Як нова політика ЄС щодо захисту даних вплине на український бізнес


Опубликованно 01.12.2017 02:16

Як нова політика ЄС щодо захисту даних вплине на український бізнес

У травні минулого року в результаті тривалих дискусій Європейський парламент прийняв регламент GDPR. А в травні 2018 він вступить в законну силу. І найважливішим моментом для українського бізнесу тут є те, що дія документа не лімітовано рамками Євросоюзу, а поширюється на всі організації, що мають справу з даними громадян ЄС, і українські в тому числі. Іншими словами, основна мета GDPR полягає в гарантії захисту персональних даних (ПД) громадян ЄС без прив'язки до того, на території якої країни вони зберігаються. Основна вимога до компаній, які працюють з даними громадян ЄС, — ретельно захищати конфіденційність цих даних. Кому готуватися до GDPR

Фактично, це три класи організацій: компанії, створені в ЄС і займаються обробкою ПД європейців, незалежно від фізичного розташування головного офісу компанії, які не засновані в ЄС, але мають відношення до обробки ПД громадян Євросоюзу в рамках реалізації товарів/послуг. У поправках до GDPR уточнюють, що підпадають під відповідальність підприємці, які безпосередньо реалізують свої товари європейцям. В першу чергу, під приціл потрапляють онлайн-сервісів (інтернет-магазини), продають свій товар у мультилингво форматі і приймають євро в якості оплати, веб-сайт яких має домен верхнього рівня держави-члена ЄС (наприклад, використання .pl), а також здійснюють доставку в країни ЄС і використовують таргетовану рекламу, націлену на громадян ЄС компанії, які моніторять віртуальні дії громадян Євросоюзу: відстежують їх поведінку в інтернеті, обробляють ПД для складання "соціальних портретів" з метою вивчення і прогнозування їх споживчих смаків (дата-центри)

Тобто, головним висновком для українських підприємців повинен стати той факт, що Регламент застосовується не тільки до установленим в ЄС організаціям, але і до тих, які просто працюють на європейському ринку.

GDPR, що містить 99 статей, по суті, є доповненої і більш "суворою" інтерпретацією Директиви 1995 року (Принципова відмінність між ними в тому, що регламент набирає законодавчу силу на всій географічній території Євросоюзу з моменту затвердження. У свою чергу директива приводиться в дію лише шляхом визнання місцевою владою кожної окремої європейської країни. Формат регламенту покликаний сприяти прийняттю єдиної практики на території ЄС). Важливо те, що GDPR не зобов'язує компанії впроваджувати якісь конкретні прийоми і методи захисту даних. Організації вправі самостійно обирати систему забезпечення безпеки внутрішніх даних. Головне — кінцевий результат — надійна захист персональних даних. Особливо важливі статті Регламенту

Мабуть, найбільш вагомими пунктами нового регламенту, які слід брати до уваги українським компаніям, які мають відношення до наведеної вище класифікації, є такі положення: наявність представника компанії на території Євросоюзу, головна роль якої — виражати її інтереси в процесі взаємодії з відповідним регулятором. наявність офіційної згоди на обробку ПД: зміни торкнулися умов оформлення документа на обробку ПД. Перше: у суб'єктів ПД з'явилася можливість забрати свою згоду на використання особистих даних. І друге: під кожну окрему мету використання ПД має існувати окрема згода. Загальні документи визнаються недійсними. згода неповнолітніх має підкріплюватися згодою батьків. своєчасний доповідь про злом/компрометації ПД: на організації накладається зобов'язання повідомляти регулятору про випадки злому. Повідомлення має надійти не пізніше 72 годин з моменту появи інформації про компрометації даних. обов'язкове призначення відповідального за роботу з ПД особи, оцінка ризиків впливу маніпуляцій з особистими даними їх носіїв, облік всіх пунктів роботи з ПД. розширені права суб'єктів ПД: право в будь-який момент запросити копії ПД; вимагати пояснення цілей обробки або повного забуття ПД.

І звичайно ж самий животрепетне момент — це штрафи

Регламент накладає на порушників максимальні штрафи, при цьому повноваження по призначенню конкретних сум передані місцевим органам влади держав-членів Євросоюзу.

Існує дві категорії штрафів з урахуванням глибини і масштабу порушення: 20 мільйонів євро або 4% від річного доходу за порушення: ключових положень Регламенту, прав суб'єктів ПД, нормативів передачі особистих даних та ін. 10 мільйонів євро, або 2% від річного доходу за порушення процедури отримання згоди на зберігання і обробку ПД неповнолітніх, за недотримання технічних норм роботи з ПД, за відсутність представника в ЄС та ін.

Пом'якшувальною моментом є той факт, що в окремих випадках замість штрафу справа може обмежитися доганою. Наприклад, коли регулятор визнає правопорушення незначним. Що робити: розробляємо план дій

Які ж заходи варто зробити тим, хто теоретично може потрапити під удар?

1. Провести аналіз діяльності компанії на предмет відповідності вимогам GDPR

Для початку важливо визначити, чи має діяльність вашої компанії ставлення до персональних даних громадян ЄС, вона стикається з подібними даними. І якщо таке перетин має місце бути — оцінити ризики такої діяльності. Якщо вона є ключовою для компанії, тоді брати до уваги положення GDPR і прагнути до відповідності. Необхідно чітко визначити, до якої категорії відноситься ваша компанія. Якщо ви займаєтеся безпосереднім збором і контролем даних — відповідальність збільшується в рази. Набагато лояльніше законодавчі санкції до тих, хто використовує персональні дані у проміжних поточних процесах. А збір, аналіз і обробка даних не є основною, а лише допоміжною діяльністю компанії. Але грубо кажучи, існує тільки два шляхи: або обмежити свою діяльність на території Євросоюзу, або привести у відповідність з вимогами GDPR. Якщо ви продаєте в Європу, але не дотримуєтесь GDPR, ви продавати не зможете.

2. Провести діагностику процесів збору, обробки та зберігання ПД

3. Переглянути існуючі згоди на обробку ПД, а також скласти план по внесенню необхідних змін

4. Проаналізувати процедури отримання та реєстрації згоди суб'єкта ПД, автоматизувати основні процеси в ІТ-системах

5. Провести перевірку наявності процедур виявлення та розслідування випадків порушень і витоку ПД

6. Проаналізувати можливі ризики при передачі ПД третім сторонам

7. Визначити необхідність призначення комісара з питань захисту ПД і представника компанії в ЄС (по-перше, існування в штаті людини, який особисто несе відповідальність за контроль окремого взятого процесу — це перша умова ефективного ведення цього процесу. А по-друге, це пряма вимога GDPR. У разі порушення відповідного розслідування, відсутність відповідального співробітника стане обтяжливою обставиною у прийнятті рішення про штраф)

Важливо також проаналізувати минулі інциденти компрометації даних, якщо вони мали місце у вашій компанії.

Щоб перевірити свої можливості з точки зору реагування на майбутню атаку, вивчіть, що сталося під час минулих порушень, і задайте собі питання, чи готові ви відповідати новим вимогам, встановленим GDPR. Пам'ятайте, що інформацію про порушення необхідно надати регулятору протягом 72 годин після виявлення інциденту. Якщо ваша компанія не в змозі цього зробити, цей недолік може привести до штрафу. Тому потрібно вже сьогодні замислитися про систему своєчасного реагування. Не останню роль також відіграє навчання персоналу. Однією з основних цілей GDPR є посилення контролю над конфіденційністю особистих даних кожної людини. Цінність і недоторканність особистого життя кожного, особливо дітей. У компаніях подібну культуру дбайливого ставлення до чужого життя потрібно прищеплювати на рівні корпоративних цінностей.

І крім технічних заходів, важливо також проводити підвищення обізнаності в цьому питанні серед співробітників.

У будь-якому випадку, зворотний відлік включений. Менш ніж через сім місяців GDPR набуде чинності. Не варто недооцінювати ризики і потенційний збиток від штрафів у разі недотримання компаніями положень регламенту. Тільки дуже великі підприємства зможуть сплатити штраф, але для малого та середнього бізнесу така сума виявиться згубною. За неофіційними даними, тільки одна з п'яти європейських компаній готова до нового законодавства. А для компаній, розташованих за межами ЄС, ця цифра куди більш гнітюча.

Незважаючи на те, що дата набрання чинності Регламенту невблаганно наближається, компанії не особливо квапляться латати існуючі діри. "Коли справа доходить до відповідності новим незрозумілим законам, більшість великих підприємств, що діють за дивною логікою: або чекають, поки все стабілізується сама собою, або намагаються адаптуватися до нововведенным правилами вже постфактум", — зазначає Кен Крупа, технічний директор MarkLogic. І в його словах, на жаль, є чимала частка істини. На сьогоднішній день GDPR, безумовно, виглядає, як архіскладна регулювання. Але варто подивитися на нього і з іншого боку: нові правила можна віднести до розряду інновацій, впроваджувати які — питання репутації для передових компаній. Сучасний підхід до персональних даних можна обернути для бізнесу конкурентною перевагою, позиціонуючи себе як компанію з передовим підходом до зберігання та обробки особистих даних клієнтів. Це в ідеалі.

На ділі ж більшість компаній в страху перед невідомістю "закривають очі руками, немов діти, які ховаються в темряві від чудовиськ.

Момент "зустрічі" з власною недосконалістю системи відкладається, що звичайно ж не вирішує проблему. Проблему вирішує знання і ретельний аналіз своєї діяльності на предмет взаємодії з ПД громадян ЄС. Існує безліч організацій, які підпадають під дію GDPR з причин, які навіть не фіксуються, як істотні: наприклад, хтось з ЄС підписався на інформаційну розсилку компанії. А це вже негласне зобов'язання дотримуватися норм Регламенту. І таких підводних каменів може бути безліч. Тому важливо пам'ятати: проаналізувати потрібно все до дрібниць, адже європейське законодавство, на відміну від вітчизняного, практично не залишає лазівок і слідувати йому доведеться беззастережно.



Категория: Автотехника