Уже почти год европейский бизнес живет и работает с оглядкой на регламент по защите персональных данных GDPR, который вступил в силу в мае 2018 на территории ЕС. Казалось бы, какое дело до этого украинским компаниям? Ответ многие уже знают — потому что действие документа распространяется не только на местные фирмы, но и на нерезидентов, которые обрабатывают персональные данные европейцев. И пока в Евросоюзе гремят новости о многомиллионных штрафах для мировых бизнес-гигантов за несоблюдение GDPR, большинство наших предпринимателей все еще размышляют, нужно ли внедрять регламент.
Регламент в цифрах и кейсах
Этот год был богат на скандалы, связанные с утечкой персональных данных. Были в том числе и первые штрафы, которые пока затронули только европейский рынок — начиная от мелких предпринимателей заканчивая мировыми гигантами. Можно отметить Австрию, где компания была оштрафована за видеонаблюдение, установленное на внешней территории их месторасположения. Проще говоря, это было кафе, где стояла камера без указателей или маркировки, которая бы поясняла, с какой целью ведется съемка. Согласно регламенту, это является нарушением, гражданином была подана жалоба, Комиссия по защите персональных данных Австрии достаточно быстро ее рассмотрела и обязала кафе заплатить штраф в размере 4800 евро. Далее был португальский случай с государственной поликлиникой. Там работало более 300 докторов, но в электронной системе медицинского учреждения было создано 800 аккаунтов с доступом к информации о пациентах. В итоге клиника получила штраф уже 400 тысяч евро. Но самое громкое дело, которое прогремело во всех новостях — это штраф в 50 млн евро для гиганта мирового рынка Google. Жалоба была подана пользователями сервиса во французский орган и состояла в том, что компания собирает данные, не давая полной информации об их объемах и способе хранения. Но Google, можно сказать, отделалась легким испугом, ведь максимальная санкция за нарушение GDPR может достигать 4% годового оборота всего холдинга.
Если же говорить языком сухих фактов и цифр, то новый регламент работает и с каждым днем набирает обороты. Согласно последним данным Европейского совета по защите данных, со дня вступления в силу регламента европейские надзорные органы приняли уже более 95 тысяч жалоб от физлиц, которые считают, что их права в рамках GDPR были нарушены. А вот количество реальных штрафов, которые удалось взыскать за это время, посчитать сложней — большая часть дел все еще находится на рассмотрении суда. В региональном разрезе активнее всего выступают граждане Франции, Германии и Нидерландов — там больше всего жалоб. Кстати, феномен последних вполне объясним тем, что у них регламент работает в обязательном порядке еще с 2016 года.
Если говорить о секторах риска, то пока что самыми злостными нарушителями являются ИТ-компании и фирмы, занимающиеся таргетированной рекламой (например, рассылка e-mail или телемаркетинг).
А что у нас?
Если украинская компания имеет свой филиал или представительство на территории Евросоюза или обрабатывает персональные данные европейцев в Украине, то требования GDPR в любом случае будут распространяться на нее. Это очень широкий спектр деятельности: социальные сети, туристические фирмы, отельный бизнес, медицинский бизнес, страхование, все финансовые структуры, онлайн-площадки, электронная коммерция — и этот список можно продолжать еще очень долго. Фактором попадания под регламент может стать даже европейский домен сайта или возможность расчета в евро.
Потому многие украинские компании постепенно начинают осознавать необходимость внедрения GDPR. Особенно открыты в этом вопросе те, кто давно работает с европейскими рынками. Мотивы просты: в первую очередь — это репутация, благодаря которой они дальше смогут двигаться и покорять ЕС. Что касается участников отечественного рынка, то опыт показывает, что наш бизнес начал обращаться за проведением аудита на предмет попадания его деятельности под нормы GDPR. А это уже первый шаг к внедрению регламента.
Но у медали есть и другая сторона. У украинских предпринимателей почему-то сложилось впечатление, что внедрять стандарты GDPR — это дорого. Поэтому многие тянут с решением. На самом деле траты не настолько крупные, как кажется на первый взгляд. На предприятиях среднего и малого размера можно обойтись «малой кровью». Минимальный план действий выглядит так:
- IT-специалисты должны обеспечить технические меры, вроде системы шифрования данных и псевдонимизации. Таким образом, персональные данные будут защищены от утечки и повреждений;
- Юридическая команда должна разработать организационные меры, вроде внедрения документации. Это в первою очередь построение политики конфиденциальности, чтобы сотрудники понимали, как работает защита данных и почему необходимо соблюдать определенные правила;
- Логично также вести реестр персональных данных. В него нужно заносить информацию о том, какие данные собирают, с какой целью, где их хранят и как обрабатывают. Это значительно упростит жизнь, в случае обращений пользователя или надзорного органа;
- Особое внимание стоит уделить договорным взаимоотношениям с контрагентами. Когда им передаются данные, в договоре необходимо прописать правильные формулировки, распределить обязательство сторон и четко указать, кто за что несет ответственность;
- Также немаловажно проводить тренинги для ответственных лиц, которые работают с персональными данными. Они должны понимать, как вести себя в случае обращения пользователя и какую информацию можно предоставлять.
Еще одна причина, по которой украинский бизнес никуда не спешит — это отсутствие четкого механизма взаимодействия между европейскими и украинскими государственными органами по защите данных. У нас на сегодняшний день действует закон о защите персональных данных, и он предполагает просто мизерные штрафы, в отличие от GDPR, ограничиваясь несколькими тысячами гривень, максимальный штраф — 17 тысяч грн, что никоим образом не пугает наших предпринимателей. Но совсем скоро все изменится и для них. Украина приняла на себя обязательства в рамках ассоциации с ЕС, которые в том числе заключаются в защите персональных данных.
Сейчас Украина с помощью европейских коллег разрабатывает законопроект, который приведет наше законодательство в соответствие с GDPR. И это случится гораздо быстрее, чем многие думают.
Именно потому внедрять стандарты GDPR на своем предприятии важно, нужно и необходимо уже сейчас. Поскольку любое несоответствие — это болезненный удар по деловой репутации, которую и так достаточно сложно заработать нашим компаниям в Европе. Так что придется взвешивать, насколько вы хотите чувствовать себя комфортно и не нести дополнительные затраты в виде штрафов. Подумайте дважды!