Джерело: НВБізнес

Новий Загальний регламент уніфікує всі норми про захист персональних даних, а також підсилює захист таких даних. Особливістю нових правил є те, що вони поширюються на всі організації, діяльність яких торкається даних громадян ЄС. Це означає, що під його дію потраплять і українські компанії, які працюють з країнами-членами ЄС (зокрема, пропонують товари/послуги громадянам ЄС, моніторинг суб'єктів даних в межах ЄС).

В першу чергу, GDPR зачепить компанії фінансового і фармацевтичного сектора, а також транспортні і технологічні фірми, медіа - і телеком - компанії, інтернет - магазини. Регламент також матиме стосунок до тих компаній, які ведуть реєстрацію користувачів веб-ресурсів, використовують адресний чи інтернет-маркетинг, обробляють великі обсяги персональних даних, наприклад, туроператори.

Даний регламент уже був названий найбільш жорстким за всю історію ЄС: невиконання регламенту тягне за собою серйозні фінансові санкції. Так, за відсутність належного обліку обробки даних або неповідомлення про порушення регулятора компанія буде зобов'язана сплатити штраф у розмірі до €10 млн або 2% річного доходу компанії (в залежності від того, яке значення є більшим). За грубі порушення, до яких відносяться порушення основних принципів обробки даних, а також порушення прав громадян ЄС щодо інформування про збір таких даних або їх знищення - передбачений штраф до 20 мільйонів євро або 4% річного доходу компанії (в залежності від того, яке значення є більшим). Це означає, що під час вибору українських контрагентів і партнерів європейські компанії будуть все більш вимогливими до рівня їх відповідності нормам GDPR.

До персональних даних GDPR відносить ім'я, адресу електронної пошти, номер телефону, фотографії, відео, повідомлення в соціальних мережах або IP-адресу комп'ютера. Більш того, для окремої категорії інформації встановлено підвищений режим захисту. До такої категорії належить інформація, яка розкриває расове або етнічне походження, політичні погляди, релігійні чи філософські переконання, членство у профспілках, генетичні, біометричні дані, відомості, що стосуються сексуального життя чи сексуальної орієнтації.

Серед основних вимог GDPR - впровадження стандартів безпеки для забезпечення високого рівня захисту даних, наприклад, шифрування персональних даних. Також вимагається призначення спеціального співробітника, відповідального за захист даних, дотримання більш суворих правил передачі даних за межі ЄС і співпраця з відповідними наглядовими органами, оцінка впливу дій компанії на захист персональних даних. Крім того, компанії будуть нести відповідальність за обробку даних, яку вони доручають третім особам, і забезпечувати законність обробки цієї інформації з боку підрядників.

Вимога дотримання захисту персональних даних для українських компаній не є чимось принципово новим. Наприклад, аналогічні норми про необхідність отримання згоди особи на збір даних і повідомлення про обробку, нехай і в більш ліберальному вигляді, вже присутні в українському законодавстві. Проте, реалізація вимог GDPR все ж вимагатиме від українських компаній низки серйозних кроків.

Зокрема, необхідно виявити види оброблюваної інформації, які підлягають захисту згідно з новим регламентом, а також необхідність залучення третіх осіб або передачі їм для обробки, проаналізувати існуючі методи їх захисту. Компаніям необхідно буде переглянути систему менеджменту інформаційної безпеки та управління ризиками, розробити комплексний план заходів щодо реалізації вимог GDPR, який повинен охоплювати зони відповідальності як ІТ - підрозділів, так і департаментів інформаційної безпеки.

Ще одним важливим кроком стане перегляд політики конфіденційності та положень про обробку персональних даних угод користувачів сайтів і онлайн-сервісів, орієнтованих на європейських споживачів і користувачів. В рамках GDPR необхідною буде розробка внутрішніх політик захисту даних, додаткове навчання персоналу, перевірка діяльності з обробки даних, впровадження спеціальної документації щодо процесів обробки та заходів щодо вбудованої системи конфіденційності.

При цьому GDPR передбачає принцип "єдиного вікна", відповідно до якого компанії необхідно вибрати локальне представництво регулятора, яке визначається за встановленими GDPR правилами. З цим представництвом компанія буде координувати свої дії у сфері обробки та захисту персональних даних (наприклад, повідомлення про несанкціонований доступ до персональних даних).

Незважаючи на те, що запуск GDPR формально відбудеться 25 травня, можна очікувати, що на перших порах контролюючі і наглядові органи ЄС, які забезпечують дотримання європейських правил захисту персональних даних, навряд чи будуть готові здійснювати ефективний контроль стосовно компаній, що працюють поза ЄС.

Це дає українським компаніям, які не встигли адаптуватися до нових вимог, додатковий лаг часу для впровадження норм GDPR. Однак у разі невиконання нових правил захисту персональних даних у майбутньому компаніям доведеться піти з ринку ЄС і переорієнтуватися на країни з більш ліберальної політикою.