GDPR в Україні: стратегічний план чи необдумане рішення?

GDPR в Україні: стратегічний план чи необдумане рішення?
На якому етапі зараз знаходиться проект закону, який має привести законодавче регулювання у сфері захисту персональних даних в Україні у відповідність до вимог Регламенту ЄС
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Напевно, всі вже чули про GDPR (General Data Protection Regulation — Загальний Регламент із захисту персональних даних) в ЄС — нові вимоги до захисту персональних даних, що набрали чинності 25 травня 2018 року. Ці вимоги мають певні особливості. Регламент має пряму дію та здійснюватиме екстериторіальний вплив. Тобто неважливо, де саме будуть оброблятись персональні дані – на території ЄС чи за його межами, — Регламент все одно розповсюджуватиметься на відповідні компанії.

Чому ж всі так схвильовані через новий Регламент?

Насамперед, ним передбачено суттєві штрафи, які досягатимуть €20 млн або 4% від річного світового обігу за попередній фінансовий рік для підприємств, залежно від того, що більше. Наприклад, за нецільове використання зібраної інформації, її збереження довше зазначеного терміну, незрозумілі умови обробки даних, відсутність відповідальної особи, чиї контакти надаватимуться користувачу при наданні персональних даних, фіксування камерами відеоспостереження проїжджої частини (запис номерів авто) тощо. Так, нещодавно стався перший прецедент у Австрії. За неправильно встановлену камеру підприємця оштрафували більше ніж на €4 000. Звичайно ж, максимальні суми можуть бути астрономічні.

Про захист персональних даних в Україні

Минулого року КМУ прийняв рішення про необхідність адаптування захисту персональних даних в Україні відповідно до Регламенту ЄС. Проте якщо в ЄС Регламент був прийнятий у 2016 році та країни мали 2 роки для підготовки до вимог, то  в Україні постанову було прийнято в жовтні 2017 року. Такою собі інструкцією для адаптації мав стати Закон "Про захист персональних даних". "Дедлайном" адаптації стало 25 травня 2018 року. Звичайно, в такі строки підготувати Проект Закону не вийшло, але зобов'язання були офіційно задекларовані.

Відповідальним за розробку законодавства, відповідно до нових вимог, призначили офіс Уповноваженого Верховної Ради України з прав людини. Серед виконавців також: Мінфін, Мін'юст, Мінекономрозвитку, МВС. Офіс заручився підтримкою проекту Twinning Ombudsman. Однією зі складових проекту Секретаріату Уповноваженого разом з експертами стала робота над новою редакцією вище згаданого Закону, щоб привести законодавче регулювання у цій сфері у відповідність до вимог Регламенту ЄС.

25-26 жовтня проходили зустрічі-обговорення між бізнесом, офісом Уповноваженого та представниками Twinning проекту. Якщо коротко. Проект наразі є достатньо "сирим", різниться термінологія, котра використовується. Так, українські відповідники англійських термінів не завжди відображують повну суть. Наприклад, controller має українською переклад "розпорядник", хоча за змістом контролер не означає, що він чимось розпоряджається.

Проте головне обговорення стосується не термінології, а перехідного періоду, штрафів та регулюючого органу.

Детальніше по кожному з пунктів.

  1. Перехідний період. У ЄС, як зазначалось вище, він тривав 2 роки, щоб компанії могли підготуватись до нових вимог захисту персональних даних. Наразі тривають обговорення щодо встановлення 6-місячного перехідного терміну для України. Крім часу, який необхідний компаніям та державі для імплементації вимог, залишається питання коштів — адже заміна програмного забезпечення, консультації юристів та використання нових систем безпеки є дорогими. Крім того, залишається актуальним питання розробки та прийняття підзаконних актів. Як наслідок, може утворитись ситуація, що Закон вже набув чинності, а підзаконних актів ще не існує. В такому випадку бізнес опиниться під великим ризиком штрафів — бо за відсутності "інструкцій" важко визначити як себе вести.
  2. Штрафи. Актуальність GDPR, насамперед, полягає саме в страху перед великими штрафами. Такий механізм регулювання є досить дієвим, тому для громадян це позитивні зміни — "мої персональні дані точно будуть захищені, ніхто не захоче втручатись в моє особисте життя". Всі пам'ятають історію з Facebook та Cambridge Analytica, тому Регламент має на меті саме захист користувачів Інтернету. Проте при обговоренні українського законодавства це питання залишилось неоднозначним та невирішеним. В той же час бізнес занепокоєний, оскільки штрафи в Україні нерідко мають характер вимагання. Тому так багато уваги приділяється формуванню остаточної версії Закону та підзаконних актів — щоб створити чіткі норми та правила, якими можна буде оперувати у випадку перевірок. З одного боку, знизивши штрафи, щоб покращити умови для підприємств, ми можемо отримати "квазі" Закон, котрий не буде ніким виконуватись, а з іншого — з такими великими штрафами, як зазначено вище, компаніям буде важко адаптуватись та дотримуватись умов за короткий період та з недосконалими або відсутніми інструкціями у вигляді підзаконних актів. Крім того, слід пам'ятати, що Регламент був створений не з метою штрафування, а з метою захисту персональних даних — як пожежна безпека, яка, насамперед, важлива для запобігання нещасних випадків, а не поповнення держбюджету.
  3. Регулюючий орган. Наразі пропонується, щоб офіс Уповноваженого з прав людини накладав штрафи, але інституційно офіс до цього не готовий, оскільки це неабияке навантаження. Необхідно розширити штат працівників, додати зміни до законодавства, створити окремий орган та призначити відповідальних осіб. Усе це потребує часу та витрачання ресурсів, тому питання реалізації накладання штрафів залишається відкритим і невирішеним.

Тож, представляючи ІТ індустрію, нам важливо розуміти, чи законодавство, котре зараз готується, зробить Україну країною з адекватним захистом персональних даних? Чи це полегшить роботу українських ІТ компаній не лише з європейськими клієнтами, але й з американськими — адже введення схожих GDPR норм вже активно обговорюється у Штатах.

На даний момент Україна знаходиться в списку країн з низьким рівнем захисту персональних даних, що знижує не тільки привабливість ведення бізнесу та можливу співпрацю з іншими країнами, але й імідж України в цілому. Тож важливо ефективно врегулювати цей процес. Що, сподіваюсь, і буде зроблено. А бізнес-спільнота зі свого боку готова долучатись та надавати практичні пропозиції та коментарі.