GDPR ДЛЯ ВСІХ: ЯК УКРАЇНСЬКИМ ПІДПРИЄМЦЯМ ЗАПРОВАДИТИ ЄВРОПЕЙСЬКИЙ РЕГЛАМЕНТ

Права користувачів і обов’язки компаній, або як не «попасти» на багатомільйонні штрафи.

Чи зможуть українські підприємці спокійно продовжувати співпрацювати з європейськими компаніями без загрози отримати багатомільйонний штраф за порушення норм Загального регламенту захисту даних (GDPR) Євросоюзу?

Про те, як впровадити європейський регламент в український бізнес, розповіли на конференції «GDPR в Україні: інструкція з впровадження нових стандартів у бізнес», яку організувала асоціація Digital Ukraine 10 липня за підтримки компанії «IT-Інтегратор». KFund Media спробував виділити ключові моменти.

Які права мають користувачі?

1. Ключова вимога GDPR – збір персональних даних користувачів можна проводити тільки з чіткою і конкретною метою. В іншому випадку, обробка даних буде вважатися незаконною, підкреслила провідний фахівець Nota Group Юлія Нечепуренко. Винятком може стати збір персональних даних, наприклад, для створення статистики в громадських цілях.
2. Підприємці можуть збирати тільки необхідні дані. Наприклад, авіакомпанія, що зазвичай використовує електронну адресу і паспортні дані користувачів, в жодному разі не може збирати дані про політичні переконання.
3. Регламент GDPR зобов’язує компанію отримати дозвіл користувачів в цифровому вигляді на обробку їхніх даних для конкретної мети. Як тільки мета досягнута, дані слід видалити відповідно до принципу обмеженого в часі зберігання.
4. Користувачі мають право зробити запит на свої персональні дані, щоб, наприклад, дізнатися мету їх обробки. Компанії повинні відповісти на запит протягом 30 днів, якщо відправники не зловживають своїми правами.
5. Користувачі також мають право вимагати видалити їхні дані або оскаржити обробку даних в судовому порядку, отримавши компенсацію.

Українські компанії, які мають контрагентів в Європі, повинні впровадити всі необхідні технічні заходи для дотримання прав користувачів.

«GDPR матиме лише позитивний вплив на український бізнес», – впевнена Юлія Нечепуренко.

Навіщо потрібен Data Protection Officer?

Регламент GDPR зобов’язує компанії вжити технічних та організаційних заходів. У першому випадку, мова йде про технічну діагностику процесів збору і зберігання даних.

Організаційні заходи включають дві важливі складові:

– запис обробки даних (документування інформації про компанії, процеси збору даних і користувачів),

– введення посади спеціального Data Protection Officer (DPO, директора з питань захисту даних).

«Data Protection Officer – це фахівець, який володіє необхідними знаннями щодо захисту персональних даних», – пояснила суть своїх обов’язків сертифікований DPO та провідний спеціаліст Nota Group Олена Колченогова.

Це робота для юриста, що вимагає великих знань в сфері права. DPO повинен повністю контролювати безпеку персональних даних і оцінювати ризики (Data Protection Assessment). Саме він повинен навчити інших співробітників працювати з персональними даними користувачів.

Втім, тільки оцінити ризики і навчити персонал недостатньо, уточнила Колченогова. Гарантію може дати лише спеціальний сертифікат про відповідність фірми всім критеріям GDPR, який видають на три роки.

Чим загрожує недотримання GDPR?

Згідно ст. 4 GDPR, за порушення регламенту, наприклад, неправильне зберігання або крадіжку персональних даних, компанії загрожує адміністративне покарання. Малий бізнес на перший раз може відбутися попередженням. Залежно від тяжкості порушення регламент передбачає:

– штраф €10 млн, або 2% від річного глобального обороту компанії;

– штраф €20 млн, або 4% від річного глобального обороту компанії.

«Найвищі адміністративні штрафи накладають, якщо компанія порушила кілька норм регламенту», – уточнила координатор групи IT та кібербезпеки юридичної компанії Sayenko Kharenko Дарина Сидоренко.

У Німеччині, Франції, Іспанії і Великобританії вже активно перевіряють компанії на предмет порушення регламенту, розповіла вона. У той же час, влада країн Балтії дали місцевим компаніям час на перебудову діяльності відповідно до GDPR.

Однією з перших «жертв» європейського регламенту став американський організатор концертів Ticketmaster, розповіла Дарина Сидоренко. У суботу, 23 червня, компанія виявила злом системи, проте повідомила про це своїм користувачам тільки через чотири дні, 27 червня. За GDPR, вона зобов’язана була зробити це протягом 72 годин.

Незадовго до інциденту в компанії пройшов аудит систем безпеки, який показав її кібервразливість. У Ticketmaster не поспішали закривати діри в безпеці. Тепер компанії загрожує штраф від €20 млн.

Источник