Закон і Бізнес


Неимплементированы рекомендации?

Не так страшен GDPR, как его репрезентуют


№28 (1378) 14.07—20.07.2018
Вероника ВОЛИК
15627

Степени защиты персональных данных граждан ЕС, введенные регламентом, смутили украинские компании, которые так или иначе пересекаются с участниками альянса. Ведь разработчики не пожалели цифр на штрафы. Частная информация, которая превратится в публичную, чем нанесет вред многим европейцам, обусловит взыскание до €20 млн.


Небезпечна новинка

Необхідність відповідати вимогам затвердженого загального регламенту щодо захисту даних, або GDPR (General Data Protection Regulation), без членства в жаданій єврозоні ще в травні цього року декого обурила, а декого здивувала. Мабуть, через це його закріплення на національних просторах дещо пригальмувало.

І хоча одвічна проблема відсутності процедури не раз рятувала правопорушників, у випадку з міжнародним документом імовірність санкцій набуває статусу неминучості. Експерти впевнені, що процес гармонізації національного законодавства з нормами ЄС уже передбачає обов’язок брати на себе відповідальність за порушення їхнього права.

До того ж передумови для включення положень регламенту в національні акти вже існують. І якщо не сьогодні-завтра GDPR імплементують, він боляче вдарить по компаніях, які знехтували зберіганням конфіденційної інформації європейців. Однак чи можна до того часу забути про страшні 4 літери?

Саме це й обговорювали експерти-юристи та фахівці технологічної галузі на конференції «GDPR в Україні: інструкція щодо впровадження нових стандартів».

З’ясували, що спектр прав охоронюваних суб’єктів розширений настільки, що в ньому неможливо знайти лазівку. До приватної інформації, крім звичних для нас даних про громадянина, віднесені: дані про місцезнаходження, расові та етнічні ознаки, політичні погляди, релігію чи навіть філософію, членство в торговельній спільноті, генетичні та біометричні дані, відомості про стан здоров’я, сексуальне життя та орієнтацію.

І якщо ризикують бути оштрафованими насамперед українські роботодавці, які мають працівника із надзахищеної зони, поки що незрозуміло, навіщо збирати про них таку всеосяжну інформацію.

Ролі в GDPR-просторі вже чітко розподілені. Зрозуміло, що суб’єктом даних виступає громадянин з ідентифікаційними ознаками. Мотиви та засоби обробки інформації, яку той надає, визначає так званий контролер. Від його імені безпосередньо обробляє дані оператор. І, як і будь-де, окрему участь у тому, що відбувається, бере орган контролю.

Беззаперечно, українські компанії, розташовані в ЄС, одразу ж отримують квитки в партер. А от якщо суб’єкт там перебуває, а обробка його даних не пов’язана з пропозицією товарів та послуг і з моніторингом його поведінки на території Євросоюзу, то й дія GDPR на нього не поширюватиметься. Теоретично має бути саме так.

Створені умови

Українські компанії, які дають європейцям роботу або залучають їх до торгівлі, також повинні підкорятися вимогам регламенту. І тільки бездіяльністю та обережністю законослухняним суб’єктам не обійтись.

Особи, котрі відповідають за кібербезпеку, повинні ініціювати посилення захисту інформаційних хмар, а рекрутери компаній — шукати DPO (Data Protection Officer, спеціального інспектора GDPR).

Від цього обов’язку звільняються лише органи державної влади та обробники даних у великому обсязі та даних про кримінальне минуле осіб. Плюс ті суб’єкти, які, мабуть, за бажанням можуть віднести себе до категорії тих, хто стикається з конфіденційною інформацією без ризику для прав та свобод фізичних осіб.

Як зазначили експерти, так чи інакше, але всі ці обов’язки вже давно покладені на українців і поширюються на всіх осіб незалежно від їх громадянства. Знайти зазначені вимоги можна в непримітному серед чинних актів законі «Про захист персональних даних».

Його непопулярність зумовлюється невказаними санкціями і, головне, відсутністю органу контролю. Якраз останній міг би взяти на себе ношу спостерігача за виконанням регламенту. Адже, якщо на національній арені виникне GDPR-злочин, провадженням займатиметься уповноважений Верховної Ради з прав людини. І навіть гіпотетично важко уявити, як омбудсмен упорається з місією, яку поклали на армію фахівців у країнах ЄС.

Новини з епіцентру

А поки власники бізнесу ще сумніваються в поширенні регламенту та його правомочності на територію Україну, європейські компанії вже готують величезні суми, необхідні для сплати штрафу. Оскільки він вираховується від суми обороту за минулий рік.

Дещо не зрозумілий нам поки що світ, в якому персональні дані громадян — об’єкт захисту №1, вже сколихнули землетруси комплаєнсу.

Санкції, передбачені GDPR, накладають за незаконне знищення, втрату, зміну, несанкціоноване розкриття або доступ до персональних даних, які передано, збережено або іншим чином опрацьовано (ст.4 регламенту).

Усі ці епізоди прямо пов’язані з кібератаками на інформаційні сховища конфіденційної інформації.

Одним із перших штрафників став інтернет-ресурс із продажу квитків Tickemaster, унаслідок злому якого було викрадено відомості про 40 тис. британців. Про гучну подію оголосили тільки через 4 доби, зовсім не набагато перевищивши 72-годинний строк — вимогу регламенту, тим самим додавши собі клопоту.

І хоч гуманний GDPR і містить у собі покарання у вигляді догани або попередження, масштаб вищеописаної події зумовлює чималу грошову компенсацію за залишені без догляду персональні дані. Адже стало відомо, що держателі сайту дізналися про ймовірність злому ще кілька місяців тому.

Ще глобальнішим і повчальнішим став випадок із компанією Dixons Carphone, що займається торгівлею електро- та телекомунікаційними мережами. Кібератака, яка торкнулася даних 5,9 млн клієнтів, завдала підприємству чималої репутаційної шкоди. Хоча, ймовірно, їм легше буде відновити втрачений авторитет, аніж виплатити вже спрогнозований згідно з регламентом штраф у розмірі ₤423 млн.

Як бачимо, машина GDPR уже сміливо рухається найбільш розвиненими країнами Європи, адже поки що ні про які штрафи не йдеться в країнах Балтії та, звичайно ж, в Україні. І хоч такі суворі методи, безумовно, посилять превентивні методи захисту конфіденційної інформації, цифровий еквівалент штрафів усе ж не може не вражати. Не виключено, що тіньовою метою регламенту стало збільшення бюджетних надходжень ЄС за рахунок недолугих обробників персональних даних.

Імовірно, що Україні ще нескоро випаде можливість стати потенційним боржником GDPR. Утім, зацікавленість у дотриманні норм регламенту повинна забезпечити впевненість європейських партнерів у готовності нашої держави до співпраці.