Чи має GDPR майбутнє в Україні?

02/ 03/ 2020

Прослухати онлайн Зупинити   Ольга Куничак. Менеджер IT Комітету Європейської Бізнес Асоціації. Чому для бізнесу в Україні важливий статус «GDPR compliant company» Майже два роки минуло з моменту набуття чинності Загального Регламенту про Захист Даних (GDPR) в ЄС. Регламент став флагманом у сфері захисту персональних даних. Своєрідний аналог GDPR було прийнято і у штаті Каліфорнія восени 2018 року. Документ, який набув чинності з початку 2020 року, має назву «California Consumer Privacy Act (CCPA)» та є не таким всеохоплюючим і жорстким як європейський варіант. Так, до прикладу, CCPA діє лише на території Каліфорнії та стосується компаній, що підпадають під наступні критерії: валовий річний дохід перевищує $25 млн, щорічно отримують та оперують у комерційних цілях персональною інформацією більше 50 тисяч користувачів, отримують 50%+ річного прибутку від продажу персональної інформації користувачів. Зі свого боку, 2 роки тому Україна теж взяла на себе зобовязання вдосконалити рівень захисту персональних даних та рухатись у сторону GDPR compliant країни. Восени 2018 року активно проводились робочі групи та публічні обговорення майбутнього законопроекту, що мав би бути аналогом GDPR в Україні. Проте, ініціатива була відкладена «в довгий ящик» і обговорення продовжилось у грудні 2019 року. Вже зараз депутати та Офіс Омбудсмена дійшли компромісу й активно працюють над законопроєктом. Гарна новина на сьогодні полягає в тому, що за основу взято саме європейську модель захисту персональних даних. Чому це потрібно для України?. У сучасному цифровому світі, особливо з розвитком Big Data та таргетованої реклами, інформація стає одним з головних ресурсів, а її обєми, що зберігаються компаніями - просто колосальні. Так, усі ми користуємось послугами доставки їжі, таксі, авіаперельотами або будь-якими іншими сервісами, де для зручності онлайн оплати повністю вказуємо інформацію банківської карти, особисті дані, номер телефону тощо. Саме через це та гучні скандали з витоками даних (наприклад: Uber, Cambridge Analytica та Facebook) захист інформації та його контроль з боку держави стрімко рухається до пріоритетних завдань. І Україна не є виключенням: з одного боку, це необхідно для стабільного розвитку країни, з іншого - ЄС є нашим головним партнером не лише в експорті/імпорті, але й у стратегічних цілях, і GDPR compliance значно спростить процеси повязані з даними (зберігання, обмін, обробку, тощо) та послабить існуючі барєри. Так, український бізнес буде повністю відповідати вимогам безпеки даних ЄС, тобто не потрібно буде додатково підтверджувати, що рівень захисту даних в компанії знаходиться на належному рівні при співпраці. Це, наприклад, спростить роботу з європейськими банками - значно зменшить обсяг документів та підтверджень, які вимагаються зараз. Водночас, імплементація GDPR та отримання статусу країни, що надає належний рівень захисту персональних даних суттєво полегшить і залучення інвестицій та ведення бізнесу з країнами ЄС. Так, відповідно до статті 45 Регламенту, особисті дані можна передати до країн з адекватним рівнем захисту персональної інформації без додаткових дозволів та погоджень з контролюючими органами. В той же час, стаття 13 GDPR вимагає повідомляти своїх клієнтів про передачу даних поза ЄС. При цьому, зараз вони отримуватимуть не дуже привабливе повідомлення: «Ваші дані будуть передані на обробку до України, країни, котра не має адекватного рівня захисту персональних даних». А якщо до цього всього додати передбачені Регламентом штрафи у розмірі десятків мільйонів євро, то шансів на співпрацю залишається досить мало. Адже зараз, для розуміння, якщо компанія працює з даними громадян ЄС - вона автоматично підпадає під дію Регламенту та вимушена трансформувати свої процеси, щоб відповідати європейським вимогам. Проте, загалом, доки країна не отримала необхідного статусу GDPR compliant - зацікавити клієнтів з ЄС працювати з нашими компаніями неабияк важко, так само як і впевнити інвесторів у відкритті офісів чи R&D в Україні.  Які підводні камені?. Процес отримання славнозвісного допису «GDPR compliant company» вимагає чималих зусиль. Регламент встановлює чіткі правила та політику зберігання і використання персональних даних, а також контроль над нею. Підготовка до таких змін потребує від компаній інвестицій та зміну усіх процесів, що хоч якимось чином повязані з даними. Перш за все, компаніям слід запровадити адекватну систему захисту інформації (кібер безпека), щоб протидіяти можливим витокам даних. Водночас, виникає і потреба у формуванні постійного відділу, що займатиметься такою безпекою або ж наймати аутсорс-підрядників. Комунікація з клієнтами (повідомлення, веб-сайти, форми для заповнення, фідбеки, тощо) мають бути також повністю переписані та перероблені. І саме збереження та використання окремих, необхідних для компанії даних, вимагає чіткої регламентації, що супроводжуються низкою документів. Для розуміння тривалості трансформаційних процесів: в ЄС перехідний період для компаній, щоб стати GDPR compliant, тривав 2 роки. Чому це все так важливо?. Через два, мабуть, найбільш резонансних для бізнесу факторів - штрафи та перевірки. Юридичний партнер ІТ Комітету Європейської Бізнес Асоціації Олексій Столяренко, голова IT/TMT напрямку BakerMcKenzie, щодо цього зазначив наступне: «Питання штрафів за недотримання вимог GDPR досі викликає найбільше занепокоєння зі сторони українського бізнесу через свою неоднозначність та невирішеність. Штрафи не обовязково сягатимуть розмірів шестизначних чисел, адже на їх розмір впливатиме багато факторів (вид, характер, масштаб порушення, розмір компанії, вид діяльності тощо). Однак, очікується, що їх рівень буде достатнім, щоб спонукати бізнес до виконання вимог закону. Що стосується перевірок, то їх порядок проведення з дотримання вимог GDPR повинен бути чітко врегульований, адже відсутність застосовних норм та правил, може спричинити проблеми із накладенням штрафів. Це, як наслідок, може підірвати довіру до України зі сторони ЄС та знівелювати можливість отримання нею статусу країни із належним рівнем захисту персональних даних.» Отже, імплементація адаптованого GDPR в Україні - доволі тривалий та масштабний процес, який вимагає створення чіткої та зрозумілої нормативно-правової бази та підготовки внутрішніх процесів бізнесу до потенційних вимог. Водночас, нове законодавство допоможе збільшити інвестиційну привабливість країни, пожвавити співпрацю з іншими країнами та, в цілому, сприятливо вплине на престиж України у світі. Проте, слід максимально зважено та обєктивно підходити до пропису усіх норм та їх однозначності, щоб захист персональних даних не перетворився на спосіб тиску на компанії. Бізнес готовий долучатись до розробки відповідних правил GDPR в Україні, щоб забезпечити врахування інтересів усіх гравців ринку. Однак, все ж дуже важливо, аби процес не гальмувався, а робота продовжувалась. Тож, сподіваємось, цього року вдасться побачити вже готовий драфт українського документу. Джерело: ЛігаЗакон

Ольга Куничак Менеджер IT Комітету Європейської Бізнес Асоціації

Чому для бізнесу в Україні важливий статус «GDPR compliant company»

Майже два роки минуло з моменту набуття чинності Загального Регламенту про Захист Даних (GDPR) в ЄС. Регламент став флагманом у сфері захисту персональних даних.

Своєрідний аналог GDPR було прийнято і у штаті Каліфорнія восени 2018 року. Документ, який набув чинності з початку 2020 року, має назву «California Consumer Privacy Act (CCPA)» та є не таким всеохоплюючим і жорстким як європейський варіант. Так, до прикладу, CCPA діє лише на території Каліфорнії та стосується компаній, що підпадають під наступні критерії: валовий річний дохід перевищує $25 млн, щорічно отримують та оперують у комерційних цілях персональною інформацією більше 50 тисяч користувачів, отримують 50%+ річного прибутку від продажу персональної інформації користувачів.

Зі свого боку, 2 роки тому Україна теж взяла на себе зобов’язання вдосконалити рівень захисту персональних даних та рухатись у сторону GDPR compliant країни.

Восени 2018 року активно проводились робочі групи та публічні обговорення майбутнього законопроекту, що мав би бути аналогом GDPR в Україні.

Проте, ініціатива була відкладена «в довгий ящик» і обговорення продовжилось у грудні 2019 року. Вже зараз депутати та Офіс Омбудсмена дійшли компромісу й активно працюють над законопроєктом. Гарна новина на сьогодні полягає в тому, що за основу взято саме європейську модель захисту персональних даних.

Чому це потрібно для України?

У сучасному цифровому світі, особливо з розвитком Big Data та таргетованої реклами, інформація стає одним з головних ресурсів, а її об’єми, що зберігаються компаніями – просто колосальні. Так, усі ми користуємось послугами доставки їжі, таксі, авіаперельотами або будь-якими іншими сервісами, де для зручності онлайн оплати повністю вказуємо інформацію банківської карти, особисті дані, номер телефону тощо. Саме через це та гучні скандали з витоками даних (наприклад: Uber, Cambridge Analytica та Facebook) захист інформації та його контроль з боку держави стрімко рухається до пріоритетних завдань. І Україна не є виключенням: з одного боку, це необхідно для стабільного розвитку країни, з іншого – ЄС є нашим головним партнером не лише в експорті/імпорті, але й у стратегічних цілях, і GDPR compliance значно спростить процеси пов’язані з даними (зберігання, обмін, обробку, тощо) та послабить існуючі бар’єри.

Так, український бізнес буде повністю відповідати вимогам безпеки даних ЄС, тобто не потрібно буде додатково підтверджувати, що рівень захисту даних в компанії знаходиться на належному рівні при співпраці. Це, наприклад, спростить роботу з європейськими банками – значно зменшить обсяг документів та підтверджень, які вимагаються зараз.

Водночас, імплементація GDPR та отримання статусу країни, що надає належний рівень захисту персональних даних суттєво полегшить і залучення інвестицій та ведення бізнесу з країнами ЄС. Так, відповідно до статті 45 Регламенту, особисті дані можна передати до країн з адекватним рівнем захисту персональної інформації без додаткових дозволів та погоджень з контролюючими органами. В той же час, стаття 13 GDPR вимагає повідомляти своїх клієнтів про передачу даних поза ЄС. При цьому, зараз вони отримуватимуть не дуже привабливе повідомлення: «Ваші дані будуть передані на обробку до України, країни, котра не має адекватного рівня захисту персональних даних». А якщо до цього всього додати передбачені Регламентом штрафи у розмірі десятків мільйонів євро, то шансів на співпрацю залишається досить мало.

Адже зараз, для розуміння, якщо компанія працює з даними громадян ЄС – вона автоматично підпадає під дію Регламенту та вимушена трансформувати свої процеси, щоб відповідати європейським вимогам.

Проте, загалом, доки країна не отримала необхідного статусу GDPR compliant – зацікавити клієнтів з ЄС працювати з нашими компаніями неабияк важко, так само як і впевнити інвесторів у відкритті офісів чи R&D в Україні. 

Які підводні камені?

Процес отримання славнозвісного допису «GDPR compliant company» вимагає чималих зусиль. Регламент встановлює чіткі правила та політику зберігання і використання персональних даних, а також контроль над нею. Підготовка до таких змін потребує від компаній інвестицій та зміну усіх процесів, що хоч якимось чином пов’язані з даними. Перш за все, компаніям слід запровадити адекватну систему захисту інформації (кібер безпека), щоб протидіяти можливим витокам даних. Водночас, виникає і потреба у формуванні постійного відділу, що займатиметься такою безпекою або ж наймати аутсорс-підрядників.

Комунікація з клієнтами (повідомлення, веб-сайти, форми для заповнення, фідбеки, тощо) мають бути також повністю переписані та перероблені. І саме збереження та використання окремих, необхідних для компанії даних, вимагає чіткої регламентації, що супроводжуються низкою документів. Для розуміння тривалості трансформаційних процесів: в ЄС перехідний період для компаній, щоб стати GDPR compliant, тривав 2 роки.

Чому це все так важливо?

Через два, мабуть, найбільш резонансних для бізнесу факторів – штрафи та перевірки. Юридичний партнер ІТ Комітету Європейської Бізнес Асоціації Олексій Столяренко, голова IT/TMT напрямку BakerMcKenzie, щодо цього зазначив наступне: «Питання штрафів за недотримання вимог GDPR досі викликає найбільше занепокоєння зі сторони українського бізнесу через свою неоднозначність та невирішеність. Штрафи не обов’язково сягатимуть розмірів шестизначних чисел, адже на їх розмір впливатиме багато факторів (вид, характер, масштаб порушення, розмір компанії, вид діяльності тощо). Однак, очікується, що їх рівень буде достатнім, щоб спонукати бізнес до виконання вимог закону. Що стосується перевірок, то їх порядок проведення з дотримання вимог GDPR повинен бути чітко врегульований, адже відсутність застосовних норм та правил, може спричинити проблеми із накладенням штрафів. Це, як наслідок, може підірвати довіру до України зі сторони ЄС та знівелювати можливість отримання нею статусу країни із належним рівнем захисту персональних даних.»

Отже, імплементація адаптованого GDPR в Україні – доволі тривалий та масштабний процес, який вимагає створення чіткої та зрозумілої нормативно-правової бази та підготовки внутрішніх процесів бізнесу до потенційних вимог.

Водночас, нове законодавство допоможе збільшити інвестиційну привабливість країни, пожвавити співпрацю з іншими країнами та, в цілому, сприятливо вплине на престиж України у світі. Проте, слід максимально зважено та об’єктивно підходити до пропису усіх норм та їх однозначності, щоб захист персональних даних не перетворився на спосіб тиску на компанії.

Бізнес готовий долучатись до розробки відповідних правил GDPR в Україні, щоб забезпечити врахування інтересів усіх гравців ринку. Однак, все ж дуже важливо, аби процес не гальмувався, а робота продовжувалась. Тож, сподіваємось, цього року вдасться побачити вже готовий драфт українського документу.

Джерело: ЛігаЗакон