Юридический язык — это не C++. Как белорусские компании подготовились к GDPR

25 мая 2018, 09:00

Сегодня вступает в силу Общий регламент защиты персональных данных Европейского союза (GDPR). В последние недели на почту активно сыпались уведомления от различных сервисов об обновлении пользовательских соглашений и политики использования данных, напоминая, что 25 мая не за горами. dev.by выяснил, как белорусские ИТ-компании подготовились к дате X и сколько это им стоило.

Читать далее...

PANDARAMA для dev.by

Никто не хотел говорить

Сразу оговоримся, что сбор информации проходил очень тяжело. Крупнейшие компании либо проигнорировали запрос dev.by, либо сразу ответили, что не собираются говорить на эту тему, либо долго готовили ответ, но так ничего и не прислали. Кто-то согласился поговорить анонимно. И лишь совсем немногие дали открытый комментарий.

Эксперты, которым dev.by посетовал на «заговор молчания» вокруг темы, только улыбались. «Ну, правильно: едва ли кто-то готов на 100%, а закон — серьёзный, вот и не хотят говорить», — комментировали они ситуацию.

Компании, которые пошли на контакт, не скрывали, что говорить о полной готовности к GDPR не приходится — просто потому, что правила носят общий характер и многие пункты требуют пояснения.

«К сожалению, юридический язык — это не C++, он допускает разные трактовки, — заявили в одной из компаний. — Да, мы консультируемся с европейскими юристами, но и они не на все вопросы могут найти ответы».

Продуктовые компании, чьи приложения имеют пользователей в ЕС, на условиях анонимности рассказывали, что наметили несколько вариантов работы с 25 мая, а с выбором одного из них определятся в последний момент.

Некоторым компаниям головную боль доставил запрет GDPR на сбор и обработку персональных данных европейцев младше 16 лет (он возможен только с разрешения родителей), который должен резко сократить аудиторию мобильных приложений.

Например, мессенджер WhatsApp ещё в апреле предупредил о введении возрастного ограничения на пользование для жителей Европы. Для других регионов возрастной ценз останется прежним — 13 лет. C аналогичным заявлением выступила компания Riot Games: запускать игру League of Legends без разрешения родителей в Европе тоже смогут только лица старше 16-и.

Правда, вопрос о методах верификации возраста пользователей остаётся открытым. Скорее всего, им будут верить на слово — как производители алкоголя верят посетителям своих веб-страниц.

Но если мессенджер или игру легко обмануть, и это не повлияет на правильность их работы, то обмануть приложение в области здоровья без ущерба для его корректной работы будет сложнее.

Заткнули пару «дыр», укрепили офис на Кипре

Из продуктовых компаний подробно о подготовке к 25 мая рассказали в Targetprocess с их традиционной открытостью.

— Самый большой объем пришёлся на бумажную работу, — проинформировал разработчик компании Вячеслав Волов. — Мы подписали все необходимые контракты с нашими провайдерами услуг, подписали внутренние соглашения о конфиденциальности с филиалами и сотрудниками. То есть перенесли на бумагу требования о том, как корректно работать с персональными данными.

Другая часть бумажной работы — переработка разного рода политик. И, естественно, договоры с европейцами о том, что мы будем процессить их данные, чтобы формализовать наши отношения в плане обработки данных клиентов.

Теперь о внутренних изменениях. Здесь мы реально укрепляем свою безопасность. У нас и раньше всё было достаточно неплохо в части безопасности данных, но существовала пара слабых мест, где потенциально могла произойти утечка данных. Поэтому пришлось заткнуть пару «дыр», чтобы максимально снизить для себя риски.

В нашей компании персональные данные используются в незначительном объёме. Это прежде всего данные для общения с клиентом (customer relationship management) и данные для аутентификации.

Отдел поддержки и отдел продаж — потенциально самые опасные, через них проходит основной поток персональных данных, там есть риск сделать что-то не так.

Поэтому основные изменения в нашей компании связаны с процессами продаж и поддержки.

Европейские клиенты ожидают, что их данные будут находиться в Европе. В связи с этим нам пришлось укрепить свой офис на Кипре, он будет нашим европейским представительством с точки зрения GDPR. Должность Data Protection Officer нам вводить не пришлось, поскольку процессинг персональных данных не является нашим основным видом деятельности, а другие требования нас не касаются, как и большинство других небольших ИТ- компаний.

Волов отмечает, что, так как Беларусь не находится в списке «белых третьих стран» с «достаточной» степенью защиты персональных данных, у белорусских компаний нет быстрого пути легализации обработки персональных данных европейцев. Надо либо получать серьёзный сертификат вроде международного сертификата по информационной безопасности ISO-27001, либо подписывать с клиентами MCC (model contractual clauses — типовые договорные положения) и брать на себя достаточно  высокие обязательства.

— Открытие офиса в ЕС в этом смысле не спасёт, ведь обрабатывать все данные только там не получится. Часть процессов у компании обязательно будет происходить в Беларуси — например, продажи, поддержка, девелопмент. И если условный Вася Пупкин пришлёт нам е-мэйл с вопросом, можем ли мы сделать для него такую-то фичу, то всё: мы уже процессим из ЕС персональные данные для этого Васи.

PANDARAMA для dev.by

«Мелкие компании сразу под раздачу не попадут»

— Полного compliance, наверное, нет ещё ни у одной компании, за исключением самых крупных и серьёзных игроков вроде Google, которые просто не могут позволить себе быть не-compliant, — предположил Волов. — И так как в регламенте ещё много малопонятных мест, то многие склонны откладывать некоторые решения на потом, когда станут доступны новые документы. Есть надежда, что больше конкретики появится с выходом директивы e-privacy.

На вопрос о риске штрафных санкций для неподготовленных компаний Волов предположил, что ничего страшного сразу после 25 мая не произойдёт.

— Так как практика применения GDPR отсутствует, то есть вероятность, что мелкие компании сразу после 25 мая под раздачу не попадут, — сказал он. — Под раздачу, вероятно, попадут крупные зазевавшиеся компании либо те, которые будут очень нагло себя вести, а мелкие игроки на этом основании смогут сделать для себя какие-то выводы.

Аналогичное мнение, правда, анонимно, высказали ещё в одной продуктовой ИТ-компании.

— Скорее всего, 25 мая большинство приложений обновятся в соответствии с тем пониманием, которое они выработали во время тестирования. А потом наступит стабилизационный период — все будут постепенно приходить к неким стандартным решениям, лучшим практикам, — сказал руководитель компании.

«Гражданам ЕС на время закрыли доступ»

Белорусский финансовый стартап PingFin принял решение с 25 мая прекратить приём данных для обработки от жителей Евросоюза и закрыть для них доступ к скачиванию приложения в Play Market.

— В Европе у нас очень небольшая аудитория, поэтому принято решение посмотреть в течение нескольких месяцев, какая сложится правоприменительная практика по GDPR, — прокомментировала dev.by это решение CEO PingFin Юлия Локоткова. — Мне кажется, что непомерные штрафы должны быть трансформированы во что-то более адекватное. Да и в целом нормативный документ спорный, хотя полностью в духе Европы.

В рамках PingFin мы работаем с «чувствительными» данными, относящимися в финансовому благосостоянию пользователя, и анализируем всю информацию о платёжном поведении. Несмотря на то что данные изначально анонимизированы и мы не запрашиваем фамилию, имя, отчество, адрес, телефон наших пользователей, а также не имеем абсолютно никакого доступа к банковским счетам, мы очень трепетно относимся к безопасности данных.

О GDPR мы впервые услышали в начале года в Польше, когда участвовали в акселерационной программе. И так как рано или поздно мы планируем работать на европейском рынке, то решили не абстрагироваться от требований документа, но и не бросать все силы на достижение соответствия им.

Прежде всего, мы релоцировали в Европу сервера, так как данные граждан Евросоюза должны там же обрабатываться и храниться. К слову, госорганы Польши в своих нормативных актах мягко намекают, что обрабатывать персональные данные поляков лучше всего на территории их государства.

За прошедший месяц мы полностью перестроили архитектуру сервера, сделали её более гибкой. Но главное, что теперь мы можем соблюдать требование GDPR в вопросе отзыва права на предоставление персональных данных пользователем. Также по требованию пользователя мы можем удалять все данные, которые относились к его платёжному поведению.

Была подготовлена новая политика безопасности с подробным разъяснением, что происходит с данными и  зачем мы их храним.

«Деньги нужны, но не космические»

Говоря о затратах на  приведение процессов в соответствие с GDPR, компании единодушны: больших денег это не потребовало. Основные затраты – трудовые, связанные с бумажной работой. Например, в Targetprocess ею занимались три человека в течение двух недель.

В другой компании отметили, что приведение в соответствие пользовательских интерфейсов стоило денег, но не космических.

– Больше придётся заплатить тем компаниям, которые захотят отправлять европейские данные в регионы, считающиеся в ЕС безопасными, – сказал собеседник dev.by. – Например, тем, кто работает с Штатами, понадобится privacy shield framework (PSF, сертификат, регулирующий правила, по которым данные из ЕС могут храниться и обрабатываться в США). Его получение может занять больше времени и денег. Либо же потребуется европейское представительство. Для компании, у которой  основной офис в Беларуси, это уже существенные траты.

PingFin также не потратил много, но предвидит траты в будущем.

– Поскольку в Польше мы могли проконсультироваться по вопросам GDPR в акселераторе, то никаких серьёзных дополнительных расходов компания не понесла, – сказала Юля Локоткова. – Но не стоит ориентироваться на нас – небольшой стартап на этапе go to market. Уверена, что как только проект наберёт обороты, нам придётся нести дополнительные затраты, причем с определённой периодичностью, так как лишних 10-20 млн евро у нас нет.

«С приходом 25 мая для нас ничего не изменится»

Из аутсорсинговых компаний о своей GDPR-подготовке согласились рассказать Intetics и SoftTeco.

– Intetics плотно работает с европейскими заказчиками, поэтому введение GDPR коснулось и нас, – рассказал Chief Infrastructure and Data Protection Officer компании Сергей Чернышенко. – В ходе подготовки нам пришлось провести тщательный аудит текущих политик и процессов, чтобы быть уверенными, что мы полностью соответствуем новому регламенту. Очень помогло то, что Intetics имеет систему управления информационной безопасностью, сертифицированную на соответствие ISO/IEC 27001: требования GDPR и ISO/IEC 27001 частично перекрываются.

Что мы сделали?

1. Провели внешнее и внутреннее обучение руководителей проектов и владельцев процессов.

2. Провели инвентаризацию персональных данных.

3. Пересмотрели политики безопасности и разработали недостающие.

4. Выполнили аудит контрактов, подписали недостающие соглашения.

5. Связались с заказчиками и наладили взаимодействие с ними в сфере защиты персональных данных.

6. Пересмотрели имеющиеся и внедрили новые требования на проектах с учётом GDPR.

Затраты Intetics на подготовку складывались из оплаты внешних консультантов и оплаты рабочего времени непосредственных участников проекта.

– С приходом 25 мая для нас ничего не изменится, так как требования GDPR стали нам известны задолго до этой даты, – отметил Чернышенко. – Единственное, что добавится – новый уровень ответственности, поскольку вступят в силу штрафы за нарушение регламента.

Помогли медтех-разработки для США

Руководитель отдела маркетинга SoftTeco Алексей Зубель рассказал, что, так как у компании нет собственных продуктов, собирающих персональные данные пользователей, практическая подготовка к GDPR не была трудозатратной.

– C 25 мая на сайте компании будет изменена форма обратной связи. Добавим информация о том, с какой целью мы собираем и как храним персональные данные лиц, заполнивших форму обратной связи.

Основная деятельность компании направлена на оказание услуг в области разработки ПО, и во всех случаях ответственность по соблюдению правил регламента лежит на стороне владельца ПО, в нашем случае – на стороне заказчика. Но так как SoftTeco позиционирует себя как качественного поставщика услуг, мы консультируем заказчиков о соответствии их систем правилам регламента и предоставляем план корректирующих действий. Для этого отдел бизнес-анализа прошел обучение по правилам хранения персональных данных согласно регламенту.

Виктор Петров, руководитель отдела серверной разработки SoftTeco:

– Мы помогаем нашим заказчикам сделать правильные шаги, чтобы обеспечить требования регламента: тестовые серверы должны работать с использованием защищённых протоколов, на них не может быть никаких персональных данных пользователей. То есть, если нам нужно сделать тест на данных, приближенных к реальным, мы предварительно запускаем скрипты по обезличиванию персональной информации пользователей.

Европейский регламент безопасности данных не застал нас врасплох благодаря тому, что у нас уже были разработки для американского рынка в области медицины. Там действует HIPAA – медицинский стандарт США по обеспечению безопасности персональной информации. И хотя с точки зрения законов стандарт HIPAA и регламент GDPR различаются, но технически мы решаем довольно схожие задачи.

В Jira нет кнопочки «хочу удалить старые данные» 

Очевидно, что под прессинг GDPR прежде всего подпали продуктовые компании, имеющие в числе своих клиентов европейцев. Однако же в зоне риска и сфера аутсорсинга. На это внимание читателей dev.by обращает Алекс Енин, эксперт компании Polontech (Польша). Компания оказывает консалтинговые услуги в области ITSM/ITIL, Agile transformation, DevOps, является системным интегратором продуктов Atlassian.

– Продуктовые компании, у которых есть конечные пользователи продуктов, наверняка озабочены GDPR compliance и принимают необходимые меры, в том числе технического характера.

Меня больше беспокоят аутсорсинговые компании, которые могут до конца не понимать возникающие риски. Скорее всего, они решили, что в Беларуси штрафы их не достанут. И, возможно, в этом они правы. К тому же, 25 мая только наступило, прецедентов нарушений не было. Но возникают риски для репутации компании, и ими необходимо управлять.

Мы работаем с большим количеством западных компаний и видим их отношение к регламенту: оно позитивно-уважительное. На наш взгляд, найти хорошего крупного заказчика из Европы той белорусской компании, у которой нет GDPR compliance, будет сложно.

Где ещё может возникнуть риск? Очевидно, в тех случаях, когда аутсорсинговая компания управляет проектом и использует для этого специальное программное обеспечение типа Jira.

В том случае если компания хостит Jira на своих серверах, она является владельцем данных. Допустим, она запускает команду заказчика из ЕС для взаимодействия с ней. Заказчик вводит в Jira своё имя или просто е-мэйл – любую информацию, которая может его идентифицировать. И с этого момента ответственность за эту информацию несёт белорусская компания. А если к тому же сайт компании и интерфейс Jira – англоязычные,  это может трактоваться как целенаправленное воздействие на английский рынок и соответственно подпадать под GDPR.

Мы обсудили эту тему с рядом директоров белорусских компаний, и нам показалось, что они об этом ещё не думали.

У компании Atlassian есть облачная версия продукта, которая хостится самой Atlassian. Но, по нашей субъективной оценке, белорусские компании предпочитают серверную версию. И здесь возникает нюанс: к облачной версии Atlassian выпустила GDPR compliance, компания несёт за неё ответственность. А вот  новости о том, что компания сделала технический compliance для серверной версии Jira, я не видел. Такой информации нет.

Кроме того, GDPR предъявляет требования по data retention: когда персональные данные становятся компании не нужны, она обязана их удалить. Однако серверная версия Jira не имеет технической возможности сделать это автоматически. Кнопочки «хочу удалить старые данные» в ней нет.

Более того, если копнуть технический аспект ещё глубже, то база данных Jira не является исторически транзакционной: в ней нет версии объектов, невозможно удалить старые объекты и оставить только новые. То есть удаление данных не происходит безболезненно, особенно для больших «инстансов». Необходимо глубокое знание продукта и навыки работы с базой данных.

Юридический троллинг

Алекс Енин также предупреждает о риске юридического «троллинга»:

– В ЕС много юридических компаний, которые ищут недочёты в работе других компаний и отсылают им «коммерческие предложения»: мы не подаём на вас в суд – вы заключаете с нами договор о юридических услугах на 20 тысяч евро.

Я думаю, также возможны ситуации, когда недовольный клиент выявляет в вашей политике GDPR несоответствие и пишет жалобу в надзорный орган и оставляет соответствующие отзывы.

Поэтому я советую даже аутсорсинговым компаниям уделить вопросу GDPR время и всё-таки сделать compliance. В интернете для этого есть хорошие, простые инструкции и гайды. Много времени у сервисной компании это не займёт, а кредит доверия в глазах западного партнера повысит.

Обсуждение