В эпоху, когда цифровой ландшафт постоянно расширяется, защита персональных данных стала первоочередной задачей во всем мире. Люди доверяют свою конфиденциальную информацию различным платформам и сервисам, требуя гарантий того, что их частная жизнь останется неприкосновенной. Украина на пути к интеграции в ЕС прилагает усилия для приведения своего законодательства в соответствие с GDPR — золотым стандартом в сфере защиты персональных данных
В этой статье мы рассмотрим, что такое GDPR и зачем он нужен, разберемся подробнее в теме защиты персональных данных и как Украина движется на пути к интеграции Общего регламента о защите данных.
Что такое GDPR
Общий регламент о защите данных (GDPR — General Data Protection Regulation) — это правовая база, которая устанавливает руководящие принципы сбора и обработки персональной информации. Это унифицированный закон о защите данных, который обеспечивает права на конфиденциальность личной информации для физических лиц и устанавливает важные правила для организаций. Эти правила действуют как гарантии для предотвращения неправомерного использования персональных данных.
GDPR считается самым строгим в мире законом о защите персональных данных, и он установил ориентир для других подобных нормативных актов, которые пошли по его следам, таких как Калифорнийский закон о защите персональных данных потребителей (CCPA).
GDPR заменил предыдущие нормативные акты ЕС о защите персональных данных и идет даже дальше, чем базовые законы США о защите личной информации, регулирующие медицинские и образовательные процессы, например, HIPAA (закон, который регулирует подотчетность медицинского страхования) и FERPA (Закон о правах на семейное образование и конфиденциальность).
Хотя GDPR и был разработан и принят Европейским Союзом, он накладывает обязательства на организации в любой точке мира, если они собирают данные, связанные с людьми в ЕС. Регламент вступил в силу 25 мая 2018 года (через два года после принятия). Он предусматривает суровые штрафы против тех, кто нарушает его стандарты конфиденциальности и безопасности, причем взыскания могут достигать десятков миллионов евро.
General Data Protection Regulation функционирует как регламент, а не как директива. В соответствии с законодательством ЕС, регламенты — это законы, которые применяются к любой стране-члену ЕС и которые диктуют приказы и правила, которые должны соблюдаться. Директива, с другой стороны, устанавливает результат, который должен быть достигнут, не диктуя, как именно.
Интересное по теме: Как будут развиваться высокие технологии, медиа и телекоммуникации в 2024: прогноз Deloitte
Обработка персональных данных
Согласно положениям регламента «персональные данные» — это вся информация, касающаяся идентифицированного физического лица (или которого можно идентифицировать). В частности, это имя, фамилия, электронная почта, псевдоним, адрес проживания, фактическое местонахождение, пол, состояние здоровья, предпочтения, номера телефонов, биометрические данные и даже файлы «cookie».
Как отмечает в своем блоге Артем Гордеев, Middle Business Development Manager, Lawyer международная консалтинговая компания Lextensio, участниками процесса обработки персональных данных (в рамках GDPR) выступают:
- физическое лицо, которое идентифицировано или возможно идентифицировать (то есть клиент, посетитель сайта и т.д.);
- контроллер данных (Data controller) — лицо, которое решает, в связи с чем и каким образом будут обрабатываться данные (то есть это большинство компаний, которые предоставляют услуги и соответственно самостоятельно определяют цели и методы обработки персональной информации);
- процессор данных (Data processor) — сторона, которая обрабатывает информацию по указаниям контроллера (например, финтех компания устраивает какой-то праздник и приглашает всех своих работников. Для изготовления пригласительных она привлекает типографию. Полиграфия получает список имен и адресов работников. В этой ситуации типография считается процессором, поскольку она использует информацию в соответствии с инструкциями контроллера).
Рассматривая ключевые моменты главного европейского закона о защите данных, необходимо прояснить некоторые важные термины:
Обработка данных — любое действие, выполняемое над данными, как автоматизированное, так и ручное. Например, сбор, запись, структурирование, хранение, использование, удаление… то есть практически все, что угодно.
Контроллеры данных — это физические или юридические лица, органы государственной власти, агентства или другие органы, которые самостоятельно или совместно с другими решают, как и зачем обрабатывать персональные данные. Если вы владелец или работник вашей организации, который обрабатывает данные, это вы.
Обработчики данных — это третья сторона, субъекты, которые обрабатывают данные по указанию и от имени контроллера. Это могут быть облачные серверы или поставщики услуг электронной почты.
Субъекты данных — это живые физические лица, чьи персональные данные собирает, хранит или обрабатывает организация.
Читайте также: Поддержка Украины, экономические прогнозы и шумиха вокруг ИИ: детали главного экономического события мира в Давосе
Принципы защиты данных
Если компания обрабатывает данные, она должна делать это в соответствии с семью базовыми принципами защиты и подотчетности, изложенными в Статье 5.1-2:
- Законность, справедливость и прозрачность.
- Ограничение целей (необходимость обрабатывать данные для законных целей, четко объясненных субъекту данных во время их сбора).
- Минимизация данных (норма собирать и обрабатывать столько данных, сколько необходимо для указанных целей).
- Точность (хранение персональных данных точными и актуальными).
- Ограничение срока хранения (возможность хранить данные, идентифицирующие личность, только столько, сколько это необходимо для указанной цели).
- Целостность и конфиденциальность (обработка должна осуществляться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность, например, с помощью шифрования).
- Подотчетность (контроллер данных несет ответственность за возможность продемонстрировать соблюдение всех этих принципов GDPR).
Нарушение правил GDPR
Во-первых, следует понимать, если вы обрабатываете персональные данные граждан или резидентов ЕС, или предлагаете им товары или услуги, то GDPR распространяется на вас, даже если вы не находитесь в ЕС.
Во-вторых, штрафы за нарушение GDPR очень высокие (существует несколько базовых уровней).
Первый уровень — штраф 2% от годового оборота или €10 млн (сюда относится нарушение правил обработки информации в отношении несовершеннолетних, обязательств контроллера или процессора и т.д.).
Второй уровень предусматривает максимальный размер штрафа — €20 млн или 4% общего дохода (в зависимости от того, какая сумма больше) — за передачу данных в другие страны, нарушение прав субъектов, принципов обработки и т.д. Не стоит забывать, что субъекты данных также имеют право требовать компенсации за причиненный ущерб.
Читайте популярное: Три технологии, которые изменят мир
Критика GDPR
Общий регламент о защите данных вызвал критику в определенных кругах. Некоторые считают, что требование назначать DPO (Data protection officer — эксперт в области приватности и GDPR, контактное лицо для коммуникации с субъектами данных; специалист, который разрабатывает и внедряет стратегию информационной безопасности в организации) — накладывает чрезмерное административное бремя на компании. Некоторые жалуются, что руководящие принципы слишком расплывчаты относительно того, как лучше всего обращаться с данными работников.
Кроме того, данные не могут быть переданы в другую страну за пределами ЕС, если компания-получатель не гарантирует такой же уровень защиты, который требует Евросоюз. Это привело к жалобам на то, что это может привести к сбоям в работе традиционных бизнес-практик и огромным штрафам.
Существует также беспокойство, что расходы, связанные с GDPR, со временем будут расти, частично из-за растущей потребности в обучении как клиентов, так и работников относительно угроз защиты данных и решений. Существует также скептицизм относительно того, насколько реально агентства по защите данных в ЕС и за его пределами могут согласовать свое правоприменение и толкование нормативных актов и таким образом обеспечить равные правила игры, когда GDPR вступит в полную силу.
GDPR в Украине
Европейский вектор развития уже сейчас меняет подходы украинских компаний к сбору, обработке, хранению и распространению персональных данных. Несмотря на то, что GDPR будет непосредственно применяться в Украине только после присоединения, соответствие действующего национального законодательства и/или административной базы требованиям/основным принципам ЕС следует учитывать заранее.
GDPR предусмотрено в Национальной стратегии доходов Украины (НСДУ) до 2030 года. В частности, на сайте Министерства финансов Украины (Вставка 4.2.) подробно прописано «Согласование с требованиями ЕС по защите данных».
«Подход по обезличиванию персональных данных применяется в принципах, определенных в Общем регламенте о защите данных (General Data Protection Regulation, GDPR), который определяет регламент в рамках законодательства Европейского Союза по защите персональных данных всех лиц в пределах Европейского Союза и Европейской экономической зоны».
Указано, что GDPR обеспечивает целостность и конфиденциальность использования IТ-решений, которые кодируют или шифруют идентификационные номера лиц. Как правило, такие IТ-решения внедряются в секторах, где обрабатываются наиболее чувствительные персональные данные.
Какие реформы предусмотрены на следующие несколько лет:
- В течение 2024 года: разработка концепции и политики безопасности использования налоговыми органами (персонифицированной) деперсонифицированной информации о налогоплательщиках.
- В течение 2024-2025 года: внесение изменений в законодательство Украины в части установления правил использования налоговыми органами (персонифицированной) деперсонифицированной информации о налогоплательщиках.
- В течение 2024 года: внесение изменений в Стратегию ІТ Минфина в части ее согласования с НСДУ относительно использования данных и доступа к информации об объеме и обороте средств налогоплательщиков на их счетах в банках с применением подходов с кодированием (декодированием) открытых на сегодня персональных идентификаторов налогоплательщиков.
- В течение 2024 года: определение администратора ІТ-платформы, которая будет обеспечивать функционирование отдельного защищенного контура.
- В течение 2025-2026 годов: создание в единой информационно-коммуникационной сети системы управления государственными финансами отдельного защищенного контура, с кодированием (декодированием) открытых на сегодня персональных идентификаторов налогоплательщиков с целью обеспечения функционирования информационных систем контролирующих органов в режиме обработки деперсонифицированной информации о таких налогоплательщиках.
Напомним, что о GDPR в Украине говорят еще с момента его введения в ЕС. В частности, как он влияет на бизнес и как предприятиям не нарушить GDPR, работая с иностранными клиентами.
Ознакомьтесь с другими популярными материалами:
Какие изменения ждут финрынок после запуска открытого банкинга: детали от НБУ
НБУ обязал финучреждения раскрывать условия предоставления кредита