаров и услуг, которые стремятся выйти на международный рынок. Игнорируя предписания GDPR, компания фактически замыкает себя в узких рамках одной страны.

Возможно, европейский рынок — не целевой для большинства российских компаний, но в GDPR заложен потенциал для распространения по всему миру. Поэтому для тех, кто работает с партнерами из дальнего или ближнего зарубежья, важно не идти вразрез с его предписаниями.

Кроме того, в России уже есть ряд организаций, которые следуют GMPR: например, авиакомпании, ОАО «РЖД», турфирмы и гостиницы, ведь они работают с персональными данными иностранных граждан. И для сохранения статуса они должны выбирать подрядчика с теми же правилами. Поэтому следовать GMPR в России — также значит не ограничивать круг потенциальных партнеров.

IOT Conference: Revolyutsiya v IT: novyiy evropeyskiy reglament GDPR i ego posledstviya dlya Rossii 1

GDPR и российские IoT-стартапы: что меняется

К грубым нарушениям нового Регламент ЕС можно отнести:

  • холодные рассылки по купленным базам почтовых адресов;
  • передача чувствительных данных незашифрованными или прописывание их в логах в чистом виде;
  • отсутствие предупреждений о cookie-файлах и политике конфиденциальности (в том числе если на сайте нет информации, какие данные, на какой срок и для чего вы собираете);
  • невозможность отписаться от рассылок;
  • сбор избыточных сведений, которые не нужны для работы продукта.

Многие IoT-стартапы в России, даже если они «чисты» по всем пунктам, должны будут пересмотреть свою политику защиты персональных данных. GDPR ставит прозрачность сбора данных во главу угла, а интересы пользователя — превыше интересов бизнеса. Вот некоторые пункты, которые вам предстоит выполнить по требованиям регламента.

1. Пересмотреть количество собираемых данных: придется убрать из списка те, которые не нужны для работы продукта.

2. Обновить сайт и пользовательские инструкции: нужно будет добавить пояснения, какие данные и для чего вы собираете.

3. Ввести процедуру стирания данных. По новому регламенту, любой пользователь может изъять информацию о себе в любой момент.

4. Разработать новые инструкции для персонала, как действовать в случае кибератаки. Вы должны минимизировать возможный вред. Поскольку современные IoT-устройства — легкая мишень для хакеров, этот пункт важен.

5. Возможно, потребуется ввести механизмы родительского согласия: по GDPR, дети могут предоставлять свои данные с 13 лет (в некоторых странах ЕС — с 15).

Новые IoT-стартапы должны продумывать все эти пункты (архитектуру сайта, виды собираемых данных, механизмы их защиты) еще на стадии разработки продукта, а не после релиза, как это часто бывало раньше. Именно поэтому принятие GDPR называют революцией в IT, ведь он меняет иерархию ценностей.

IOT Conference: Revolyutsiya v IT: novyiy evropeyskiy reglament GDPR i ego posledstviya dlya Rossii 2

Денис Лукаш, исполнительный директор Центра цифровых прав, спикер IoT Conference, пояснил, чем GDPR принципиально отличается от законов о персональных данных в РФ:

- На территории РФ применяется Федеральный закон 152-ФЗ от 27.07.2006, а также ряд его подзаконных актов. GDPR — мировой тренд в сфере защиты персональных данных. Он строже и глобальнее, чем 152-ФЗ, и имеет научную ценность. Сейчас 152-ФЗ дает Роскомнадзору возможность для ужесточения правоприменения: например, все больше категорий информации будут считаться персональными данными, в конечном итоге тенденция приведет к внесению правок в национальный закон. По GDPR же к персональным данным относятся любые идентификаторы и даже, например, совокупность социальных или физиологических факторов человека.

Вследствие этих различий есть проблема из-за одновременного применения к одной IoT-системе требований по GDPR и 152-ФЗ, если сервис технически единый для России и ЕС.


Узнайте больше о GDPR в России и задайте свои вопросы эксперту на IoT Conference!

Регистрация

Назад
Другие новости
Следите за новостями