#pavelzingan

Олег Стукалов о том, как не наступить на GDPR грабли

08 октября 2019 года Бизнес

Интервью с Олегом Стукаловым, Founder-ом и CEO в WeControl.io. Рубрика IT Business при поддержке сети магазинов Enter

Несколько слов о GDPR

Суть GDPR (General Data Protection Regulation) - достаточно сложное регулирование, целью которого является обеспечение одной из ключевых свобод в ЕС - "приватности персональных данных". Каждый резидент ЕС имеет право знать, как используются данные о нем, кто к ним имеет доступ, попросить, чтобы о нем "забыли", перестали обрабатывать данные, отдали ему в электронном виде все данные которые хранятся о нем. И бизнес обязан обеспечить эти права... А если нет... тогда могут быть штрафы. - Тут можно посмотреть список: 

Чтобы окончательно определить текущий максимальный размер GDPR «грабель», то самый большой штраф на сегодняшний день получила British Airways - 180 млн фунтов.

Если вам кажется, что фразой «где Молдова, а где ЕС!» вы сотворите вокруг своей компании защитную мантру, то я бы, все-таки, не стал на эту мантру полагаться…

Интервью

Олег, привет. Ты уже довольно давно работаешь в Украине. Но начинал ты, ведь, в Молдове?

Я родился в Кишиневе. И как программист начал работать в 1999 году в Кишиневе. Ты сам начал заниматься интернетом, если я не ошибаюсь, в 2000. Рынок ИТ был еще в самом зародыше.

В 2007 году переехал в Киев. В тот момент, аутсорсинг в Украине рос уже взрывными темпами, специалистов не хватало. Поэтому не сложно было уже тогда зарабатывать $3k в месяц, работая программистом. Много лет занимался eCommerce (B2C, B2B). Украиной не ограничилось - какое-то время пожил в Ирландии, в Швеции. Так, например, в Швеции я отвечал за технологическую платформу Ellos/LaRedoute/Jotex - крупнейший online fashion retailer в Скандинавии (компания с оборотом в 500 mln EUR/год). Помогал prom.ua стать настоящим marketplace-ом (вывести conversion rate до ожидаемого уровня).

Ну, все, пошел профессиональный сленг…

Прости, привычка, по работе больше приходится общаться на английском.. С 2014 года выстраивал бизнес подразделение аутсорсинговой компании Provectus (с корнями из Калифорнии). В общем, за 20 лет прошел путь от разработчика до управления бизнесом.

Пока не вижу, где здесь GDPR

В 2018 году тематика GDPR была очень горячей. Многие клиенты обращались к нам за помощью. Я увидел для себя возможность, ведь профессиональных решений для GDPR задач практически не было…

Еще бы, я представляю, как у европейских компаний поджались эээ…, пропустим, когда они поняли, что штраф может влететь с любого угла, и от добропорядочного европейца, который обиделся и от проверяющих органов…

Тем не менее, и это важно понять, GDPR не о штрафах, а о том, как защищать данные и легально их передавать другой стороне (например, партнерам и субподрядчикам)

И мы сейчас видим много кейсов, когда компании говорят "Мы с вами не будем работать, если вы не GDPR compliant"

Олег!

Хорошо. Если вы не «совместимы» с GDPR. Хотя так тоже криво звучит…

Просто, по закону, я не имею право делиться персональными данными (будь-то в ЕС, США или Европе) с non-GDPR compliant компаниями... иначе, я non-compliant, и у меня появляются риски.

Более того, когда я передаю персональные данные, кому-то, своему партнеру, в облачную CRM или Mailchimp - у меня должен быть подписан Data Processing Agreement, который регулирует ответственность и мою роль (Data Controller, Data Processor, etc)

Ладно, сохраню английский, понимаю, что по другому не получится…

Один из наших сотрудников работал ранее в Booking.com в роли DPO (Data Protection Officer). Найти информацию про конкретного вендора (как они обеспечивают privacy, security и т.п.) и подписать договор - сложная задача, которая отнимает много времени. Поэтому мы решили создать платформу, которая позволит решать задачи Data Protection Officer-а и Compliance команд очень быстро. Так и появился WeControl.io

Рекламная пауза


Сегодня никакой связи с публикацией в рекламе нет. Просто я неожиданно наткнулся на YouTube канал Enter и, как одиноко проживающий мужчина, завис на контенте, как выбрать микроволновку. Если вы в похожей ситуации в отношении статуса проживания или полного незнания особенностей микроволновых печей, то велка, смотрите:


Переведу. В каждой европейской компании, которая связана с персональными данными европейцев, должен быть «офицер» по защите данных. И персональные данные – это уже и про медицинское учреждение, супермаркет или авиакомпанию, а не только про «пспортный стол». Так?

Смотри. Каждая компания, которая обрабатывает данные резидентов ЕС должна обладать ролью, которая отвечает за Personal Data. Это может быть Data Protection Lead или Data Protection Officer (DPO). Разница в том, что DPO - обязательная должность, которая регистрируется во многих странах EU (например, в Эстонии - в реестре компаний), и нужная для компаний, в который работает 250+ человек, или компания обрабатывает большой объем персональных данных, или обрабатывает sensitive (чувствительные) персональные данные - например medical records (данные о пациентах).

Ок. Понятно. Как помогает твой стартап WeControl.io выстраивать работу в сфере GDPR?

Мы создали WeControl.io - Unified GDPR Management Platform. Это интегрированный набор инструментов, который помогает GDPR консультантам, Data Protection Officer-ам делать свою работу намного проще. Мы работаем с небольшими компаниями и интернациональными корпорациями. Тем процессам, которые до нас делались в Excel и коммуникациям в email-ах мы предлагаем альтернативу в виде наших инструментов совместной работы.

Чтобы ты лучше понимал, один день GDPR Consultant-а / внешнего DPO в UK стоит компании - 600-900 фунтов.При этом мы видим другую проблему рынка - многие официально зарегистрированные DPO совсем не знают свою работу и назначены номинально. Мы решаем и эту задачу. Мой бизнес партнер половину жизни решал задачи Data Governance-а в крупных корпорациях и банках. Поэтому, у нас есть своя глубоко проработанная методология консультирования, на базе которой мы создали более 40 онлайн курсов.

Как вы сами охотитесь за клиентами?

Сейчас клиенты приходят к нам напрямую, или через GDPR консультантов, с которыми мы работаем. Например, компания Kromtech (MacKeeper) работает с внешним консультантом, но пользуется нашим продуктом, а очень большой игрок BrightStar будет использовать нашу платформу с января 2020 года

Мы сейчас работаем над тем, чтобы выйти на рынок стран Германия/Австрия/Швейцария, договорились с партнерами в Цюрихе. Они верят, что смогут продавать наш продукт, как банкам, так и администрациям городов

Это все про ЕС, а что стоит про GDPR знать в Молдове?

Про Молдову мне сложно сказать, но по Украине я уже вижу кейсы, когда европейский бизнес отказываются работать с Украинским бизнесом, если второй не может продемонстрировать compliance. Это же касается государственных органов. У нас есть клиенты, которые выходят на Европейский рынок и GDPR compliance для них обязательное условие. Они относятся к этому серьезно. Потому как нарушение закона может вмиг убить их репутацию. И повлечь и финансовые потери.

В заключении, WeControl – это?

Мы - стартап на начальной стадии. Мы построили продукт, привлекли первых клиентов. Сейчас задача у нас быстро расти, поэтому мы будем работать над расширением продаж, нашей географии и привлечением инвестиций. Вернее уже работаем.

Первый час консультаций молдавским компаниям готов предоставлять бесплатно?

Как это было у кузнеца в «Пиратах Карибского моря?»…. «Сэр, это же мой гражданский долг»….

 

Павел Зинган

Бизнес
Интервью с Максимом Калужак, архитектором. Рубрика «Архитектура и дизайн» при поддержке компаний Object и Sto Moldova.
Интервью с Денисом Толмач, владельцем компаний по торговле фасадными материалами, лед – гирляндами и производству искусственных елок. Рубрика Business MD/RO при поддержке компании P.A.A.
Интервью с Ольгой Суружиу, директором Orange Systems о проекте Tech Women. Рубрика Be great together powered by Tekwill.
Интервью с Маргаретой Галажу, тестером в XOR. Рубрика IT People при поддержке сети магазинов Enter.