Как новая политика ЕС по защите данных повлияет на украинский бизнес

В мае прошлого года в результате длительных дискуссий Европейский парламент принял регламент GDPR. А в мае 2018 он вступит в законную силу. И самым важным моментом для украинского бизнеса здесь является то, что действие документа не лимитировано рамками Евросоюза, а распространяется на все организации, имеющие дело с данными граждан ЕС, и украинские в том числе. Иными словами, основная цель GDPR заключается в гарантии защиты персональных данных (ПД) граждан ЕС без привязки к тому, на территории какой страны они хранятся. Основное требование к компаниям, которые работают с данными граждан ЕС, — скурпулезно защищать конфиденциальность этих данных.

Кому готовиться к GDPR

Фактически, это три класса организаций:

• компании, созданные в ЕС и занимающиеся обработкой ПД европейцев, независимо от физического расположения головного офиса
• компании, которые не основаны в ЕС, но имеют отношение к обработке ПД граждан Евросоюза в рамках реализации товаров/услуг. В поправках к GDPR уточняют, что под ответственность подпадают предприниматели, которые напрямую реализуют свои товары европейцам. В первую очередь, под прицел попадают онлайн-сервисы (интернет-магазины), продающие свой товар в мультилингво формате и принимающие евро в качестве оплаты, веб-сайт которых имеет домен верхнего уровня государства-члена ЕС (например, использование .pl), а также осуществляющие доставку в страны ЕС и использующие таргетированную рекламу, нацеленную на граждан ЕС
• компании, которые мониторят виртуальные действия граждан Евросоюза: отслеживают их поведение в интернете, обрабатывают ПД для составления "социальных портретов" с целью изучения и прогнозирования их потребительских вкусов (дата-центры)

GDPR, содержащий 99 статей, по сути, является дополненной и более "суровой" интерпретацией Директивы 1995 года (Принципиальное отличие между ними в том, что регламент набирает законодательную силу на всей географической территории Евросоюза с момента утверждения. В свою очередь директива приводится в действие только путем признания местной властью каждой отдельной европейской страны. Формат регламента призван способствовать принятию единой практики на территории ЕС). Немаловажно то, что GDPR не обязывает компании внедрять какие-либо конкретные приемы и методы защиты данных. Организации вправе самостоятельно выбирать систему обеспечения безопасности внутренних данных. Главное — конечный результат — надежная защита персональных данных.

Особо важные статьи Регламента

Пожалуй, самыми весомыми пунктами нового регламента, которые следует принимать во внимание украинским компаниям, имеющим отношение к приведенной выше классификации, являются такие положения:

• наличие представителя компании на территории Евросоюза, главная роль которого — выражать ее интересы в процессе взаимодействия с соответствующим регулятором.
• наличие официального согласия на обработку ПД: изменения коснулись условий оформления документа на обработку ПД. Первое: у субъектов ПД появилась возможность забрать свое согласие на использование личных данных. И второе: под каждую отдельную цель использования ПД должно существовать отдельное согласие. Общие документы признаются недействительными.
• согласие несовершеннолетних должно подкрепляться согласием родителей.
• своевременный доклад о взломе/компрометации ПД: на организации накладывается обязательство сообщать регулятору о случаях взлома. Уведомление должно поступить не позднее 72 часов с момента появления информации о компрометации данных.
• обязательное назначение ответственного за работу с ПД лица, оценка рисков влияния манипуляций с личными данными на их носителей, учет всех пунктов работы с ПД.
• расширенные права субъектов ПД: право в любой момент запросить копии ПД; потребовать объяснение целей обработки либо полного забвения ПД.

И конечно же самый животрепещущий момент — это штрафы

Регламент накладывает на нарушителей максимальные штрафы, при этом полномочия по назначению конкретных сумм переданы местным органам власти государств-членов Евросоюза.

Существует две категории штрафов с учетом глубины и масштаба нарушения:

• 20 миллионов евро или 4% от годового дохода за нарушение: ключевых положений Регламента, прав субъектов ПД, нормативов передачи личных данных и др.
• 10 миллионов евро или 2% от годового дохода за нарушения процедуры получения согласия на хранение и обработку ПД несовершеннолетних, за несоблюдение технических норм работы с ПД, за отсутствие представителя в ЕС и др.

Смягчающим моментом является тот факт, что в отдельных случаях вместо штрафа дело может ограничиться выговором. Например, когда регулятор признает правонарушение незначительным.

Что делать: разрабатываем план действий

Какие же меры стоит предпринять тем, кто теоретически может попасть под удар?

1. Провести анализ деятельности компании на предмет соответствия требованиям GDPR

Для начала важно определить, имеет ли деятельность вашей компании отношение к персональным данным граждан ЕС, соприкасается ли она с подобными данными. И если такое пересечение имеет место быть — оценить для себя риски подобной деятельности. Если она является ключевой для компании, тогда принимать во внимание положения GDPR и стремиться к соответствию. Необходимо четко определить, к какой категории относится ваша компания. Если вы занимаетесь непосредственным сбором и контролем данных — ответственность увеличивается в разы. Намного лояльней законодательные санкции к тем, кто использует персональные данные в промежуточных текущих процессах. А сбор, анализ и обработка данных не является основной, а лишь вспомогательной, деятельностью компании. Но грубо говоря, существует только два пути: либо ограничить свою деятельность на территории Евросоюза, либо привести в соответствие с требованиями GDPR. Если вы продаете в Европу, но не соблюдаете GDPR,  вы продавать не сможете.

2. Провести диагностику процессов сбора, обработки и хранения ПД

3. Пересмотреть существующие согласия на обработку ПД, а также составить план по внесению необходимых изменений

4. Проанализировать процедуры получения и регистрации согласия субъекта ПД, автоматизировать основные процессы в IT-системах

5. Провести проверку наличия процедур выявления и расследования случаев нарушений и утечки ПД

6. Проанализировать возможные риски при передаче ПД третьим сторонам

7. Определить необходимость назначения комиссара по вопросам защиты ПД и представителя компании в ЕС (во-первых, существование в штате человека, который лично несет ответственность за контроль отдельного взятого процесса — это первое условие эффективного ведения этого процесса. А во-вторых, это прямое требование GDPR. В случае нарушения и соответствующего расследования, отсутствие ответственного сотрудника станет отягчающим обстоятельством в принятии решения о штрафе)

Чтобы проверить свои возможности с точки зрения реагирования на будущую атаку, изучите, что произошло во время прошлых нарушений, и задайте себе вопрос, готовы ли вы соответствовать новым требованиям, установленным GDPR. Помните, что информацию о нарушении необходимо предоставить регулятору в течение 72 часов после обнаружения инцидента. Если ваша компания не в состоянии этого сделать, этот недостаток может привести к штрафу. Поэтому нужно уже сегодня задуматься о системе своевременного реагирования. Не последнюю роль также играет обучение персонала. Одной из основных целей GDPR является усиление контроля над конфиденциальностью личных данных каждого человека. Ценность и неприкосновенность личной жизни каждого, особенно детей. В компаниях подобную культуру бережного отношения к чужой жизни нужно прививать на уровне корпоративных ценностей.

В любом случае, обратный отсчет включен. Менее чем через семь месяцев GDPR вступит в силу. Не стоит недооценивать риски и потенциальный урон от штрафов в случае несоблюдения компаниями положений регламента. Только очень крупные предприятия смогут оплатить штраф, но для малого и среднего бизнеса такая сумма окажется губительной. По неофициальным данным, только одна из пяти европейских компаний готова к новому законодательству. А для компаний, расположенных за пределами ЕС, эта цифра куда более удручающая.

Несмотря на то, что дата вступления в силу Регламента неумолимо приближается, компании не особо торопятся латать существующие дыры. "Когда дело доходит до соответствия новым непонятным законам, большинство крупных предприятий действуют по странной логике: либо ждут, пока все "утрясется" само собой, либо пытаются адаптироваться к нововведенным правилам уже постфактум", —  отмечает Кен Крупа, технический директор MarkLogic. И в его словах, к сожалению, есть изрядная доля истины. На сегодняшний день GDPR, безусловно, выглядит, как архисложное регулирование. Но стоит посмотреть на него и с другой стороны: новые правила можно отнести к разряду инноваций, внедрять которые — вопрос репутации для передовых компаний. Современный подход к персональным данным можно обернуть для бизнеса конкурентным преимуществом, позиционируя себя как компанию с передовым подходом к хранению и обработке личных данных клиентов. Это в идеале.

Момент "встречи" с несовершенством собственной системы откладывается, что конечно же не решает проблему. Проблему решает знание и тщательный анализ своей деятельности на предмет взаимодействия с ПД граждан ЕС. Существует множество организаций, которые подпадают под действие GDPR по причинам, которые даже не фиксируются, как существенные: например, кто-то из ЕС подписался на информационную рассылку компании. А это уже негласное обязательство соблюдать нормы Регламента. И таких подводных камней может быть множество. Поэтому важно помнить: проанализировать нужно все до мелочей, ведь европейское законодательство, в отличие от отечественного, практически не оставляет лазеек и следовать ему придется безоговорочно.