"Инсайт": требования ЕС по защите личных данных могут стать технологическим кошмаром в Эстонии ({{commentsTotal}})

Фото: pixabay.com

В конце мая в Эстонии вступит в силу GDPR – общеевропейский регламент по защите личных данных. Хотя постановление было принято еще в 2016 году, многие компании до сих пор не разобрались в новых требованиях, а государство все еще не предоставило им необходимых инструкций. Программа "Инсайт" разбиралась, ждет ли Эстонию технологический кошмар.

Цель новых европейских регуляций – предоставить людям контроль над их личными данными. Зачастую клиенты интернет-сервисов, государственных учреждений и различных компаний не знают, что происходит с их личными данными и даже не представляют себе реального объема собранной о них информации.

В качестве эксперимента "Инсайт" попросил компанию Google предоставить все данные, которые она собрала с учетной записи автора сюжета. Объем этой информации составил 10,5 ГБ – в несколько раз больше, чем объем всех книг Эстонской национальной библиотеки. И это лишь данные, которые собрала только одна компания.

Вызов для предприятий

Обладатели крупнейших баз данных в Эстонии – телекоммуникационные компании и концерн Eesti Energia – утверждают, что они готовы к вступлению в силу нового закона. Однако для многих других предприятий переход может оказаться проблемным.

Согласно новому постановлению, теперь у каждого человека есть право знать, какими данными о нем располагает предприятие. Кроме того, у людей появляется возможность исправить, перенести или удалить свою личную информацию. Но это еще не все: любая компания или учреждение должны спрашивать у клиента разрешение на обработку данных, объяснять цель работы с информацией и регистрировать каждое свое действие.

"Это огромный вызов для всех компаний, поскольку, скорее всего, такие процессы не включены в их бизнес-модели", – считает технологический аналитик Nortal Густав Поола.

Согласно данным консалтингового агентства Deloitte, к изменениям готово 15% предприятий Эстонии. По данным исследовательской компании Gartner, к концу года требованиям будет соответствовать менее 50% местных предприятий.

Технические проблемы

Постановление запрещает обрабатывать личные данные без необходимости, поэтому прежде всего предприятия должны будут понять, какие данные уже занесены в их систему. Уже на этом этапе могут возникнуть проблемы.

Осенью "Инсайт" рассказал о неожиданных результатах аудита публичных регистров эстонского государства при помощи программы Nortal DeepScan. Программа просканировала государственные регистры и нашла в публичном доступе имена, личные коды, домашние адреса и даже информацию о болезнях людей.

И хотя после этого недостатки системы устранили, этот пример показывает, что при ручной обработке данных большое количество информации может оказаться не там, где следует. А автоматизированные решения стоят больших денег.

"Я знаю, что предприятия испытывают большие трудности, чтобы найти решения, отвечающие требованиям GDPR", – сказал Сийм Сальме, руководитель Klienditugi, которая предоставляет услуги анализа клиентской информации.

Кроме того, многие фирмы пользуются сторонним программным обеспечением, которое не дает доступа к коду. Получается, что они в принципе не могут знать, каким образом обрабатываются и хранятся личные данные их клиентов.

Расплывчатые формулировки

Даже при желании привести инфосистему в соответствие с требованиями не так просто. По словам старшего архитектора программного обеспечения компании Topia Кирилла Линника, в тексте GDPR много расплывчатых формулировок, которые требуют уточнения.

Многие госучреждения пытаются разъяснить ситуацию при помощи составления инструкций. Однако, например, Целевое учреждение инфотехнологий в образовании такую инструкцию до сих пор не составило, как и не успела составить общее руководство Инспекция по защите данных. Между тем до вступления изменений в силу остался месяц.

"Мы отстали от первоначального графика, – признал начальник э-услуг министерства образования Андрес Яэремаа. – Я признаю, да, наверное, мы должны были справиться раньше".

Кроме того, в связи с вступлением постановления в силу, должен быть изменен местный закон защите личных данных, однако эти изменения до сих пор не приняты.

"Требования по соблюдению прав субъекта данных обязательны к применению, их можно применять на основании директивы. Проблемы могут возникнуть в правовом поле, поскольку принятие местного закона запаздывает", – сообщили "Инсайту" в Министерстве юстиции.

Парламент принял в работу законопроект об изменении закона о защите личных данных 16 апреля. Однако когда он будет принят и оглашен, пока не ясно.

Несмотря на все это, в Инспекции по защите данных уверены, что неразбериха временная. "Это обычная практика применения законов. Многое выясняется по ходу работы", – считает начальник э-услуг Министерства образования Андрес Яэремаа.

Уже утром 25 мая у жителей Эстонии появятся новые возможности по контролю за своим имуществом – личными данными. Пока люди будут свыкаться со своими новыми правами, компании должны будут разобраться в своих новых обязанностях. Но из-за неясностей закона, отсутствия руководства и технических проблем многие из них будут вынуждены действовать почти вслепую.

Редактор: Полина Волкова



Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: