Двухуровневая структура конфиденциальности
Инфраструктура конфиденциальности данных для предприятий в основном состоит из инструментов, цены на которые рассчитаны для организаций с бюджетами на соблюдение требований в миллионах. Продукты по защите данных Informatica, IBM InfoSphere Optim и BigID предназначены для процессов закупок Fortune 500, с проектами внедрения, профессиональными услугами и годовыми лицензионными сборами в шестизначном диапазоне. Эти инструменты обеспечивают комплексное обнаружение PII, классификацию, анонимизацию и отчетность по соблюдению требований — возможности, которые действительно необходимы крупным предприятиям для их масштабов операций.
Разрыв: 99% предприятий ЕС — это малые и средние компании (SMB), и они обеспечивают 65% рабочей силы ЕС. Эти организации полностью подлежат требованиям GDPR — у GDPR нет освобождения для SMB. Юридический стартап из 20 человек, обрабатывающий формы приема клиентов, подлежит требованиям минимизации данных GDPR (Статья 5(1)(c)), праву на удаление (Статья 17) и требованиям технических мер защиты (Статья 32) на точно таком же основании, как и многонациональная корпорация. Требования регулирования не зависят от размера организации.
Двухуровневая реальность: крупные предприятия могут позволить себе специализированные инструменты соблюдения и внедрять технические меры защиты данных в масштабе. SMB идут на упрощения — хранят PII в электронных таблицах, записывают данные клиентов в незащищенных базах данных, делятся информацией о клиентах в незашифрованных электронных письмах — потому что соответствующие альтернативы стоят за пределами их возможностей.
Случай использования стартапа
Юридический стартап из 5 человек обрабатывает формы приема клиентов. Эти формы содержат имена клиентов, контактные данные, описания дел и потенциально чувствительную личную информацию (семейные обстоятельства, финансовые данные, медицинская информация в зависимости от области практики). Стартап хранит эти формы в своей CRM для управления делами.
GDPR требует: законное основание для обработки (вероятно, выполнение контракта для существующих клиентов, согласие для первоначального приема), минимизация данных (сбор только необходимого), меры безопасности, соответствующие риску (Статья 32), и процессы прав субъектов данных (доступ, удаление, переносимость). Ответственности DPO стартапа обычно выполняет один из основателей без выделенного персонала по соблюдению требований.
Доступная анонимизация PII для этого стартапа означает: анонимизацию данных клиентов до их поступления в общие системы (CRM, к которой имеют доступ несколько членов команды), анонимизацию данных клиентов при обмене с внешними сторонами (судебные документы, противная сторона, эксперты), и анонимизацию данных клиентов в рабочих процессах ИИ (подготовка корреспонденции с использованием Claude или ChatGPT).
Бесплатный тариф обрабатывает 500 форм приема стартапа в месяц. Тариф Starter за 3 EUR/месяц охватывает рост до 1,000 документов. Профессиональный план за 15 EUR/месяц обрабатывает 5,000 документов в месяц по мере роста практики. Общая годовая стоимость на профессиональном уровне: 180 EUR. Альтернатива для предприятий: минимум 30,000 EUR/год. Результат соблюдения: эквивалентен для случая использования стартапа.
Проблема разрыва в соблюдении требований для SMB
Ценовая асимметрия между инструментами для предприятий и потребностями SMB создает системный сбой на рынке: субъекты данных, чья информация обрабатывается SMB, получают меньшую защиту, чем те, чья информация обрабатывается предприятиями — не потому, что SMB меньше заботятся о соблюдении требований, а потому, что инструменты рассчитаны на предприятия. Плоская регуляторная структура GDPR, применимая одинаково ко всем организациям, подразумевает, что доступные технические инструменты соблюдения будут существовать на всех ценовых уровнях. Рынок их не предоставил.
Источники: