close-btn
PaySpace Magazine Global toggle EN
Мы в соцсетях:
PaySpace Magazine Global toggle EN

Бизнес по правилам GDPR: опыт ЕС и кейсы для Украины

Как защищают персональные данные в ЕС и Украине — читайте в материале

GDPR

Бизнес по правилам GDPR: опыт ЕС и кейсы для Украины. Фото: community.connection.com

Прошло почти полтора года с момента официального вступления в силу Общего регламента о защите данных, известного как GDPR. С введением требований европейского нормативного документа представители украинского бизнеса и компании в Европе пытаются делать все, чтобы быть compliant.

Как внедряют требования GDPR в ЕС, реакция украинского бизнеса на регламент, особенности законодательства Украины относительно персональных данных и его различия с нормами GDPR — эти и другие вопросы, связанные с регламентом, обсудили в ходе конференции GDPR Day Kyiv, организованной Украинской межбанковской Ассоциацией членов платежных систем ЕМА и Data Privacy Office (Беларусь).

Процесс внедрения GDPR на примере европейской компании

Глубокий анализ всех норм GDPR, тщательное планирование всех этапов внедрения регламента, подготовка документации и обучение сотрудников — основания база для реализации европейских норм обработки персональных данных пользователей. По словам Дайниса Шпеля, юриста и сертифицированного специалиста по защите данных группы компаний Tet (крупнейший в Латвии интернет-провайдер и оператор телевизионных услуг), процесс полной подготовки всех процессов и документов с целью дальнейшего соответствия требованиям GDPR занял у компании 2 года. Он отметил, что они начали подготовку еще в середине 2016 года.

требования GDPR

Дайнис Шпель об опыте внедрения требований GDPR в компании Tet.

Специалист отметил, что вся работа по реализации норм GDPR была разделена на три этапа.

Первый — аудит и анализ персональных данных и документов. Эта работа проделывалась еще до официального вступления в силу GDPR. В ходе этого этапа было реализовано следующее:

  • определены и зафиксированы все цели обработки данных. Компания Tet имела более 200 целей обработки;
  • установлены субъекты данных;
  • определены виды персональных данных в зависимости от целей обработки;
  • выяснено правовое основание обработки, а также методы сбора данных и инструменты их обработки.
Главное - осознать, какая ситуация обстоит с данными: что мы обрабатываем, зачем мы обрабатываем, какая правовая основа этого процесса, правильная ли эта правовая основа
Дайнис Шпель
юрист, сертифицированный специалист по защите данных группы компаний Tet

Также, отмечает Шпель, важно пересмотреть всю базу документов компании — от разных клиентских договоров до внутренней документации. Специалист подчеркнул, что в больших компаниях ошибочно считают, что речь идет только о договорах с клиентами. Однако надо учитывать и тот факт, что работники этих предприятий тоже являются субъектами данных.

Второй — внедрение новых документов и политик, чтобы они соответствовали европейскому регламенту.

Минимум документации:

  1. Регистр обработки данных. Этот документ касается не каждого предприятия. Однако он обязателен, если компания насчитывает 250 сотрудников или обрабатывается информация, которая может создать риск для прав и свобод субъектов данных.
  2. Политика конфиденциальности предприятия для клиентов. Здесь нужно упомянуть всю информацию, которую требует GDPR, особенно статьи 14,15. Также этот документ должен быть легко доступным для клиентов предприятия.
  3. Порядок руководства нарушениями. В случае какого-либо инцидента, связанного с утечкой данных, компания должна в течение 72 часов уведомить как свою внутреннюю инспекцию, так и госрегулятора. Если это нарушение, когда может пострадать субъект, нужно его обязательно информировать об этом.
  4. Уточненные формы согласия и информирования клиентов.
  5. Договор между контроллером и процессором.

Третий — проверка процессоров на соответствие GDPR.

Процессоры — все партнеры компании, которые занимаются обработкой данных ее клиентов или сотрудников. Например, это маркетинговое агентство, которое составляет для фирмы клиентскую базу, или IT-предприятие, которое поддерживает ее веб-ресурсы.

Кроме того, Дайнис Шпель подчеркнул, что очень важно обучать сотрудников.

Мы делаем ежегодные тесты и смотрим, понимают ли наши работники, что такое GDPR. Ведь половина наших сотрудников сталкиваются с нормами GDPR
Дайнис Шпель
юрист, сертифицированный специалист по защите данных группы компаний Tet

Реакция украинского бизнеса на GDPR

внедрение GDPR

Как представители украинского бизнеса реагируют на внедрение GDPR. Фото: fospha.com

По словам Татьяны Слабко, старшего юриста адвокатского отделения Arzinger, есть несколько проблем, с которыми сталкивается украинский бизнес, когда слышит о GDPR и о персональных данных.

  • Непонимание того, что такое персональные данные и с чем предстоит работать.
  • В каких случая применяется GDPR.
  • Если же GDPR распространяется на деятельность компании, что делать дальше.

Персональные данные (согласно законодательства Украины и GDPR) — это любая информация, которая прямо или непосредственно идентифицирует физическое лицо. Это может быть, как одна информационная единица — например, имя, или же совокупность определенных сведений — имя и геолокация.

Кроме того, есть понятие чувствительных персональных данных — это религиозные, политические, биометрические данные человека. Поэтому такую информацию нужно защищать усиленно.

Сегодня требования GDPR распространяются на 28 стран Европейского Союза. Однако в регламенте есть статья 3, в которой говорится, что этим нормам должны соответствовать третьи страны, которые не входят в ЕС:

  • Если компания предоставляет непосредственно товары и услуги лицам в ЕС, причем не обязательно гражданам, а просто лицам, находящимся в какой-либо стране Евросоюза.
  • Если исследуется поведение этих лиц.

Слабко утверждает, что с введением GDPR украинский бизнес должен следовать новому образцу поведения.

Появилось такое понятие, как риск-менеджмент в сфере защиты персональных данных: прежде чем начать какой-то процесс, подумай, где здесь персональные данные, как с ними лучше работать. И появилась ответственность, то чего, к сожалению, не хватает законодательству Украины, четко прописанных норм касательно персональных данных
Татьяна Слабко
старший юрист Arzinger

Как определить, применяется ли GDPR к компании, находящейся в Украине

регламент GDPR

Татьяна Слабко о реакции украинского бизнеса на внедрение регламента ЕС.

Татьяна Слабко подчеркнула, что год назад, в ноябре, были выпущены методические рекомендации, в которых рассказывалось, как проводить анализ по совместимости с GDPR. Эксперт назвала несколько критериев и привела примеры.

Критерий №1. В зависимости от того, где находится компания.
Примеры:

  1. Лица в ЕС, которые передают персональные данные компании в ЕС, связанной с Украиной. В результате эти сведения имеет и украинское предприятие. Поэтому компания в Украине тоже должна соответствовать GDPR, поскольку получает данные на постоянной основе.
  2. Когда в Украине работает сервис, который рассчитан на граждан ЕС. Таким образом, лица из ЕС предоставляют свои данные в Украину. Поэтому украинская компания должна обязательно соблюдать требования GDPR.
  3. Физические лица в Украине, которые предоставляют свои данные компании в этой же стране, а затем украинская фирма передает эти сведения компании, находящиеся в ЕС. Как известно, европейское предприятие должно 100% следовать нормам GDPR. Поскольку оно заботится о том, какие данные получает от украинской стороны, компании из Украины тоже надо быть GDPR-complined.
  4. Компания в ЕС, которая собирает данные физлиц там, после чего эти данные передаются в Украину. В результате европейская фирма требует от украинской заключения договора о трансфере данных для того, чтобы убедиться, что она, как контролер, взяла от процессора все обязательства по надлежащему хранению и обработке этих сведений.
  5. Когда в Украине компания собирает данные физлиц, а дальше передает их предприятию в ЕС. В таком случае тоже заключается договор, что все передаваемые сведения будут надлежащим образом храниться. Поэтому украинскому предприятию нужно придерживаться требований GDPR.

Критерий №2. В зависимости от того, какую деятельность ведет компания.
Примеры:

  1. Украинская компания, которая предоставляет товары или услуги лицам в ЕС или отслеживает их поведение. Или же, если говорится о разных девайсах для умного дома. Данные, собранные с этих устройств, могут дальше обрабатываться украинской стороной. Поэтому компания в Украине должна соответствовать нормам GDPR.
  2. Лица в ЕС, которые отдают данные о своей зарплате в европейскую компанию, а дальше эти сведения передаются в Украину, потому что здесь главный офис. В таком случае компания в Украине может не соответствовать требованиям GDPR.
  3. Также приводится пример с путешественниками. Так, если украинец поехал в какую-либо страну Евросоюза и пользуется определенным приложением, разработанным украинской фирмой (например, банковское приложение), тогда его данные будут передаваться из ЕС в Украину. Но поскольку этот процесс происходит не на постоянной основе, тогда украинская сторона, владелец приложения, не должна соответствовать требованиям GDPR.
  4. Довольно-таки часто спрашивают: когда в украинской компании работает гражданин ЕС, нужно ли предприятию соответствовать нормам GDPR. В таком случае, обязательно соблюдать регламент фирме в Украине не надо, отметила Татьяна.
  5. Когда в Украине есть дочернее предприятие какой-либо компании из страны ЕС. В таком случае Татьяна советует украинской компании тоже соблюдать правила регламента, чтобы материнская фирма не переживала о том, что нарушаются правила передачи персональных данных. Таким образом устанавливается безопасное пространство по передаче персональных сведений.

GDPR и законодательство Украины

Какие законы в Украине и ЕС регулируют защиту персональных данных:

ЕС

Украина

Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера №108. Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера №108, ратификация.
Директива 95/46/ЕС. Закон Украины “О защите персональных данных”.
GDPR.
Протокол о внесении изменений в Конвенцию №108 о защите частных лиц в отношении автоматизированной обработки данных личного характера. Привязка к GDPR.

Ирина Козлова, эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС” детально рассказала о правах субъекта персональных данных. В частности, специалист обратила внимание на ключевые отличия требований, прописанных в GDPR и ЗУ “О защите персональных данных”.

GDPR и Закон Украины

GDPR и Закон Украины “О защите персональных данных”:ключевые отличия

Основные положения — знать цели обработки персональных данных, категории персональных данных, какие есть средства защиты персональных данных, иметь возможность подать жалобу к надзорному органу и т.д. — прописаны и в GDPR, и в ЗУ.

Однако в регламенте есть такое понятие как правовая судебная защита против надзорного органа. Ирина отметила, что в Украине она не знает ни одной ситуации, когда субъект персональных данных выиграл дело против уполномоченного.

Также в украинском законодательстве не прописана возможность получить копию своих данных.

У нас нет такого, что ты можешь обратиться в компанию и сказать: “Предоставьте мне, пожалуйста, копию всех персональных данных, которые вы обрабатываете”. При чем, предприятие должно предоставить их в том виде, в котором запросит субъект - бумажный, электронный, и даже по факсу
Ирина Козлова
эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС”

В украинском законе не говорится ничего о переносимости данных.

Это когда ты приходишь в компанию и говоришь: “У вас есть все мои персональные данные и передай вот эти все данные в другую компанию”. Но пока я не знаю такого кейса, который бы продемонстрировал, как это происходит на практике
Ирина Козлова
эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС”

Еще в ЗУ “О защите персональных данных” отсутствует положение о компенсации материального/нематериального ущерба. Но главное, подчеркнула Ирина, это то, что не прописано ничего об уведомлении субъекта об утечке его персональных данных.

Субъект должен быть уведомлен, когда его персональные данные кому-то были переданы незаконным путем. В Украине такого нет. И ближайшее время вряд-ли будет, потому что тогда бизнес можно просто остановить
Ирина Козлова
эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС”

Ирина Козлова обратила внимание и на правила трансграничной передачи персональных данных, когда эти сведения передаются в третьи страны.

Украина. По словам Козловой, наша страна может передавать данные не третьим странам, а иностранным субъектам в общем. Однако только тем, которые подписали 108 Конвенцию и по согласию самого субъекта.

ЕС. Предусматривается действующее решение Еврокомиссии о том, что иностранный субъект обеспечивает должный уровень защиты персональных данных.

То есть компания может обратиться в Еврокомиссию с просьбой проанализировать, насколько безопасно передавать определенные сведения в ту или другую страну, является ли это государство с адекватным уровнем защиты персональных данных. Потом Еврокомиссия предоставит фирме ответ - может ли она совершать такую передачу или нет
Ирина Козлова
эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС”

Согласие субъекта и его обязательное информирование — самый главный пункт.

Штрафы за ненадлежащую защиту персональных данных

По словам Козловой, в Украине штрафы за такие нарушения прописаны не в ЗУ “Про защиту персональных данных”, а в Административном и Криминальном кодексах.

Максимальная сумма штрафа за утечку данных, согласно ст. 188 Административного кодекса Украины, — 34 тыс грн.

В ЕС штраф применяется в зависимости от преступления, связанного с персональными данными субъекта, которое совершила компания. Эта сумма варьируется от 10 до 20 млн евро.

защита персональных данных

Штрафы за ненадлежащую защиту персональных данных

Украина vs ЕС: реалии сегодняшнего дня

Когда со странами ЕС все понятно (есть GDPR, Конвенция 108+), то в Украине не все так однозначно, если говорить о защите персональных данных.

По словам Ирины Козловой, в октябре 2017 года было принято постановление Кабмина “ О выполнении Соглашения об ассоциации между Украиной и ЕС” №1106. Был утвержден План мероприятий по выполнению Соглашения, и одним из пунктов этого плана является задача по совершенствованию законодательства о защите персональных данных с целью приведения его в соответствие с GDPR.

В секретариате Уполномоченного был создан Координационный совет по совершенствованию законодательства о защите персональных данных, а уже при нем был создан регуляторный проект.

По словам Сергея Воронкевича, ведущего эксперта в области GDPR, реформы касаемо защиты персональных данных в Украине существенно тормозятся. Поэтому бизнес должен помочь государству сделать защиту этой информации более цивилизованной.

GDPR

В ходе дискуссии эксперты обсудили болевые точки внедрения GDPR

Татьяна Слабко поддерживает мнение Воронкевича, однако утверждает, что государство игнорирует попытки частных предприятий помочь ему сдвинуть реформу с мертвой точки.

Мы хотим помочь государству усовершенствовать то законодательство, которое уже есть, и привести его в соответствие с GDPR. Как мы знаем есть Соглашение об ассоциации. В нем есть положение, в котором говорится, что система защиты персональных данных должна соответствовать такому уровню, как в странах ЕС. Мы видим очень большое сопротивление со стороны государства, которое просто игнорирует любые наши попытки выйти на диалог
Татьяна Слабко
старший юрист Arzinger

Ирина Козлова утверждает, что сейчас украинское правительство первым делом нацелено на регулирование работы Уполномоченного.

У меня есть мнение, что они допишут первый проект закона о работе Уполномоченного, утвердят его и тогда, скорее всего, мы получим адекватный Закон “Про защиту персональных данных”. У них в приоритете почему-то работа Уполномоченного, а потом Закон
Ирина Козлова
эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС”

Андрей Перевезий, независимый аудитор систем информационной безопасности, считает, что не только закон важен. По его словам, украинские компании должны быть готовыми сперва внедрить GDPR на уровне своих внутренних инфраструктур.

Отвечая Перевезию, Ирина Козлова подчеркнула, что в таком случае ключевую роль отыгрывает обучение сотрудников.

Если компания ценит своих клиентов, то она, как минимум, вкладывает в своих сотрудников. Мы начинаем с малого - берем персонал и обучаем его цифровой гигиене
Ирина Козлова
эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС”

Также Сергей Воронкевич предполагает, что персональные данные субъектов стран СНГ более публичные, чем личные сведения жителей стран ЕС.

Андрей Котик, руководитель юридического департамента moneyveo, согласился с этим предположением, учитывая то, что в Украине есть ряд открытых реестров, где хранятся персональные данные, например, тех же физлиц-предпринимателей, участвующих в закупках.

Ольга Завальнюк, сертифицированный специалист в области информационной приватности, говорит, что в ЕС действительно более строгое отношение к персональным данным из-за увеличения размеров штрафов. Однако даже в Евросоюзе не все компании соблюдают требования регламента.

Живя в Италии, я заметила, что это распространяется не на всех. Есть предприниматели, которые не совсем понимают, что происходит. И довольно-таки много случаев безответственного отношения к данным именно со стороны представителей малого бизнеса
Ольга Завальнюк
сертифицированный специалист в области информационной приватности

ВАС ТАКЖЕ ЗАИНТЕРЕСУЕТ: Рада-2019: как принятие новых законов повлияет на бизнес

Хочу получать:

ТОП новости, билеты на мероприятия, бесплатно!

Материалы по теме

facebook

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: