Изучив украинскую нормативную базу защиты данных, мы можем сделать вывод о том, что в существующем законе Украины уже имеются правовые нормы ЕС, которые защищают персональные данные. Эти основные принципы присутствуют и в новом Регламенте ЕС. Таким образом, можно сказать, что основные принципы обработки данных, действующие в Европе, приняты и имеют силу также и в Украине. Теперь надо сделать все возможное для того, чтобы как можно быстрее приблизить Украину к существующему европейскому правовому регулированию, включив требования к GDPR в существующие нормативные акты Украины.
Сколько может стоить переход к новым требованиям европейского закона о GDPR для среднего бизнеса в Украине?
Мы можем поделиться своим опытом введением у себя требований GDPR. Lattelecom является одним из крупнейших обработчиков данных в Балтии. Чтобы снизить возможные риски и соответствовать требованиям GDPR, мы инвестировали около 3 млн евро в инфраструктуру, в процессы и обучение персонала. Ключевое слово — инвестировали, поскольку безопасность собственных данных и данных клиентов — это и есть основная ценность каждого предприятия, которая окупается в будущем.
Что касается инвестиций малых и средних предприятий в соответствие с требованиями GDPR, их объем может составить от 20 до 50 тыс. евро. Суммы могут отличаться, учитывая род занятий предприятия, потоки данных и их жизненный цикл, цели использования и связанные с этим риски.
С чего нужно начать украинским предпринимателям, чтобы привести свой продукт в соответствие с требованиями европейского рынка к защите персональных данных?
Каждому украинскому предприятию, во-первых, необходимо оценить, для каких целей он обрабатывает данные. Цели у всех предприятий разные. У одного — для отдела кадров, у другого — для оказания определенных услуг, у третьего — для защиты своих законных интересов и так далее.
Во-вторых, необходимо систематизировать информацию, чтобы понять какие данные вообще имеются в распоряжении предприятия. Зачастую предприятия в силу привычки собирают данные, которые никогда не используют, потому что они им не нужны.
В связи с этим каждому предприятию следовало бы провести аудит своей деятельности — небольшую ревизию, чтобы узнать, какие данные у него есть, для чего они собираются, долго ли их следует хранить, нужно ли уничтожать или нет, и почему. Ответив на эти вопросы, предприятие может понять, во-первых, каким образом оно в состоянии выполнять следующие обязанности Регламента — определить, какие в его распоряжении имеются данные, длительность сроков их хранения, цели обработки, и создать реестр обработки данных. Во-вторых, таким образом предприятие сможет обосновать работнику, клиенту, партнеру по сотрудничеству, то есть субъекту данных, для чего нужны его данные. Или наоборот — может, это позволит понять, что можно отказаться от сбора определенных данных и больше их не обрабатывать.
Кроме того, компании необходимо оценить, кому она передает данные.
Передавать персональные данные другим компаниям можно, только предварительно уведомив об этом человека, а также объяснив ему, для чего это делается. Регламент о данных предусматривает, что в тот момент, когда управляющий собирает персональные данные, он обязан проинформировать человека, с какой целью это делается, как долго будут храниться данные, будут ли они переданы другим предприятиям или физическим лицам, чтобы, к примеру, обеспечить доставку, будут ли данные переданы в третью страну, чтобы человек понял, для чего это делается.