Как российский и индийский бизнес защищает данные граждан
Исследования аналитиков из Индии и России выявили схожий тренд на комплаенс компаний по обработке и хранению персональных данных. Уровень осведомленности о регламенте защиты информации показывает, что странам есть куда расти. Какие отрасли лучше работают с персданными, и доверяют ли граждане компаниям-операторам, – в материале PRO Шеринг.
Реинкарнация закона о персданных
Почти половина индийцев откажутся от услуг компаний при утечках персональных данных. Согласно отчету консалтинговой компании PwC «Исследование ситуации с конфиденциальностью данных в Индии», 42% потребителей не уверены, что продолжат пользоваться услугами компании после утечки данных. «В городах первого уровня этот показатель выше — 46%. Хотя 52% организаций планируют дополнительные меры безопасности для защиты персональных данных, сами по себе технологии не решат проблему соответствия требованиям», — заявили в PwC India.
Опрос также показал, что только 16% потребителей в разных регионах знают про «Закон о защите персональных данных» (Digital Personal Data Protection Act, DPDP). Из них 56% не слышали о своих правах, и 69% не знают о возможности отозвать свое согласие. Порядка 72% не осведомлены о правилах обработки данных несовершеннолетних и о необходимости получения согласия родителей или опекунов.
Партнер и руководитель отдела риск-консалтинга PwC в Индии и руководитель отдела кибербезопасности и конфиденциальности PwC в Азиатско-Тихоокеанском регионе Сиварама Кришнан, считает, что закон о персданных сыграет важнейшую роль в переходе Индии к цифровой экономике с высокими темпами роста. Но пока многие с ним не знакомы, включая бизнес.
Сиварама Кришнан, PwC India
Наш опрос более 3 тыс. потребителей и 200 компаний выявил значительный разрыв в понимании основных принципов конфиденциальности данных среди всех участников.
Среди компаний наибольшая осведомленность выявлена в финансовом и ИТ секторах – 17% и 23% соответственно. Хуже всего дело обстоит в классических отраслях – фармацевтике (8%) и обрабатывающей промышленности (10%). Ритейл (13%) также находится в аутсайдерах.
В России опрос юридической компанией в области privacy Б-152, показал схожесть с Индией в уровне комплаенса по отраслям. Лидерами ожидаемо оказался сектор IT, телеком и медиа сфер (21%) и финансовые, страховые компании (13%). Российский фармацевтический рынок, как и индийский, погрузился в защиту данных лишь на 8%. А вот отечественный ритейл отстал почти на 10% от Индии, набрав только 4,24%. Зато в образовании и энергетики Россия показала хорошую динамику в 7% и 6% соответственно.
Руководитель и партнер PwC India по бизнес- и технологическим рискам Анирбан Сенгупта отмечает, что в тех отраслях Индии, которые регулируются и работают напрямую с потребителями, видна зрелость механизмов обеспечения конфиденциальности. Но сами компании выражают обеспокоенность по поводу закона и его соблюдения.
Бизнес без просвещения
Напомним, что в Индии закон о защите цифровых персональных данных был утвержден в последней актуальной редакции в августе 2023 года, а поправки в российский закон №152-ФЗ «О защите персональных данных» вступили в силу в сентябре 2022 года. Финальный DPDP вышел более скромным по сравнению c ранней версией от 2022 года — в нем снижены обязательства для бизнеса и защита потребителей. С одной стороны, структура регулирования проще, но с другой в некоторых случаях он наделяет Правительство неограниченными полномочиями, считают эксперты.
Индийские аналитики обеспокоены, что компании пока не демонстрируют четкого или единодушного желания инвестировать в просвещение по вопросам защиты данных потребителей. Сиварама Кришнан считает, что закон открывает перед организациями множество новых возможностей для переориентации бизнеса, переосмысления рисков, связанных с «токсичными» данными, и повышение доверия потребителей.
Анирбан Сенгупта, PwC
Насущная необходимость — это культурный и просветительский сдвиг в сторону приоритета конфиденциальности данных, что требует активного участия как бизнеса, так и потребителей.
PwC India заявила, что рынкам e-commerce, соцсетей и ИТ-технологий стоит уделять больше внимания просвещению потребителям 18-30 лет в вопросах цифровой конфиденциальности и рассказывать о последствиях необдуманного обмена данными.
Соучредитель сообщества профессионалов в области приватности (Regional Privacy Professionals Association, RPPA.pro) Алексей Мунтян в разговоре с PRO Шеринг отметил актуальность не самих показателей в исследованиях, а трендов и динамики внедрения комплаенса по защите данных. «Я бы представленные данные обеих стран делил надвое, поскольку опрашиваются, как правило, компании уже знакомые с законом», – уточнил эксперт.
Например, в Индии тренды пока выжидательные, даже в цифровых отраслях. Планируют внедрять комплаенс в ИТ-рынке только 16%, в ритейле и e-commerce – 18% организаций. Еще не планировали внедрять 47% и 50% компаний соответственно.
Роскомнадзор научит данные ценить
В России ситуация с просвещением выглядит более позитивной по оценкам экспертов в области защиты и обработки персональных данных.
«Отношение компаний к вопросам защиты персданных меняется, поскольку законодательство становится жестче, а Роскомнадзор вводит новые рекомендации и штрафные санкции. Это заставляет бизнес пересматривать свою политику конфиденциальности», – рассказал PRO Шеринг основатель юридической компании Б-152 Максим Лагутин.
Например, в 2023 году количество специалистов по защите данных, которые напрямую отчитываются генеральному директору, увеличилось до 42% по сравнению с 33% в 2022 году, говорится в исследовании Б-152. Это свидетельствует о повышении значимости данных на высшем уровне управления компаниями, уверен эксперт. Снизилось число жалоб и со стороны граждан на нарушения в обработке их персональных данных – 21% (2023) против 30% в 2022 году.
Алексей Мунтян, RPPA
Немалую роль сыграла активная позиция Роскомнадзора и профильных сообществ, которые объединили специалистов по защите данных компаний и вели просветительскую работу.
В частности, «Сообщество профессионалов в области приватности» (RPPA) проводит обучающие программы, а также занимается сертификацией профессионалов в области персональных данных; активно сотрудничает на уровне законодательного регулирования с госструктурами и законотворцами, выступая совместно с компаниями в качестве экспертов.
«Для популяризации правил защиты данных в Индии нужно работать не только с компаниями — это коллективные усилия, включающие правительство, социальные институты и общество, считает директор по правовым вопросам компании Marico Амит Бхасин.
Он отметил, что осведомленность о персданных в небольших городах все еще низкая, и людям потребуется время, чтобы осознать ценность защиты своей личной информации.
Амит Бхасин, Marico
Это культурный сдвиг, но он приживется, как и концепция защиты финансовых активов.
Пока же 2/3 граждан в Индии не доверяют компаниям, которые хранят и обрабатывают их данные. Эти показатели не сильно отличаются от «температуры по палате» в других странах.
Напомним, что неделю назад в России законотворцы представили Госдуме законопроект об ограничении сбора персональных данных. Такой подход поддерживают Роскомнадзор и Совет Федерации РФ.
«Инициатива направлена на четкое разделение документов, касающихся согласия на обработку персональных данных, и ужесточение контроля над их оборотом», – сообщил 16 октября глава комитета ГД по информполитике в ходе заседания в Госдуме Александр Хинштейн.
Александр Хинштейн, Госдума
В массовом порядке компании-операторы берут у гражданина сразу много согласий в одном документе. Нередко – в электронном виде, где достаточно поставить «галочку».
Большинство людей даже не понимают, что подписывают согласие на обработку своих персданных или не имеют возможности от этого отказаться, – пояснил Александр Хинштейн.
Ранее в феврале об этой проблеме в Совете Федерации РФ говорил заместитель главы Роскомнадзора Милош Вагнер: «Чтобы минимизировать последствия возможных утечек для граждан, операторы должны соблюдать ключевые принципы работы с данными:
Милош Вагнер, Роскомнадзор
Это минимизация перечня собираемых сведений, удаление их по достижении цели обработки, регулярное проведение мероприятий внутреннего контроля по обеспечению безопасности обрабатываемых персональных данных.
Роскомнадзор предлагает разработать и закрепить на законодательном уровне обязательные стандарты работы с персональными данными, которым должны будут следовать все участники оборота таких данных. Вместо того чтобы получать данные напрямую от граждан, организации будут получать их от уполномоченных органов, если это необходимо.
Авторы: Александр Журавлев, Денис Кунгуров
Фото: PwC, RPPA, Б-152, Ulpravda.ru, Adobe Stock,