Как защищают персональные данные в ЕС и Украине — читайте в материале
Прошло почти полтора года с момента официального вступления в силу Общего регламента о защите данных, известного как GDPR. С введением требований европейского нормативного документа представители украинского бизнеса и компании в Европе пытаются делать все, чтобы быть compliant.
Как внедряют требования GDPR в ЕС, реакция украинского бизнеса на регламент, особенности законодательства Украины относительно персональных данных и его различия с нормами GDPR — эти и другие вопросы, связанные с регламентом, обсудили в ходе конференции GDPR Day Kyiv, организованной Украинской межбанковской Ассоциацией членов платежных систем ЕМА и Data Privacy Office (Беларусь).
Процесс внедрения GDPR на примере европейской компании
Глубокий анализ всех норм GDPR, тщательное планирование всех этапов внедрения регламента, подготовка документации и обучение сотрудников — основания база для реализации европейских норм обработки персональных данных пользователей. По словам Дайниса Шпеля, юриста и сертифицированного специалиста по защите данных группы компаний Tet (крупнейший в Латвии интернет-провайдер и оператор телевизионных услуг), процесс полной подготовки всех процессов и документов с целью дальнейшего соответствия требованиям GDPR занял у компании 2 года. Он отметил, что они начали подготовку еще в середине 2016 года.
Специалист отметил, что вся работа по реализации норм GDPR была разделена на три этапа.
Первый — аудит и анализ персональных данных и документов. Эта работа проделывалась еще до официального вступления в силу GDPR. В ходе этого этапа было реализовано следующее:
- определены и зафиксированы все цели обработки данных. Компания Tet имела более 200 целей обработки;
- установлены субъекты данных;
- определены виды персональных данных в зависимости от целей обработки;
- выяснено правовое основание обработки, а также методы сбора данных и инструменты их обработки.
Также, отмечает Шпель, важно пересмотреть всю базу документов компании — от разных клиентских договоров до внутренней документации. Специалист подчеркнул, что в больших компаниях ошибочно считают, что речь идет только о договорах с клиентами. Однако надо учитывать и тот факт, что работники этих предприятий тоже являются субъектами данных.
Второй — внедрение новых документов и политик, чтобы они соответствовали европейскому регламенту.
Минимум документации:
- Регистр обработки данных. Этот документ касается не каждого предприятия. Однако он обязателен, если компания насчитывает 250 сотрудников или обрабатывается информация, которая может создать риск для прав и свобод субъектов данных.
- Политика конфиденциальности предприятия для клиентов. Здесь нужно упомянуть всю информацию, которую требует GDPR, особенно статьи 14,15. Также этот документ должен быть легко доступным для клиентов предприятия.
- Порядок руководства нарушениями. В случае какого-либо инцидента, связанного с утечкой данных, компания должна в течение 72 часов уведомить как свою внутреннюю инспекцию, так и госрегулятора. Если это нарушение, когда может пострадать субъект, нужно его обязательно информировать об этом.
- Уточненные формы согласия и информирования клиентов.
- Договор между контроллером и процессором.
Третий — проверка процессоров на соответствие GDPR.
Процессоры — все партнеры компании, которые занимаются обработкой данных ее клиентов или сотрудников. Например, это маркетинговое агентство, которое составляет для фирмы клиентскую базу, или IT-предприятие, которое поддерживает ее веб-ресурсы.
Кроме того, Дайнис Шпель подчеркнул, что очень важно обучать сотрудников.
Реакция украинского бизнеса на GDPR
По словам Татьяны Слабко, старшего юриста адвокатского отделения Arzinger, есть несколько проблем, с которыми сталкивается украинский бизнес, когда слышит о GDPR и о персональных данных.
- Непонимание того, что такое персональные данные и с чем предстоит работать.
- В каких случая применяется GDPR.
- Если же GDPR распространяется на деятельность компании, что делать дальше.
Персональные данные (согласно законодательства Украины и GDPR) — это любая информация, которая прямо или непосредственно идентифицирует физическое лицо. Это может быть, как одна информационная единица — например, имя, или же совокупность определенных сведений — имя и геолокация.
Кроме того, есть понятие чувствительных персональных данных — это религиозные, политические, биометрические данные человека. Поэтому такую информацию нужно защищать усиленно.
Сегодня требования GDPR распространяются на 28 стран Европейского Союза. Однако в регламенте есть статья 3, в которой говорится, что этим нормам должны соответствовать третьи страны, которые не входят в ЕС:
- Если компания предоставляет непосредственно товары и услуги лицам в ЕС, причем не обязательно гражданам, а просто лицам, находящимся в какой-либо стране Евросоюза.
- Если исследуется поведение этих лиц.
Слабко утверждает, что с введением GDPR украинский бизнес должен следовать новому образцу поведения.
Как определить, применяется ли GDPR к компании, находящейся в Украине
Татьяна Слабко подчеркнула, что год назад, в ноябре, были выпущены методические рекомендации, в которых рассказывалось, как проводить анализ по совместимости с GDPR. Эксперт назвала несколько критериев и привела примеры.
Критерий №1. В зависимости от того, где находится компания.
Примеры:
- Лица в ЕС, которые передают персональные данные компании в ЕС, связанной с Украиной. В результате эти сведения имеет и украинское предприятие. Поэтому компания в Украине тоже должна соответствовать GDPR, поскольку получает данные на постоянной основе.
- Когда в Украине работает сервис, который рассчитан на граждан ЕС. Таким образом, лица из ЕС предоставляют свои данные в Украину. Поэтому украинская компания должна обязательно соблюдать требования GDPR.
- Физические лица в Украине, которые предоставляют свои данные компании в этой же стране, а затем украинская фирма передает эти сведения компании, находящиеся в ЕС. Как известно, европейское предприятие должно 100% следовать нормам GDPR. Поскольку оно заботится о том, какие данные получает от украинской стороны, компании из Украины тоже надо быть GDPR-complined.
- Компания в ЕС, которая собирает данные физлиц там, после чего эти данные передаются в Украину. В результате европейская фирма требует от украинской заключения договора о трансфере данных для того, чтобы убедиться, что она, как контролер, взяла от процессора все обязательства по надлежащему хранению и обработке этих сведений.
- Когда в Украине компания собирает данные физлиц, а дальше передает их предприятию в ЕС. В таком случае тоже заключается договор, что все передаваемые сведения будут надлежащим образом храниться. Поэтому украинскому предприятию нужно придерживаться требований GDPR.
Критерий №2. В зависимости от того, какую деятельность ведет компания.
Примеры:
- Украинская компания, которая предоставляет товары или услуги лицам в ЕС или отслеживает их поведение. Или же, если говорится о разных девайсах для умного дома. Данные, собранные с этих устройств, могут дальше обрабатываться украинской стороной. Поэтому компания в Украине должна соответствовать нормам GDPR.
- Лица в ЕС, которые отдают данные о своей зарплате в европейскую компанию, а дальше эти сведения передаются в Украину, потому что здесь главный офис. В таком случае компания в Украине может не соответствовать требованиям GDPR.
- Также приводится пример с путешественниками. Так, если украинец поехал в какую-либо страну Евросоюза и пользуется определенным приложением, разработанным украинской фирмой (например, банковское приложение), тогда его данные будут передаваться из ЕС в Украину. Но поскольку этот процесс происходит не на постоянной основе, тогда украинская сторона, владелец приложения, не должна соответствовать требованиям GDPR.
- Довольно-таки часто спрашивают: когда в украинской компании работает гражданин ЕС, нужно ли предприятию соответствовать нормам GDPR. В таком случае, обязательно соблюдать регламент фирме в Украине не надо, отметила Татьяна.
- Когда в Украине есть дочернее предприятие какой-либо компании из страны ЕС. В таком случае Татьяна советует украинской компании тоже соблюдать правила регламента, чтобы материнская фирма не переживала о том, что нарушаются правила передачи персональных данных. Таким образом устанавливается безопасное пространство по передаче персональных сведений.
GDPR и законодательство Украины
Какие законы в Украине и ЕС регулируют защиту персональных данных:
ЕС |
Украина |
Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера №108. | Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера №108, ратификация. |
Директива 95/46/ЕС. | Закон Украины “О защите персональных данных”. |
GDPR. | |
Протокол о внесении изменений в Конвенцию №108 о защите частных лиц в отношении автоматизированной обработки данных личного характера. Привязка к GDPR. |
Ирина Козлова, эксперт в области защиты и управления безопасностью в корпоративном секторе компании “ПОСТ ФИНАНС” детально рассказала о правах субъекта персональных данных. В частности, специалист обратила внимание на ключевые отличия требований, прописанных в GDPR и ЗУ “О защите персональных данных”.
Основные положения — знать цели обработки персональных данных, категории персональных данных, какие есть средства защиты персональных данных, иметь возможность подать жалобу к надзорному органу и т.д. — прописаны и в GDPR, и в ЗУ.
Однако в регламенте есть такое понятие как правовая судебная защита против надзорного органа. Ирина отметила, что в Украине она не знает ни одной ситуации, когда субъект персональных данных выиграл дело против уполномоченного.
Также в украинском законодательстве не прописана возможность получить копию своих данных.
В украинском законе не говорится ничего о переносимости данных.
Еще в ЗУ “О защите персональных данных” отсутствует положение о компенсации материального/нематериального ущерба. Но главное, подчеркнула Ирина, это то, что не прописано ничего об уведомлении субъекта об утечке его персональных данных.
Ирина Козлова обратила внимание и на правила трансграничной передачи персональных данных, когда эти сведения передаются в третьи страны.
Украина. По словам Козловой, наша страна может передавать данные не третьим странам, а иностранным субъектам в общем. Однако только тем, которые подписали 108 Конвенцию и по согласию самого субъекта.
ЕС. Предусматривается действующее решение Еврокомиссии о том, что иностранный субъект обеспечивает должный уровень защиты персональных данных.
Согласие субъекта и его обязательное информирование — самый главный пункт.
Штрафы за ненадлежащую защиту персональных данных
По словам Козловой, в Украине штрафы за такие нарушения прописаны не в ЗУ “Про защиту персональных данных”, а в Административном и Криминальном кодексах.
Максимальная сумма штрафа за утечку данных, согласно ст. 188 Административного кодекса Украины, — 34 тыс грн.
В ЕС штраф применяется в зависимости от преступления, связанного с персональными данными субъекта, которое совершила компания. Эта сумма варьируется от 10 до 20 млн евро.
Украина vs ЕС: реалии сегодняшнего дня
Когда со странами ЕС все понятно (есть GDPR, Конвенция 108+), то в Украине не все так однозначно, если говорить о защите персональных данных.
По словам Ирины Козловой, в октябре 2017 года было принято постановление Кабмина “ О выполнении Соглашения об ассоциации между Украиной и ЕС” №1106. Был утвержден План мероприятий по выполнению Соглашения, и одним из пунктов этого плана является задача по совершенствованию законодательства о защите персональных данных с целью приведения его в соответствие с GDPR.
В секретариате Уполномоченного был создан Координационный совет по совершенствованию законодательства о защите персональных данных, а уже при нем был создан регуляторный проект.
По словам Сергея Воронкевича, ведущего эксперта в области GDPR, реформы касаемо защиты персональных данных в Украине существенно тормозятся. Поэтому бизнес должен помочь государству сделать защиту этой информации более цивилизованной.
Татьяна Слабко поддерживает мнение Воронкевича, однако утверждает, что государство игнорирует попытки частных предприятий помочь ему сдвинуть реформу с мертвой точки.
Ирина Козлова утверждает, что сейчас украинское правительство первым делом нацелено на регулирование работы Уполномоченного.
Андрей Перевезий, независимый аудитор систем информационной безопасности, считает, что не только закон важен. По его словам, украинские компании должны быть готовыми сперва внедрить GDPR на уровне своих внутренних инфраструктур.
Отвечая Перевезию, Ирина Козлова подчеркнула, что в таком случае ключевую роль отыгрывает обучение сотрудников.
Также Сергей Воронкевич предполагает, что персональные данные субъектов стран СНГ более публичные, чем личные сведения жителей стран ЕС.
Андрей Котик, руководитель юридического департамента moneyveo, согласился с этим предположением, учитывая то, что в Украине есть ряд открытых реестров, где хранятся персональные данные, например, тех же физлиц-предпринимателей, участвующих в закупках.
Ольга Завальнюк, сертифицированный специалист в области информационной приватности, говорит, что в ЕС действительно более строгое отношение к персональным данным из-за увеличения размеров штрафов. Однако даже в Евросоюзе не все компании соблюдают требования регламента.
ВАС ТАКЖЕ ЗАИНТЕРЕСУЕТ: Рада-2019: как принятие новых законов повлияет на бизнес