GDPR going live

Около года назад мне довелось работать аудитором в департаменте защиты данных в одной крупной английской компании. Мы проверяли контроль над информационными системами поставщиков - европейские законы суровы, data controller (компания, которой юзер добровольно, от чистого сердца, в здравом уме и в трезвой памяти отдал свои личные данные), несет полную ответственность за эти самые личные данные. Даже если их потерял поставщик поставщика поставщика, сосед по комнате и вообще пятидесятый перец в торговой цепочке - штраф data controller'у взлетает до 4% процентов годового дохода компании, а это феерическая сумма.

Наверное, где-то там мне впервые открылось, какое охренительное количество третьих лиц участвует в этих торговых цепочках. Аутсорсинг наше все, и один маркетинговый отдел нанимает чертову кучу разнообразных составителей опросов, собирателей анкет, аналитиков, психологов, дополнительных консультантов-маркетологов, и всем им, всем обязательно нужны личные данные юзеров. И оппа, ты в беде, data controller.

С большими компаниями работать легко, потому что они тоже помнят про штраф в 4% и их системы защиты неплохи насколько они могут быть неплохи. Хотя здесь стоит помнить, что абсолютной защиты нет, вскрыть могут каждого, и человеческий фактор тоже никто не отменял. Просто крупные корпорации уделяют этому больше внимания и проводят проверки и чистки чуть ли не по несколько раз в год. К тому же, крупные корпорации достаточно охотно соглашались на аудит, и исключение составил, разумеется, Гугл, представитель которого весьма резонно сказал: "не нравится - не пользуйтесь". Ну что же, за бесплатные сервисы платят все равно, только чутка иначе )) Проблемы начинались, когда твой поставщик, например, разработчик, у которого даже личного офиса нет, и вся защита - это пароль в три буквы на оси. К счастью, Европейский закон о защите данных определяет несколько категорий "важности" для различного типа данных, и соответственно должны распределяться уровни защиты. Базы данных с банковскими данными и биометрикой, например, защищаются сильнее, чем базы данных с е-мейлами и именами / фамилиями. Итого, данные из первой категории вряд ли достанутся левому разработчику в Индии, но вот емейлы и часть адреса - вполне.

Еще достаточно проблем принесли новые технологии вроде управляемых голосом приборов. Какую информацию они собирают? Алекса, включи телевизор на канал спорта? Третья категория. Стоп, говорит департамент защиты данных, но злоумышленник может определить, когда юзер бывает дома, и когда не бывает. ОПАСНО. Вторая категория. Нет, стоп. А что если юзер начнет диктовать свои банковские данные? Он не обязан этого делать, он не должен этого делать, но чисто гипотетически... Так что же, первая категория? Тогда включать в первую категорию и все камеры - а вдруг кто-то от большого ума поднесет к ней паспорт? И все анкетные формы - юзер же тоже может написать туда что захочет?..

Шеф ссылался на золотое правило The man оn the Clapham omnibus - т.е. решение, которое принял бы среднестатистический разумно мыслящий человек. Среднестатистический разумно мыслящий человек не станет пихать банковские данные в анкету-опросник о том, понравился ли ему новый крем. К счастью, суд не защищает идиотов = вторая категория.

Со вчерашнего дня в ЕС в силу вступил GDPR, новый свод законов о защите данных, где гайки закрутили еще сильнее. Изменений куча, затраты на это дело будут фантастическими. Пожалуй, мне не нравится... ну, пара вещей не нравится там, конечно, но если отойти от юридических терок, то почти всю ответственность теперь переложили с пользователей на бизнес-компании. Это, конечно, круто, когда тебе не надо читать, что ты подписываешь и думать, ставить ли галочку или нет, но... хммм... походу политика всего этого движется к тому, что пользователю вообще не стоит давать думать. Нужно вводить что-то на смену естественному отбору, а то утонет все ))