Ольга Куничак |
Прошло почти два года с момента вступления в силу Общего Регламента по Защите Данных (GDPR) в ЕС. Регламент стал флагманом в сфере защиты персональных данных.
Своеобразный аналог GDPR был также принят в штате Калифорния осенью 2018 года. Документ, вступивший в силу с начала 2020 года, носит название «California Consumer Privacy Act (CCPA)» и не является таким же всеобъемлющим и жестким как европейский вариант. Так, например, CCPA действует только на территории Калифорнии и касается компаний, которые попадают под следующие критерии: валовый годовой доход превышает $25 млн, ежегодно получают и оперируют в коммерческих целях персональной информацией более 50 тысяч пользователей, получают 50%+ годовой прибыли от продажи персональной информации пользователей.
Со своей стороны, 2 года назад Украина тоже приняла на себя обязательство усовершенствовать уровень защиты персональных данных и двигаться в сторону GDPR compliant страны.
Осенью 2018 года активно проводились рабочие группы и публичные обсуждения будущего законопроекта, который должен был быть аналогом GDPR в Украине.
Однако, инициатива была отложена «в долгий ящик» и обсуждения продолжились в декабре 2019 года. Уже сейчас депутаты и Офис Омбудсмена пришли к компромиссу и активно работают над законопроектом. Хорошая новость на сегодня состоит в том, что в основе было взято именно европейскую модель защиты персональных данных.
Зачем это нужно Украине?
В современном цифровом мире, особенно с развитием Big Data и таргетированной рекламы, информация становится одним из главных ресурсов, а ее объемы, которые хранятся компаниями - просто колоссальные. Так, мы все пользуемся услугами доставки еды, такси, авиаперелетами или любыми другими сервисами, где для удобства онлайн оплаты полностью указываем информацию банковской карты, личные данные, номер телефона, и так далее. По этой причине, а также из-за громких скандалов с утечкой информации (например, Uber, Cambridge Analytica и Facebook) защита информации и ее контроль со стороны государства стремительно движется в сторону приоритетных задач. И Украина не является исключением: с одной стороны, это необходимо для стабильного развития страны, а с другой - ЕС является нашим главным партнером не только в экспорте/импорте, но и в стратегических целях, и GDPR compliance значительно упростит процессы, связанные с данными (хранение, обмен, обработка, и так далее) и ослабит существующие барьеры.
Таким образом, украинский бизнес будет полностью отвечать требованиям безопасности данных ЕС, то есть не нужно будет дополнительно подтверждать, что уровень защиты данных в компании находится на должном уровне при сотрудничестве. Это, например, упростит работу с европейскими банками - значительно уменьшит объем документов и подтверждений, которые сейчас требуются.
В то же время, имплементация GDPR и получение статуса страны, которая обеспечивает должный уровень защиты персональных данных, существенно облегчит как привлечение инвестиций, так и ведение бизнеса со странами ЕС. Так, согласно статье 45 Регламента, личные данные можно передавать странам с адекватным уровнем защиты персональной информации без дополнительных разрешений и согласований с контролирующими органами. В то же время, статья 13 GDPR требует сообщать своим клиентам о передаче данных за пределами ЕС. При этом, сейчас содержание таких сообщений показывает Украину с не самой привлекательной стороны: «Ваши данные будут переданы для обработки в Украину, в страну, где нет адекватного уровня защиты персональных данных». А если к этому всему добавить предусмотренные Регламентом штрафы в размере десятков миллионов евро, то шансов на сотрудничество остается достаточно мало.
Ведь сейчас, для понимания, если компания работает с данными граждан ЕС - она автоматически попадает под действие Регламента и вынуждена трансформировать свои процессы, чтобы соответствовать европейским требованиям.
Однако, в общем, пока страна не получит необходимого статуса GDPR compliant - заинтересовать клиентов из ЕС работать с нашими компаниями будет изрядно трудно, так же, как и убедить инвесторов в открытии офисов или R&D в Украине.
Какие есть подводные камни?
Процесс получения пресловутой надписи «GDPR compliant company» требует немалых усилий. Регламент устанавливает четкие правила и политику хранения и использования персональных данных, а также контроль над ней. Подготовка к таким изменениям требует от компаний инвестиций и изменения всех процессов, которые хоть каким-либо образом связанны с данными. Прежде всего, компаниям следует ввести адекватную систему защиты информации (кибербезопасность), чтобы противодействовать возможным утечкам данных. В то же время возникает и потребность в формировании постоянного отдела, который будет заниматься такой безопасностью или же нанимать аутсорс-подрядчиков.
Коммуникация с клиентами (сообщения, веб-сайты, формы для заполнения, фидбеки, и так далее) должна быть полностью перестроены. И именно хранение и использование отдельных, необходимых для компаний данных, требуют четкой регламентации, которая сопровождается рядом документов. Для понимания длительности трансформационных процессов: в ЕС для того, чтоб стать GDPR compliant, компании должны пройти переходной период длительностью 2 года.
Проверить информацию о своем контрагенте можно в системе проверки и мониторинга бизнес-партнеров CONTR AGENT. Это удобный сервис, который за несколько минут отобразит полное досье на каждую компанию в Украине. Оформить заявку на тестовый доступ к сервису можно по ссылке.
Почему это важно?
По двум, возможно, самым резонансным для бизнеса факторам - штрафы и проверки. Юридический партнер IT Комитета Европейской Бизнес Ассоциации Алексей Столяренко, глава IT/TMT направления BakerMcKenzi по этому поводу отметил следующее: «Вопрос штрафов за несоблюдение требований GDPR до сих пор вызывает наибольшее беспокойство со стороны украинского бизнеса из-за своей неоднозначности и нерешенности. Штрафы необязательно достигнут размеров шестизначных чисел, ведь на их размер влияет много факторов (вид, характер, масштаб нарушения, размер компаний, вид деятельности, и так далее). Однако, ожидается, что их уровень будет достаточным, чтобы мотивировать бизнес на выполнение требований закона. Что касается проверок, то порядок их проведения с соблюдением требований GDPR должен быть четко урегулирован, ведь отсутствие применимых норм и правил, может вызвать проблемы с наложением штрафов. Это, как слествие, может подорвать доверие к Украине со стороны ЕС и нивелировать возможность получения ею статуса страны с должным уровнем защиты персональных данных».
Следовательно, имплементация адаптированного GDPR в Украине - довольно длительный и масштабный процесс, который требует создания четкой и понятной нормативно-правовой базы и подготовки внутренних бизнес-процессов к потенциальным требованиям.
В то же время, новое законодательство поможет увеличить инвестиционную привлекательность страны, оживит сотрудничество с другими странами и, в целом, благоприятно повлияет на престиж Украины в мире. Однако, следует максимально взвешенно и объективно подходить к прописыванию всех норм и их однозначности, чтобы защита персональных данных не превратилась в способ давления на компании.
Бизнес готов приобщиться к разработке соответствующих правил GDPR в Украине, чтобы были утчтены интересы всех игроков рынка. Однако, все же очень важно, чтобы процесс не тормозился, а работа продолжалась. Поэтому, надеемся, в этом году удастся увидеть готовый драфт украинского документа.
Ольга Куничак, менеджер IT-комитета Европейской Бизнес Ассоциации.
З 9 по 23 жовтня запрошуємо відвідати курс «GDPR В УКРАЇНІ: практика застосування». Під час заходів ви дізнаєтесь про: основи GDPR - принципи обробки, права суб'єктів, відповідальність; про застосування GDPR комплаєнс для компанії; про кукіси та консенти в GDPR.
Читайте также: GDPR: 10 советов по адаптации бизнеса к его требованиям
Также рекомендуем ознакомиться с материалами ЮРИСТ&ЗАКОН: California Consumer Privacy Act: новый тренд США по защите персональных данных в 2020 году. Получите демо-доступ к ЮРИСТ&ЗАКОН