"Инсайт": требования ЕС по защите личных данных могут стать технологическим кошмаром в Эстонии ({{commentsTotal}})

Фото: pixabay.com

В конце мая в Эстонии вступит в силу GDPR – общеевропейский регламент по защите личных данных. Хотя постановление было принято еще в 2016 году, многие компании до сих пор не разобрались в новых требованиях, а государство все еще не предоставило им необходимых инструкций. Программа "Инсайт" разбиралась, ждет ли Эстонию технологический кошмар.

Цель новых европейских регуляций – предоставить людям контроль над их личными данными. Зачастую клиенты интернет-сервисов, государственных учреждений и различных компаний не знают, что происходит с их личными данными и даже не представляют себе реального объема собранной о них информации.

В качестве эксперимента "Инсайт" попросил компанию Google предоставить все данные, которые она собрала с учетной записи автора сюжета. Объем этой информации составил 10,5 ГБ – в несколько раз больше, чем объем всех книг Эстонской национальной библиотеки. И это лишь данные, которые собрала только одна компания.

Вызов для предприятий

Обладатели крупнейших баз данных в Эстонии – телекоммуникационные компании и концерн Eesti Energia – утверждают, что они готовы к вступлению в силу нового закона. Однако для многих других предприятий переход может оказаться проблемным.

Согласно новому постановлению, теперь у каждого человека есть право знать, какими данными о нем располагает предприятие. Кроме того, у людей появляется возможность исправить, перенести или удалить свою личную информацию. Но это еще не все: любая компания или учреждение должны спрашивать у клиента разрешение на обработку данных, объяснять цель работы с информацией и регистрировать каждое свое действие.

"Это огромный вызов для всех компаний, поскольку, скорее всего, такие процессы не включены в их бизнес-модели", – считает технологический аналитик Nortal Густав Поола.

Согласно данным консалтингового агентства Deloitte, к изменениям готово 15% предприятий Эстонии. По данным исследовательской компании Gartner, к концу года требованиям будет соответствовать менее 50% местных предприятий.

Технические проблемы

Постановление запрещает обрабатывать личные данные без необходимости, поэтому прежде всего предприятия должны будут понять, какие данные уже занесены в их систему. Уже на этом этапе могут возникнуть проблемы.

Осенью "Инсайт" рассказал о неожиданных результатах аудита публичных регистров эстонского государства при помощи программы Nortal DeepScan. Программа просканировала государственные регистры и нашла в публичном доступе имена, личные коды, домашние адреса и даже информацию о болезнях людей.

И хотя после этого недостатки системы устранили, этот пример показывает, что при ручной обработке данных большое количество информации может оказаться не там, где следует. А автоматизированные решения стоят больших денег.

"Я знаю, что предприятия испытывают большие трудности, чтобы найти решения, отвечающие требованиям GDPR", – сказал Сийм Сальме, руководитель Klienditugi, которая предоставляет услуги анализа клиентской информации.

Кроме того, многие фирмы пользуются сторонним программным обеспечением, которое не дает доступа к коду. Получается, что они в принципе не могут знать, каким образом обрабатываются и хранятся личные данные их клиентов.

Расплывчатые формулировки

Даже при желании привести инфосистему в соответствие с требованиями не так просто. По словам старшего архитектора программного обеспечения компании Topia Кирилла Линника, в тексте GDPR много расплывчатых формулировок, которые требуют уточнения.

Многие госучреждения пытаются разъяснить ситуацию при помощи составления инструкций. Однако, например, Целевое учреждение инфотехнологий в образовании такую инструкцию до сих пор не составило, как и не успела составить общее руководство Инспекция по защите данных. Между тем до вступления изменений в силу остался месяц.

"Мы отстали от первоначального графика, – признал начальник э-услуг министерства образования Андрес Яэремаа. – Я признаю, да, наверное, мы должны были справиться раньше".

Кроме того, в связи с вступлением постановления в силу, должен быть изменен местный закон защите личных данных, однако эти изменения до сих пор не приняты.

"Требования по соблюдению прав субъекта данных обязательны к применению, их можно применять на основании директивы. Проблемы могут возникнуть в правовом поле, поскольку принятие местного закона запаздывает", – сообщили "Инсайту" в Министерстве юстиции.

Парламент принял в работу законопроект об изменении закона о защите личных данных 16 апреля. Однако когда он будет принят и оглашен, пока не ясно.

Несмотря на все это, в Инспекции по защите данных уверены, что неразбериха временная. "Это обычная практика применения законов. Многое выясняется по ходу работы", – считает начальник э-услуг Министерства образования Андрес Яэремаа.

Уже утром 25 мая у жителей Эстонии появятся новые возможности по контролю за своим имуществом – личными данными. Пока люди будут свыкаться со своими новыми правами, компании должны будут разобраться в своих новых обязанностях. Но из-за неясностей закона, отсутствия руководства и технических проблем многие из них будут вынуждены действовать почти вслепую.

Редактор: Полина Волкова



ERR kasutab oma veebilehtedel http küpsiseid. Kasutame küpsiseid, et meelde jätta kasutajate eelistused meie sisu lehitsemisel ning kohandada ERRi veebilehti kasutaja huvidele vastavaks. Kolmandad osapooled, nagu sotsiaalmeedia veebilehed, võivad samuti lisada küpsiseid kasutaja brauserisse, kui meie lehtedele on manustatud sisu otse sotsiaalmeediast. Kui jätkate ilma oma lehitsemise seadeid muutmata, tähendab see, et nõustute kõikide ERRi internetilehekülgede küpsiste seadetega.
Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: