Как украинским компаниям соответствовать евростандартам по защите данных

Мировые требования защищать персональные данные не обойдут украинский бизнес — это всего лишь вопрос времени
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

В конце июня Еврокомиссия опубликовала отчет об оценке Общего регламента защиты данных (GDPR), спустя чуть более двух лет после его вступления в силу.

К слову, в Европе и мире он действует полным ходом — со времени его внедрения в 2018 году гигантские штрафы за нарушение регламента уже получили сеть отелей Marriott, авиакомпания British Airways, Google и Facebook. Данный список пополняется регулярно, поэтому очень самонадеянно рассчитывать, что данные законодательные требования обойдут украинский бизнес. Это всего лишь вопрос времени.

GDPR в Европе

GDPR — это европейский законодательный акт, который позволяет людям иметь гораздо больший контроль над их персональными данными. Это означает, что организации (как внутри, так и за пределами ЕС) теперь должны обрабатывать данные так, чтобы они были "законными, справедливыми и прозрачными". При этом пользователи должны дать согласие на обработку и хранение своих данных. Они также имеют право запросить копию данных, собранных на них.

Теперь об интересном. Недавно компания Cisco провела исследование, по результатам которого оказалось, что 84% опрошенных заботятся о конфиденциальности и защите персональных данных и хотят усилить контроль за их использованием. При этом 48% опрошенных уже сменили компанию или поставщика из-за их негативной практики обмена данными.

Еще одна интересная деталь — почти 30% опрошенных заявили, что больше доверяют компаниям, которые используют их данные по правилам GDPR. То же исследование показало, что несмотря на вторую годовщину Регламента, не все компании могут однозначно заявить, что соответствуют требованиям GDPR, точно также как и субъекты данных не уверены в полной защите этих данных.

Как результат- весьма плачевная статистика по Европе: с 25 мая 2018 года по 27 января 2020 года в органах по надзору за защитой данных в рамках ЕЭП было зарегистрировано около 170 тысяч нарушений персональных данных. Лидирующие позиции по общему объему штрафов GDPR занимают Франция, Германия и Австрия.

Самым сложным для компаний, как они сами признаются, было реализовать гарантированное GDPR "право на забвение". Это право человека требовать удалить свои персональные данные из общего доступа, которые, по его мнению, могут нанести ему вред.

GDPR и COVID-19

Вторая годовщина GDPR наступила в то время, когда многим предприятиям пришлось адаптироваться к удаленной работе из-за продолжающейся пандемии Covid-19. Это, безусловно, создало проблемы для защиты данных.

Европейский совет по защите данных (EDPB) опубликовал заявление, в котором говорится, что в период пандемии обработка личных данных органами здравоохранения или работниками может быть осуществлена без согласия отдельных лиц. Цитата: "в тех случаях, когда обработка необходима по причинам, представляющим значительный общественный интерес в области общественного здравоохранения. Важно напомнить, что защита данных никоим образом не может быть препятствием для спасения жизней и что применимые принципы всегда позволяют сбалансировать интересы".

Например, право на защиту данных не мешает органам здравоохранения предоставлять список медработников (имена и контактные данные) организациям, которым поручено распределение защитных масок. Также GDPR не может препятствовать использованию информации о геолокации мероприятий, которые нарушают ограничения, установленные в связи с COVID-19 , или для выявления маршрутов перемещений людей из сильно зараженных районов.

Однако данные должны обрабатываться только для "определенных и явных целей", должны быть прозрачными, пропорциональными и должны анонимно использовать данные о местоположении, где это возможно.

GDPR в Украине

GDPR распространяется на украинский бизнес в том случае, если украинская компания имеет свой филиал или представительство на территории Евросоюза или обрабатывает персональные данные европейцев в Украине. Это очень широкий спектр деятельности: соцсети, туристические фирмы, отельный бизнес, медицинский бизнес, страхование, все финансовые структуры, онлайн-площадки, электронная коммерция. Фактором попадания под регламент может стать даже европейский домен сайта компании или возможность расчета в евро.

Поэтому многие украинские компании постепенно осознают необходимость внедрения GDPR. Особенно открыты в этом вопросе те, кто давно работают с европейскими рынками. Мотивы просты — в первую очередь это репутация, благодаря которой они дальше смогут двигаться и покорять ЕС. Что касается участников отечественного рынка, то из своего опыта могу сказать, что наш бизнес стал активнее обращаться за проведением аудита на предмет попадания его деятельности под нормы GDPR. А это уже первый шаг к внедрению регламента.

Стоит отметить, что действие GDPR в мире вызвало всплеск количества специалистов в сфере защиты персональных данных (DPO). DPO может со знанием дела обучить персонал, проконсультировать руководство, обеспечить соблюдение требований и норм Регламента на предприятии. Позитивным, считаю, тот факт, что DPO не обязательно должен быть в штате, но может быть привлечен по аутсорсу, что позволяет получить качественную услугу по требованию бизнеса.

Что нужно сделать украинским компаниям, чтоб соответствовать требования GDPR? Минимальный план действий такой:

1. IT-специалисты должны обеспечить технические меры, среди которых могут быть системы шифрования данных и псевдонимизации. Таким образом, персональные данные будут более защищены от утечки и повреждений.

2. Юридическая команда должна разработать организационные меры (подготовить и внедрить соответствующую документации). Это, в первую очередь, построение политики конфиденциальности, чтобы сотрудники понимали, как работает защита данных и почему необходимо соблюдать определенные правила.

3. Логично также вести реестр персональных данных. В него нужно заносить информацию о том, какие данные собирают, с какой целью, где их хранят и как обрабатывают. Это значительно упростит жизнь, в случае обращений пользователя или надзорного органа.

4. Особое внимание стоит уделить договорным взаимоотношениям с контрагентами. Когда им передаются данные, в договоре необходимо прописать правильные формулировки, распределить обязательство сторон и четко указать, кто за что несет ответственность.

5. Также немаловажно проводить тренинги для ответственных лиц, которые работают с персональными данными. Они должны понимать, как вести себя в случае обращения пользователя и какую информацию можно предоставлять.

Кто предупрежден, тот вооружен!