Як прийняття GDPR торкнеться українських IT-компаній? Думка експерта.

General Data Protection Regulation (GDPR) - новий Регламент захисту персональних даних, який кардинально змінив спосіб збору, обробки та захисту персональних даних не тільки на території Європейського Союзу, а і за його межами.

Цей документ у травні цього року прийшов на зміну Директиві 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних».

Правила європейські, але і українські компанії, незалежно від свого місцезнаходження, якщо вони оброблюють персональні дані резидентів і громадян ЄС, повинні стати GDPR compliant. Так, регламент є загальнообов’язковим документом без необхідності імплементації його норм до національного законодавства кожної країни-учасниці. Норми Регламенту є нормами прямої дії.

Найбільше нові Правила торкнуться українських компаній, які мають клієнтів з ЄС або постачають товари/послуги в ЄС, чи відслідковують активність громадян ЄС в мережі Інтернет для різних цілей.

То що ж треба робити компанії, щоб не потрапити під суперштрафні санкції, не втратити європейських клієнтів та зберегти статус надійного бізнес-партнера?

Нагадаємо: персональні дані – це будь-яка інформація, що відноситься до ідентифікованої фізичної особи (суб’єкта даних), по якій прямо або опосередковано можна її визначити.

Першочергово: провести комплексне дослідження в межах компанії з метою встановлення, які дані обробляються та визначити, чи підпадають вони під вимоги GDPR.

Потім: розробка «карти» персональних даних, якою буде визначатись - об’єм персональних даних, звідки вони отримуються, де зберігаються, хто має доступ, як вони передаються та інше.

Далі: повне та ґрунтовне діагностування систем збору, обробки та зберігання персональних даних, що надасть чітку оцінку рівня ризиків несанкціонованого доступу та витоку даних.

Також необхідно впровадити технологічний пул захисту даних та конкретний план швидкого реагування (Emergency plan). Це чіткі заходи технічного характеру, які будуть застосовані при виявленні витоку інформації, та в подальшому стануть, так би мовити, «імунітетом» від санкцій за втрату персональних даних.

Підготовка та адаптація внутрішніх документів компанії до вимог Регламенту, спрямованих на забезпечення захисту персональних даних: політики конфіденційності, форми згоди на обробку персональних даних, політики зберігання та архівування даних та інші.

Забезпечення заходів безпеки даних: шифрування даних, зберігання у захищених місцях, створення резервних копій, розбивка даних та зберігання окремими частинами та інше.

Окрім цього, GDPR вводить нове поняття «Data Protection Impact Assessment», що в перекладі означає - «Оцінка впливу на захист даних». Тобто компанії повинні пройти «аудит» на відповідність Регламенту та висвітлити його результати у звіті. Звіт повинен включати в себе опис заходів, які вже впроваджені в роботу компанії, та які планують ввести в майбутньому.

Додатково передбачено введення нової штатної одиниці – працівник із захисту персональних даних (Data Protection Officer), який може входити як до штату компанії, так і працювати за угодою. Таке нововведення торкнеться компаній, які регулярно та широкомасштабно моніторять суб’єктів даних, опрацьовують спеціальні дані згідно ст. 9 Регламенту.

Через Представника із захисту персональних даних також відбуватиметься взаємодія з контролюючими органами ЄС щодо нагляду за дотриманням захисту персональних даних.

Отже, підготовка та впровадження GDPR необхідна кожній компанії, яка працює або має бажання вийти на європейський цифровий ринок, оскільки санкції, втрата європейських клієнтів та репутація «ненадійного» партнера згубно вплинуть на подальший розвиток та роботу компанії. 

Адвокат АО «Жованник і партнери» Олександр Бобрусь