В конце мая этого года в странах Европейского Союза в действие вступают новые правила сбора и использования персональных данных граждан еврозоны, так называемые General Data Protection Regulation (GDPR). Правила затронут абсолютно всех, кто работает с европейским рынком, использует информацию клиентов, сотрудников или других стейкхолдеров для бизнес-целей. Что это значит и как повлияет на ИТ-сектор, украинский бизнес и, в частности, e-commerce сегмент, следует разобраться детальнее.

Ценность персональных данных

В конце ХХ века в странах Запада возник и очень быстро распространился новый вид преступности - кража личности (identity theft). Мошенничество заключалось в незаконном использовании персональной информации человека для доступа, например, к банковским счетам, получения кредита или даже лекарственных препаратов по страховке. Сегодня же с появлением все новых технологий и последующим ростом big data риски кибермошенничества с использованием личных данных будут только возрастать.

Согласно результатам Javelin Strategy & Research, общий ущерб от онлайн-преступности за прошлый год составил $16,8 млрд, а количество пострадавших достигло рекордной отметки в 16,7 млн человек. Но, пожалуй, самый яркий кейс мошеннических действий - 50%-ный рост незаконного использования личных данных - был зафиксирован UK Fraud Prevention Service пять лет назад и стал последним толчком для разработки нового общего регламента о защите персональной информации (GDPR) граждан 28 стран ЕС.

GDPR как панацея защиты информации

Потребность в новых правилах сбора, использования и хранения данных возникла вследствие стремительного развития цифровой экономики. Технологический прогресс, глобализация бизнеса, мобильность и скорость распространения информации - реальность, которая требует нового подхода к защите данных. С этой целью в 2014 году Европарламент поддержал GDPR, а двумя годами позже Совет Европы окончательно принял соответствующий документ, который вступает в силу 25 мая этого года.

Изучая новый регламент, стоит обратить внимание на сферу применения GDPR. Она включает все сценарии, когда деятельность компании охватывает территорию Еврозоны и распространяется на всех ее граждан (представительства, реализация товаров, услуг, сбор, использование личной информации для бизнес-целей и другое). Также следует рассмотреть определение персональных данных и их обработки.

Персональные данные, согласно регламенту, содержат любую информацию, которая способна идентифицировать пользователя (имя и фамилия, адрес, место работы). Вдобавок к этому в законе появляется новая категория данных - sensitive personal data - с расширенным перечнем личной информации: биометрические данные, информация о здоровье, расовая, этническая и религиозная принадлежность, сексуальная ориентация, членство в организациях, политические и даже философские взгляды. Обработка таких данных может быть осуществлена только при наличии обозначенных в регламенте оснований - получения согласия от субъекта данных, защиты жизненных интересов физического лица и т.д.

Некорректный сбор, использование или хранение такой информации согласно принципам GDPR влекут за собой наказание в виде штрафных или других санкций для нарушителей. Так, сумма штрафа за нарушение или игнорирование правил GDPR может достигнуть 20 млн евро или же до 4% годового оборота компании. Законная обработка данных предусматривает получение однозначного и точного согласия пользователя на такие действия. Для этого компания должна просто и понятно объяснить цели обработки личной информации. А также указать на право пользователя отозвать процесс обработки или же в будущем потребовать удалить данные.

Контролировать исполнение всех требований GDPR будут локальные представительства регулятора в странах ЕС - data protection authorities. В конце февраля был сформирован полный список национальных регуляторов. Также для упрощения коммуникации и взаимодействия с представительством регулятора GDPR вводит принцип единого окна (one stop shop), когда компания может выбрать одно из 28 локальных представительств для координации своих действий в области обработки и защиты персональных данных (к примеру, ту страну, где есть представительство компании или для граждан которой она предоставляет товары/услуги).

GDPR в e-commerce: что важно учесть

В мире электронной коммерции важную часть информационных активов составляют персональные данные пользователей. Онлайн-площадки используют множество сложных процессов автоматизации данных, чтобы быть релевантным каждому посетителю веб-магазина, создавая уникальный клиентский опыт. Но со вступлением в действие GDPR брендам будет сложнее привлекать внимание клиентов к своим сервисам и продуктам посредством e-commerce каналов.

Регламент запрещает отправлять письма с рассылками, bulk-SMS, использовать данные пользователя и совершать другие действия с личной информацией без предварительного согласия клиента. Все эти изменения могут снизить показатели эффективности онлайн-бизнеса: коэффициенты конверсии, клиентский опыт и даже доход. Тем не менее эксперты рынка более чем оптимистичны и рассматривают использование GDPR как инструмент улучшения обслуживания клиентов. Например, уже сейчас можно выделить следующие преимущества GDPR:

  • прозрачность обращения с данными повышает доверие клиентов;

  • четкие процессы сбора и использования данных могут улучшить качество обслуживания пользователей;

  • своевременное и правильное внедрение GDPR дает компании конкурентное преимущество.

Для создания и работы решений электронной коммерции компании сотрудничают с операторами специальных e-commerce-платформ, таких как IBM, Salesforce, Joomla, Magento, WordPress, Drupal, Oracle Commerce, SAP и другие. Поскольку каждая компания выбирает удобную для себя систему, платформу сбора и хранения данных (CRM, система автоматизации маркетинга), то практическая реализация GDPR на каждой из них будет отличаться.

Так, Salesforce уже несколько месяцев занимается внедрением принципов нового регламента по работе с данными во все свои облачные продукты. А Magento Marketplace анализирует и пересматривает клиентские и партнерские контракты, политику и процессы, связанные с конфиденциальностью и защитой данных. Компания IBM предложила собственное решение вопроса GDPR, создав платформу IBM Unified Governance and Integration Platform для более расширенного управления данными. А платформа SAP Hybris Commerce подошла к делу еще более основательно и приобрела компанию Gigya - лидера рынка в области идентификации пользователей и управления доступом к данным.

Но, независимо от платформы, GDPR предусматривает набор ключевых принципов:

  • запрашивать согласие и подтверждение клиента на хранение личных данных;

  • прекращать использование информации клиента по его запросу (это не означает удаления данных);

  • право клиента потребовать удалить личные данные (право на забвение);

  • право пользователя на перемещение или изменение информации о себе;

  • уведомлять клиентов в течение 72 часов о нарушениях работы с данными (например, если бы GDPR действовал в прошлом году, то Uber заплатил бы штраф за то, что оповестил пользователей об утечке данных только спустя год).

Украинский бизнес vs GDPR

Требования General Data Protection Regulation распространяются и на значительную часть украинских компаний, которые могут даже и не догадываться об этом. В первую очередь регламент затронет бизнес, который предоставляет услуги, продукты и сервисы для стран Еврозоны. Или трудоустраивает европейских граждан в своих представительствах. Так, регламент повлияет на украинских экспортеров, которые уже второй год работают с европейским рынком в рамках зоны свободной торговли между Украиной и ЕС.

Новые нормы GDPR стоит рассмотреть представителям финансового и IT-секторов, медиа и телекоммуникаций, туризма, фармацевтической и транспортной индустрии, а также игрокам e-commerce, привлекающим клиентов с европейского рынка. Если гражданин ЕС посетит украинский интернет-магазин, который предлагает услуги/товары на языках европейских стран, в местных валютах (евро, фунты) или же с использованием национальных доменов стран ЕС (“.co.uk”,“.fr”,“.de”и т.д.), то этот интернет-магазин автоматически станет оператором данных иностранного лица и, согласно требованиям GDPR, должен будет их обработать, сохранить и защитить.

Регламент также применяется, если пользователь не является гражданином ЕС, но находится на его территории. Например, когда украинец из Праги покупает билеты на англоязычной версии сайта автобусного перевозчика из Украины в страны Европы, который адаптировал цены в евро и облагается налогами по законам той страны, откуда будет отправление.

Суть нового регламента в том, чтобы стимулировать не только украинскую компанию к повышению ответственности за использование данных граждан ЕС, но и европейскую компанию - к более тщательному выбору надежных контрагентов по обработке персональной информации вне стран Еврозоны. К примеру, если вследствие хакерской атаки у украинского сервисного оператора - партнера европейского физ- или юрлица - произойдет утечка данных, то пострадает репутация обоих.

Последствия GDPR для организаций, которые работают с рынком ЕС, в случае несоответствия нормам регламента:

  • штрафы в зависимости от нарушений регламента (обращение субъекта персональных данных к регулятору, расследование data protection authorities);

  • нарушение коммерческих и других отношений с партнерскими организациями на территории ЕС (например, закрытие корреспондентских счетов);

  • блокировка доступа к сайту в странах Еврозоны;

  • потеря или ухудшение репутации на международном рынке в области защиты данных.

Осталось немногим более двух месяцев до вступления в действие GDPR, но шанс успеть к изменениям есть. Тем более что, согласно последнему опросу EY Global Forensic Data Analytics Survey 2018, две трети глобального бизнеса все еще находятся на стадии разработки плана внедрения регламента данных. Для украинских компаний General Data Protection Regulation - это в первую очередь выход на новый уровень работы с информацией, возможность повысить доверие партнеров и лояльность клиентов, а также укрепить конкурентные преимущества как на внутреннем, так и на внешних рынках. Поэтому лучше меняться сейчас, чем остаться за бортом в будущем.

Автор - Дарья Горницкая, генеральный директор Astound Commerce Украина