Цель новых европейских регуляций — предоставить людям контроль над их личными данными. Зачастую клиенты интернет-сервисов, государственных учреждений и различных компаний не знают, что происходит с их личными данными и даже не представляют себе реального объема собранной о них информации.

В качестве эксперимента ”Инсайт” попросил компанию Google предоставить все данные, которые она собрала с учетной записи одного из журналистов редакции. Объем этой информации составил 10,5 ГБ — в несколько раз больше, чем объем всех книг Эстонской национальной библиотеки. И это только те данные, которые собрала только одна компания.

Большой вызов для предприятий

Обладатели крупнейших баз данных в Эстонии — телекоммуникационные компании и концерн Eesti Energia — утверждают, что они готовы к вступлению в силу нового закона. Однако для многих других предприятий переход может оказаться проблемным.

Согласно новому постановлению, теперь у каждого человека есть право знать, какими данными о нем располагает предприятие. Кроме того, у людей появляется возможность исправить, перенести или удалить свою личную информацию. Но это еще не все: любая компания или учреждение должны спрашивать у клиента разрешение на обработку данных, объяснять цель работы с информацией и регистрировать каждое свое действие.

”Это огромный вызов для всех компаний, поскольку, скорее всего, такие процессы не включены в их бизнес-модели”, — считает технологический аналитик Nortal Густав Поола.

Согласно данным консалтингового агентства Deloitte, к изменениям готово 15% предприятий Эстонии. По данным исследовательской компании Gartner, к концу года требованиям будет соответствовать менее 50% местных предприятий.

Технические проблемы

Постановление запрещает обрабатывать личные данные без необходимости, поэтому прежде всего предприятия должны будут понять, какие данные уже занесены в их систему. Уже на этом этапе могут возникнуть проблемы.

Осенью ”Инсайт” рассказал о неожиданных результатах аудита публичных регистров эстонского государства при помощи программы Nortal DeepScan. Программа просканировала государственные регистры и нашла в публичном доступе имена, личные коды, домашние адреса и даже информацию о болезнях людей.

И хотя после этого недостатки системы устранили, этот пример показывает, что при ручной обработке данных большое количество информации может оказаться не там, где следует. А автоматизированные решения стоят больших денег.

”Я знаю, что предприятия испытывают большие трудности, чтобы найти решения, отвечающие требованиям GDPR”, — сказал Сийм Сальме, руководитель Klienditugi, которая предоставляет услуги анализа клиентской информации.

Кроме того, многие фирмы пользуются сторонним программным обеспечением, которое не дает доступа к коду. Получается, что они в принципе не могут знать, каким образом обрабатываются и хранятся личные данные их клиентов.

Расплывчатые формулировки

Даже при желании привести инфосистему в соответствие с требованиями не так просто. По словам старшего архитектора программного обеспечения компании Topia Кирилла Линника, в тексте GDPR много расплывчатых формулировок, которые требуют уточнения.

Многие госучреждения пытаются разъяснить ситуацию при помощи составления инструкций. Однако, например, Целевое учреждение инфотехнологий в образовании такую инструкцию до сих пор не составило, как и не успела составить общее руководство Инспекция по защите данных. Меж тем, до вступления изменений в силу остался месяц.

”Мы отстали от первоначального графика”, — признал начальник э-услуг министерства образования Андрес Яэремаа — ”Я признаю, да, наверное, мы должны были справиться раньше”.

Кроме того, в связи с вступлением постановления в силу, должен быть изменен местный закон защите личных данных, однако эти изменения до сих пор не приняты.

”Требования по соблюдению прав субъекта данных обязательны к применению и их можно применять на основании директивы. Проблемы могут возникнуть в правовом поле, поскольку принятие местного закона запаздывает”, — сообщили ”Инсайту” в Министерстве юстиции.

Парламент принял в работу законопроект об изменении закона о защите личных данных 16 апреля. Однако когда он будет принят и оглашен, пока не ясно.

Несмотря на все это, в Инспекции по защите данных уверены, что неразбериха временная. ”Это обычная практика применения законов. Многое выясняется по ходу работы”, — согласен начальник э-услуг Министерства образования Андрес Яэремаа.

Уже утром 25 мая у жителей Эстонии появятся новые возможности по контролю за своим имуществом — личными данными. Пока люди будут свыкаться со своими новыми правами, компании должны будут разобраться в своих новых обязанностях. Но из-за неясностей закона, отсутствия руководства и технических проблем многие из них будут вынуждены действовать почти вслепую.

Поделиться
Комментарии