Безпека онлайн: як ЄС упереджує інформаційні ризики

Що таке GDPR, що ці правила означають для ІТ-компаній та до чого тут український бізнес, розповідає Антон Припіченко, керівник майданчика онлайн-закупівель SmartTender.biz

Безпека онлайн: як ЄС упереджує інформаційні ризики

З 25 травня в силу вступив регламент GDPR (General Data Protection Regulation), який роз'яснює і фіксує нові правила роботи з персональними даними мешканців Європейського Союзу. Який це має стосунок до український компаній, які санкції будуть накладатися на порушників і які наслідки це матиме для IT-галузі в довгостроковій перспективі — відповіді на ці та інші питання у статті.

(Не)сподіване рішення: короткий екскурс в історію

Давайте одразу розвінчаємо популярний міф, який побутує в українських ЗМІ: прийняття регламенту GDPR не є прямою реакцією на витоки персональної інформації в мережі Facebook. По-перше, ці дві ситуації не сходяться хронологічно, а по-друге, завдання й цілі самого регламенту набагато масштабніші, ніж це може здатися на перший погляд.

Історія ухвалення GDPR починається з Лісабонського договору 2007 року, де було зафіксовано нове право громадян ЄС — на захист інформації. Тоді широкому загалу і представили Перший концепт GDPR, який ліг в основу сучасного регламенту захисту даних.

Тут важливо розуміти, що 25 травня 2018 року — це дата саме початку дії регламенту. А його ухвалення відбулося ще в 2016 році. Тобто у компаній, які підпадають під дію документу, було як мінімум два роки на підготовку до нових вимог. Мало це часу чи багато — наразі важко говорити. Але вже є численні прецеденти серед гігантів IT-індустрії (Facebook, Google, Instagram и WhatsApp) порушення норм GDPR і, як наслідок, велетенські за розміром вимоги позовів до суду (більше 1 млрд євро).

Кого стосується GDPR і до чого тут українські компанії

Регламент розповсюджується на всі компанії, які займаються обробкою персональних даних осіб з території ЄС. Хоч де б розташувалася компанія, якщо вона працює з даними мешканців Європейського Союзу, то у своїй діяльності вона має дотримуватися поставлених вимог. Українські компанії тут не виключення.

Як зрозуміти, що компанія потрапляє у зону відповідальності GDPR? Перевірити, чи відповідає вона одному із наведених нижче пунктів, а саме:

  1. Надає послуги чи продає товари громадянам ЄС.
  2. Проводить моніторинг поведінки суб'єктів даних на території ЄС.
  3. Надаєте послуги компаніям ЄС, відповідаючи за обробку, зберігання чи передачу їх даних.

Українські онлайн-каси (для авіаперельотів, автобусних чи залізничних перевезень), банки, мобільні оператори, інтернет-магазини, аутсорсингові IT-компанії тощо — всі ці види діяльності можуть регулюватися GDPR. Цікаво, що нові вимоги розповсюджуються навіть на ті компанії, які на власному сайті пропонують послуги мовами ЄС (англійською, німецькою, французькою тощо).

Отже, що треба зробити у першу чергу? В регламенті є обов'язковий пункт про призначення компанією офіційного представника, який відповідатиме за порушення норм законодавства про персональні дані на території ЄС. Цей представник має стати посередником між компанією і органом Європейського Союзу, який відповідатиме за збереження персональних даних. Фактично без цього посередника говорити про слідування нормам GDPR неможливо.

Нові права користувача й можливі санкції для компанії

Що мається на увазі, коли мова йде про персональні дані? За цим документом, персональні дані — це будь-яка інформація, яка стосується певного індивіда і може використовуватися для його ідентифікації. Тобто сюди потрапляє як місце перебування чи ідентифікаційний номер, так і більшість факторів, які є визначальними для самовизначення суб'єкта даних.

Якщо компанія підлягає під дію GDPR, то вона зобов'язана повідомляти власних користувачів про сам факт збереження їх персональних даних і причину подібного збереження. Це зроблено для того, щоб користувач мав змогу відмовитися від використання чи навіть збереження даних про себе, а також редагувати, дивитися й видаляти ці дані — тобто за запитом можна безкоштовно отримати інформацію про себе, яку використовує компанія.

ЧИТАЙТЕ ТАКЖЕ: Защита персональных данных: насколько вы подготовлены

Ще одна примітна вимога — алгоритм забезпечення конфіденційності (механізм захисту даних користувачів) тепер має бути використаний не після того, як буде створена певна система (інтернет-ресурс чи база даних), а на етапі планування цієї системи. Тобто настанова "потім додамо" вже не діятиме.

        Відповідно до цього створено кілька механізмів, які дозволяють користувачу регулювати дані про себе, а саме:

  • Право на підтвердження використання інформації — користувач може в будь-який момент з'ясувати, які дані про нього зберігаються чи використовуються.
  • Право на перенесення даних — користувач може отримати дані про себе або віддати їх іншій компанії.
  • Право на забуття — користувач може вимагати від компанії видалити дані про себе, призупинити їх використання чи розповсюдження.

        У разі порушення регламенту, компанії і обробники даних мають повідомити про це у відповідні органи країн ЄС протягом 72 годин. А у випадку недотримання основних вимог GDPR, на компанію накладається штраф у розмірі до 20 млн євро або до 4% від річного загального (світового) обороту компанії за попередній фінансовий рік — вибір залежить від того, який з показників буде більшим.

Що означатиме новий регламент для IT-сфери

На даний момент компаній, які повністю відповідають вимогам GDPR, напрочуд мало. У квітні цього року було проведено опитування серед 1000 компаній ЄС, які підпадають під дію регламенту. Близько 50% з них заявили, що не встигають підготуватися до нових змін. Це і не дивно, адже окрім виокремлення нового напрямку роботи (надсилання постійних запитів на обробку інформації), компанії доведеться змінювати налаштування власних інформаційних ресурсів і наймати додаткову кількість людей. Зрозуміло, що не всі компанії радіють подібному примусу, і неохоче будуть витрачати гроші на некомерційні рішення.

Регламент GDPR направлений не лише на ускладнення роботи IT-компаній (так може здатися на перший погляд). Нові правила відтепер уніфікують вимоги до роботи з даними у всіх країнах ЄС і, що насправді корисно, за цей напрям буде відповідати єдина установа, а не кілька, як це було раніше. Подібні нововведення важко назвати непередбачуваними: постійні скандали з використанням персональних даних користувачів, витоки важливої інформації і навіть поява тіньового ринку з її продажу — всі ці фактори впливали на те, що в межах Європейського Союзу мав виникнути ефективний механізм роботи з даними. Тому в IT-cфері поступово зростатиме значення публічних комунікацій, які формуватимуть коло довіри до конкретної компанії. Фактично цінність безпеки в Європі поступово перевищуватиме всі інші цінності, і ті компанії, які зрозуміють це першими, матимуть змогу покращити свої результати на ринку.

Для українських компаній це шанс перемогти там, де програють інші — тобто використати переваги дотримання GDPR і бути в тренді. Курс нашої держави на входження в ЄС неодмінно передбачає узгодження наших законодавчих систем — і сфера захисту персональних даних тут аж ніяк не стане виключенням.

Не пропустите самые важные новости и интересную аналитику. Подпишитесь на Delo.ua в Telegram

по материалам:
"Дело"
раздел:
теги:

По теме:

Подготовка к GDPR. Назначение Директора по защите данных
Новости компаний 31 мая, 11:05

Подготовка к GDPR. Назначение Директора по защите данных

Общий регламент по защите персональных данных (GDPR) вступил в силу 25 мая. Украинские компании, которые собирают и обрабатывают персональные данные граждан Евросоюза, должны тщательно подготовить свой бизнес к новым законодательным реалиям.

Быстрый маневр: как сторонний подрядчик поможет бизнесу с GDPR
Ремень Кибербезопасности 26 мая, 09:05

Быстрый маневр: как сторонний подрядчик поможет бизнесу с GDPR

Разбираемся, как украинским компаниям добиться соответствия требованиям Общего регламента по защите данных, передав функцию IT Governance на аутсорс