Глобальная индустрия фитнеса готовится к GDPR

25 мая в Европейском союзе (ЕС) вступает в силу новый General Data Protection Regulation (GDPR).

Это является причиной некоторого замешательства, беспокойства и изрядного количества раздумий.

"GDPR вносит самые большие изменения в законодательство о защите данных в Европе за последние 20 лет", - говорит Алан Лич, директор по маркетингу West Wood Club, сети из семи предприятий, расположенных в Дублине, Ирландия. "Последствия для компаний по всей Европе огромны".

Смысл GDPR заключается в защите конфиденциальности данных граждан и совершенствовании методов работы организаций с данными.

Хотя GDPR был разработан в Европе, его влияние определенно будет ощущаться в США - в том числе в IHRSA - и в любой стране, ведущей бизнес в ЕС. В декабре Forbes опубликовал статью, информирующую читателей о том, что "Да, GDPR повлияет на ваш американский бизнес". А в январе The New York Times сообщила, что в Силиконовой долине "технологические гиганты готовятся к новым европейским правилам конфиденциальности данных".

IHRSA соблюдает требования GDPR, предлагая жителям ЕС отказаться от получения сообщений по электронной почте.

"GDPR - это глобальное изменение правил конфиденциальности, - говорит Флориан Карту, директор IHRSA Europe.

Наказания за несоблюдение требований невозможно игнорировать. Нарушения могут привести к штрафу в размере до 20 миллионов евро или 4% от годового дохода компании, в зависимости от того, что больше.

Международные компании фитнес-индустрии со штаб-квартирами в США, такие как Life Fitness, расположенная в Роузмонте, штат Иллинойс, и Anytime Fitnes, расположенная в Вудбери, штат Массачусетс, приняли к сведению и предпринимают соответствующие шаги. "Мы работали... над разработкой плана проекта по выполнению обязательств по обеспечению безопасности и конфиденциальности в соответствии с GDPR", - говорит Life Fitness.

Дебют Интернета и его последующий взрыв помогли превратить данные в один из самых ценных товаров в мире, и теперь, возможно, они являются основой, универсальной платформой, на которой стоит современная цивилизация.

Но для каждого из бесконечных возможностей ее использования существует возможность неправильного применения и/или злоупотребления. При обсуждении GDPR цель обычно связывают с потребителями, которые подвергаются риску таких вещей, как кража личных данных, финансовое мошенничество, кража информации, манипуляции в социальных сетях и т.д. GDPR призван гарантировать, насколько это возможно, безопасность личных данных людей. Но предпосылка, лежащая в основе GDPR - что данные ценны, должны быть защищены и поэтому регулируются - в равной степени относится и к предприятиям.

Не проходит и месяца, чтобы мы не узнали об очередной огромной утечке данных с далеко идущими, а иногда и неисчислимыми последствиями. В марте, когда стало известно, что компания Cambridge Analytica, возможно, использовала данные более 50 миллионов пользователей Facebook в политических целях, заголовки в Times гласили: "Cambridge Analytica отстраняет генерального директора" и "Руководитель службы безопасности данных Facebook уходит на фоне возмущения".

Возможно, более важным является то, что впервые это событие сделало GDPR горячей темой, причем темой в США - о ней сообщали дикторы, ее обсуждали ведущие ток-шоу, и она занимала видное место в других заголовках, включая: "Мог ли GDPR остановить скандал с Cambridge Analytica?".

Дьявол в деталях

"Клубы здоровья собирают персональные данные членов и не членов клуба", - говорит Лич. "Они собирают имена, адреса, электронную почту, банковские реквизиты, медицинскую информацию и множество другой информации. Данные имеют решающее значение для каждого аспекта нашего бизнеса, и мы несем ответственность за их защиту". ... GDPR призван "укрепить и унифицировать" защиту данных для всех в ЕС".

Отзывы об этой мере варьируются от "несущественно" до "присяжные еще не определились", но один из моментов, с которым, похоже, согласны все, подытожил Джим Гониа, главный юрисконсульт компании Anytime Fitness, которая имеет крупное международное присутствие. "Мы рассматриваем стандарты GDPR как волну будущего и намерены внедрить их во всех наших международных операциях, даже за пределами ЕС, в той степени, в которой они не противоречат местным законам".

Еще один вывод, к которому пришли все, включая Лича и Карту, - важность использования услуг адвокатов или консультантов с серьезным опытом в области регулирования. "Я настоятельно рекомендую любому фитнес-клубу проконсультироваться со своими консультантами о всех последствиях GDPR", - говорит Лич.

Несмотря на то, что цели регламента кажутся разумными, задача воплотить их в жизнь является сложной. "Дело не в том, что новые положения GDPR не нужны или что какое-то отдельное требование особенно шокирует; скорее, основная проблема заключается в том, что GDPR пришли к нам все сразу и потенциально могут повлиять почти на каждую организацию в мире", - говорит Лич.

Еще одним препятствием, быстро отмечает он, является то, что "GDPR сложен. Очень сложный!"

Наиболее полным и авторитетным руководством является официальный сайт GDPR.

"Статья 5 GDPR описывает шесть принципов, которые должны применяться при любом сборе или обработке данных человека", - объясняет Лич. "Эти шесть принципов лежат в основе GDPR". К ним относятся:

1. Персональные данные (ПД) должны обрабатываться законно, справедливо и прозрачно.
2. Сбор ПД может осуществляться только в определенных, явных и законных целях.
3. ПД должны быть адекватными, релевантными и ограничиваться тем, что необходимо для обработки.
4. PD должны быть точными и поддерживаться в актуальном состоянии.
5. ПД должны храниться в такой форме, чтобы субъект данных мог быть идентифицирован только "до тех пор, пока это необходимо" для обработки.
6. ПД должны обрабатываться таким образом, чтобы обеспечивалась их безопасность.

В прошлом месяце IHRSA провела вебинар на тему "Новые европейские правила защиты данных: Влияние на ваш спортзал", который вы можете прослушать в любое время.

Соответствие: Затраты и выгоды

Освоение сложного и запутанного GDPR во многом похоже на изучение совершенно нового языка, но от США до ЕС фитнес-клубы и другие предприятия отрасли старательно выполняют свои обязанности.

Лич и топ-менеджмент его сети посетили профессиональный тренинг CMG в Дублине и получили сертификаты CMG мастер-класса по GDPR. "На данном этапе я был на стольких совещаниях и заседаниях по планированию, что, думаю, мог бы пересказать весь документ по GDPR слово в слово", - говорит он.

West Wood Club начал готовиться ко Дню GDPR около семи месяцев назад, и "первой и самой важной целью было отделить пугающую информацию от фактов", - говорит Лич, который также является членом совета директоров IHRSA.

"Для того чтобы West Wood Club полностью соответствовал требованиям GDPR к 25 мая, потребуется много работы и усилий", - говорит он. "Необходимо будет обучить более 400 сотрудников. Необходимо будет нанять сотрудника по защите данных. Все программное обеспечение для членства и продаж должно быть проверено на предмет соответствия GDPR".

Компания Anytime Fitness, которая насчитывает около 4000 клубов в 20 странах, уже давно поняла, что GDPR не за горами, и "собрала команду, состоящую из наших технологических и юридических отделов, чтобы оценить требования регламента и внедрить изменения, необходимые для обеспечения соответствия", - говорит Гониеа.

Список необходимых действий представляется монументальным, но эта фитнес-франшиза, похоже, относится к нему с некоторой долей серьезности. "Задачи, которые нам пришлось выполнить, включают, среди прочего, оценку требований GDPR; составление схемы потоков данных в нашей системе; оценку того, кто в нашей системе является контроллером и/или процессором; пересмотр и пересмотр нашей политики конфиденциальности; пересмотр и пересмотр договоров с членами клуба, в которых собираются личные данные; пересмотр и пересмотр договоров с поставщиками из ЕС. ..."

Anytime Fitness, объясняет Гониеа, всегда использовала лучшие практики в отношении вопросов конфиденциальности данных, и в результате смогла отнестись к GDPR с определенным профессиональным хладнокровием, спокойно принимая дополнительные усилия и расходы, которые он повлечет за собой.

"Соблюдение стандартов GDPR не потребовало значительных изменений в том, как мы ведем бизнес или обрабатываем данные членов или сотрудников", - говорит он. "Для компаний, уже применяющих передовые методы в области конфиденциальности данных, GDPR, вероятно, не станет существенным препятствием для расширения их деятельности в ЕС".

Проблемы, дополнительные расходы и мимолетное замешательство, вызванные GDPR, сопровождаются как кнутом, так и пряником. Несоблюдение многочисленных предписаний GDPR влечет за собой штраф и даже может привести к тому, что компания не сможет работать в ЕС.

"Стоимость несоблюдения требований слишком опасна, чтобы ее игнорировать", - предупреждает Карту. "Вы можете быть оштрафованы на сумму до 20 миллионов евро или 4% от вашего глобального дохода - в зависимости от того, что больше - если вас поймают на неправильном обращении с данными ваших европейских клиентов". В то же время, - отмечает он, - GDPR предоставит клубам и другим предприятиям возможность лучше заботиться о своих сотрудниках и данных клиентов.

"Для американских компаний уравнение должно быть очень простым", - говорит он. "Вы не хотите закрывать себе доступ на рынок с 500 миллионами потребителей".