Dalam beberapa hari terakhir, surat-surat dari berbagai perusahaan, aplikasi, layanan, dan situs yang pernah Anda gunakan atau tempat Anda membuka akun secara teratur jatuh ke dalam surat. Surat-suratnya hampir sama - mereka melaporkan perubahan dalam kebijakan privasi dan menjelaskan bagaimana perusahaan memproses data pribadi.
Kami
sudah menulis tentang apa sebenarnya yang berubah dalam kebijakan pemrosesan data perusahaan IT besar: WhatsApp, Facebook, Instagram, dan Twitter. Sekarang kita mengerti mengapa lusinan surat dari banyak layanan mulai tiba hanya sekarang, setelah batas waktu GDPR resmi, mengapa tidak semua perusahaan dapat mempersiapkan transisi secara tepat waktu dan masalah apa yang mereka hadapi.
/ foto Dennis van der Heijden CC BYApa yang terjadi
Pada 25 Mei, GDPR - Peraturan Perlindungan Data Umum - mulai berlaku. Ini mengatur perlindungan data pribadi penduduk negara-negara UE dan menggantikan Arahan Perlindungan Data, sebuah arahan dari 1995.
GDPR memengaruhi semua orang, karena berlaku tidak hanya pada perusahaan yang terdaftar di Uni Eropa, tetapi juga bagi semua orang yang menyimpan, memproses, dan menggunakan PD warga negara Uni Eropa.
Perusahaan mulai bersiap di muka, yang model bisnisnya sangat bergantung pada bekerja dengan PD - misalnya, Facebook bahkan sebelum pengenalan GDPR
mengatakan apa yang akan dilakukan untuk mematuhi peraturan baru: semua pengguna akan diminta untuk meninjau pengaturan privasi mereka. Mereka juga akan dapat memilih sendiri apakah mereka siap untuk membagikan informasi mereka untuk tujuan iklan yang ditargetkan, dan jika demikian, yang mana. Selain itu, jaringan sosial
berencana untuk mengembalikan pengenalan wajah, yang dinonaktifkan oleh keputusan pengadilan bahwa perangkat jaringan sosial ini melanggar undang-undang data pribadi.
Tetapi tidak semua perusahaan bereaksi terhadap peraturan baru dengan perhatian yang sama. Pada bulan April, Institut Ponemon melakukan survei di antara ribuan perusahaan, setengahnya
mengakui bahwa mereka tidak akan siap untuk tenggat waktu. Di antara perusahaan IT, ada 60% dari mereka.
Akibatnya, banyak yang benar-benar tidak dapat memenuhi persyaratan peraturan tepat waktu - meskipun tenggat waktu sudah lama diketahui (versi final GDPR diterbitkan 2 tahun lalu). Menurut survei yang dilakukan oleh perusahaan Eropa TrustArc setahun yang lalu di antara dua ratus bisnis dari berbagai negara dan industri, 61% perusahaan bahkan
tidak mulai mempersiapkan GDPR.
Mengapa sangat sulit untuk dicocokkan
Banyak perusahaan tidak punya waktu untuk tenggat waktu, bukan hanya karena mereka memutuskan untuk menunda semuanya sampai akhir. Ada beberapa alasan yang relatif objektif.
Hukum sangat rumit
Dan kadang-kadang bersinggungan dengan tindakan hukum lokal yang berkaitan dengan pemrosesan data pribadi. Pengacara mengatakan bahwa
sangat sulit untuk memahami persyaratan regulator - dan bahkan lebih untuk membangun kembali bisnis Anda sehingga cocok dengan mereka.
Sebagai contoh,
beberapa formulasi dalam poin-poin utama untuk undang-undang tersebut menyebabkan debat panas: persetujuan untuk penggunaan data pribadi biasa harus “tidak ambigu” (yaitu, tidak ambigu, dapat dimengerti, tidak ambigu), dan persetujuan untuk penggunaan data pribadi “sensitif” harus “eksplisit” (ditunjukkan dengan jelas) lengkap).
Tetapi apakah ada perbedaan antara kedua definisi ini dan, sebagai akibatnya, kedua “persetujuan”, dan jika demikian, apa dan apa yang harus diungkapkan dalam aplikasi untuk praktik? Pertanyaannya sama sekali tidak menganggur - itu tergantung pada jawaban yang benar (dari sudut pandang hukum), misalnya, bagaimana itu mungkin dan bagaimana tidak mungkin untuk membuat tanda tangan untuk kotak centang di antarmuka yang menandai persetujuan pengguna untuk pemrosesan PD.
/ image Giulia Forsythe PDSelain itu, undang-undang tidak mempertimbangkan kekhasan lokal: misalnya, berbagai negara memiliki sikap berbeda terhadap data pribadi. Ini adalah sebagian alasan mengapa banyak bagian dari undang-undang sengaja disederhanakan - yang
menciptakan ruang untuk berbagai interpretasinya.
Dan beberapa poin dari GDPR
bertentangan , misalnya, "On Personal Data" Rusia No. 152-FZ, yang juga menciptakan kesulitan bagi perusahaan-perusahaan Rusia yang entah bagaimana mengumpulkan dan menggunakan PD warga negara Eropa.
Proses perombakan
Dan tidak hanya dari sudut pandang teknologi, tetapi juga dari sudut pandang bisnis. Beberapa perusahaan takut jika mereka memberi tahu pengguna bagaimana mereka menggunakan data pribadi mereka, orang tidak akan pernah memberikannya kepada mereka.
Oleh karena itu, pendekatan yang diperkenalkan Facebook untuk mendapatkan izin pengguna akhirnya
dikritik : seluruh jalur pengguna memotivasi dia untuk dengan cepat menyetujui aturan baru dan terus berbagi informasinya dengan layanan.
Tombol "Setuju dan Lanjutkan" adalah yang paling indah dan nyata, dan di sini solusi yang berlawanan terlihat sudah sulit: "Kelola pengaturan data". Jika Anda mengkliknya, Facebook pertama-tama akan mencoba meyakinkan pengguna untuk meninggalkan semuanya apa adanya. Selain itu, Facebook menghalangi pengguna untuk berbagi informasi pribadi di halamannya, tetapi pada saat yang sama tidak mengizinkan jejaring sosial untuk menggunakan informasi ini untuk tujuan periklanan.
Selain itu, usaha kecil dan menengah seringkali
tidak memiliki teknologi dan sumber daya manusia untuk memahami persyaratan hukum dan membuat semua persiapan yang diperlukan - oleh karena itu, bagi mereka, proses membawa semua sistem sesuai dengan persyaratan GDPR menjadi sangat mahal.
Hukum tidak lagi memperhitungkan teknologi baru
Peraturan tersebut dikembangkan dan diadopsi selama beberapa tahun, sehingga banyak gagasan tentang keadaan teknologi saat ini sudah ketinggalan zaman: misalnya, tidak jelas apa yang harus dilakukan dengan Big Data dan pembelajaran mesin.
Jadi, GDPR
memerlukan transparansi dari algoritma pembelajaran mesin - pengembang harus dapat menjelaskan mengapa algoritma membuat keputusan ini atau itu. Dengan kata lain, undang-undang mengatur bahwa pengguna dapat setiap saat menerima penjelasan terperinci tentang mekanisme untuk menggunakan informasi pribadinya untuk membuat keputusan berdasarkan informasi - apakah akan menyetujuinya atau tidak.
Dalam kasus algoritma pembelajaran mesin, ini
tidak begitu mudah dilakukan - mengapa sistem AI membuat keputusan khusus ini pada saat itu, bahkan para insinyurnya terkadang tidak dapat menjelaskannya. Ini tidak diatur oleh GDPR. Dan hal-hal seperti itu akan menjadi semakin dan semakin banyak - hukum harus terus diperbarui, tetapi dalam kenyataannya hukum akan selalu tertinggal dari perkembangan teknologi.
Yang paling sulit adalah perusahaan yang mengembangkan asisten cerdas - Asisten Google, Alexa, Siri.
Layanan ini selalu (meskipun di latar belakang) mendengarkan segala sesuatu yang terjadi di sekitarnya - untuk "bangun" pada waktu yang tepat dan menjalankan perintah menggunakan kata kode. Teknologi ini masih belum sempurna - misalnya, belum lama ini, Amazon menghadapi
masalah yang tidak terduga: Alexa secara berkala mulai tertawa, karena dia dapat memahami ungkapan "Alex, tertawa" dalam pidato yang mengelilinginya.
Kedengarannya konyol, tetapi dalam kerangka GDPR, situasi ini adalah zona abu-abu, yang masih belum jelas cara mengontrolnya. Secara formal, asisten cerdas tidak merekam suara dan tidak mengirimkannya di mana pun - tetapi kasus baru-baru ini dengan Alexa yang sama, yang, karena bug teknis,
mentransmisikan rekaman audio dari percakapan pribadi penghuni rumah ke salah satu kontak di buku telepon, menunjukkan bahwa situasinya bisa berbeda.
Dalam kasus seperti itu, semuanya akan tergantung pada apakah pengguna menderita sebagai akibat atau tidak: misalnya, jika informasi itu tidak digunakan dan layanan dengan cepat "bereaksi" dan menghapusnya. Pengembang Alexa sendiri telah
berjanji untuk meningkatkan algoritme pengenalan suara sehingga peristiwa yang tidak mungkin seperti itu tidak terjadi lagi.
/ foto Oliver Henze CC BY-NDBagaimana pengoperasian layanan tersebut akan diatur dalam hal kepatuhan GDPR belum jelas. Para ahli dan jurnalis setuju: layanan seperti itu mungkin harus mendapatkan persetujuan dari pengguna bahwa asisten cerdas selalu mendengarkan, selalu mencatat dan,
mungkin , mentransfer informasi ke pihak ketiga.
Apa yang akan terjadi?
Apa yang menanti perusahaan yang belum punya waktu untuk membawa proses bisnis sejalan dengan hukum atau telah melanggarnya? Beberapa percaya bahwa 25 Mei adalah "awal yang lunak", dan regulator tidak akan mengejar perusahaan yang tidak memenuhi tenggat waktu (terutama jika mereka memiliki alasan obyektif untuk itu). Meskipun denda karena ketidakpatuhan terhadap peraturan telah ditunjukkan, dan ini sangat signifikan - hingga 4% dari pendapatan tahunan perusahaan.
Namun, ada kesulitan - tidak semua kendali sekarang berada di tangan regulator. Para pengguna itu sendiri juga memiliki kekuatan: misalnya, mereka mungkin memerlukan layanan untuk menerima, mengubah atau menghapus semua PD mereka. Jika proses ini tidak ditetapkan dan layanan ini secara teknis tidak dapat memenuhi kebutuhan pengguna, ada risiko litigasi, yang dapat dimenangkan oleh pengguna.
Banyak ahli masih percaya bahwa pasar tidak akan dapat sepenuhnya mematuhi persyaratan GDPR. Setidaknya karena bidang ini sangat belum dijelajahi - hukum, meskipun dengan maksud yang benar, tidak memengaruhi banyak kasus penting dan cara menggunakan dan menyimpan data pribadi. Jika studi tersebut (terperinci dan terperinci) tetap muncul, studi tersebut akan menjadi dasar yang baik untuk menyelesaikan hukum.
Namun, munculnya GPDR merupakan indikator penting dari pengalihan prioritas. Jika sebelumnya manajemen data pribadi adalah "komponen bayangan" dari hampir semua bisnis, dan perusahaan dapat mengelolanya sesuka hati, kini pengguna akhirnya mendapatkan setidaknya beberapa alat untuk mengontrol data mereka sendiri di Web.
PS Apa lagi yang kami tulis tentang Blog IaaS Perusahaan Pertama:
PPS Beberapa materi tentang topik dari blog kami di Habré: