GDPR для всех: как украинским предпринимателям внедрить европейский регламент

119
Digital Ukraine
Права пользователей и обязанности компаний, или как не попасть на многомиллионные штрафы

Смогут ли украинские предприниматели спокойно продолжать сотрудничать с европейскими компаниями без угрозы получить многомиллионный штраф за нарушение норм Общего регламента защиты данных (GDPR) Евросоюза?

GDPR в силе: что европейский регламент защиты данных изменил для IT-компаний

О том, как внедрить европейский регламент в украинский бизнес, рассказали на конференции «GDPR в Украине: инструкция по внедрению новых стандартов в бизнес», которую 10 июля организовала ассоциация Digital Ukraine при поддержке компании «IT-Интегратор». KFund Media попытался выделить ключевые моменты.

Какие права имеют пользователи?

1.

Ключевое требование GDPR – сбор персональных данных пользователей можно проводить только с четкой и конкретной целью.

ведущий специалист Nota Group Нечепуренко Юлия
Ведущий специалист Nota Group Юлия Нечепуренко. Digital Ukraine

В противном случае, обработка данных будет считаться незаконной, подчеркнула ведущий специалист Nota Group Юлия Нечепуренко. Исключением может стать сбор персональных данных, например, для создания статистики в общественных целях.

2.

Предприниматели могут собирать только необходимые данные. Например, авиакомпания, которая обычно обрабатывает электронный адрес и паспортные данные пользователей, ни в коем случае не может собирать данные о политических убеждениях.

3.

Регламент GDPR обязывает компанию получить разрешение пользователей в цифровом виде на обработку их данных для конкретной цели. Как только цель достигнута, данные следует удалить в соответствии с принципом ограниченного во времени хранения.

4.

Пользователи имеют право запросить свои персональные данные, чтобы, например, узнать цель их обработки. Компании должны ответить на запрос в течение 30 дней, если отправители не злоупотребляют своими правами.

5.

Пользователи также имеют право потребовать удалить их данные или обжаловать обработку данных в судебном порядке, получив компенсацию.

Украинские компании, имеющие контрагентов в Европе, должны внедрить все необходимые технические меры для соблюдения прав пользователей.

«GDPR окажет лишь позитивное влияние на украинский бизнес», – уверена Юлия Нечепуренко.

Зачем нужен Data Protection Officer?

Регламент GDPR обязывает компании предпринять технические и организационные меры. В первом случае, речь идет о технической диагностике процессов сбора и хранения данных.

Организационные меры включают две важных составляющих:
запись обработки данных (документирование информации о компании, процессе сбора данных и пользователях),
введение должности специального Data Protection Officer (DPO, директора по защите данных).

Сертифицированный DPO иведущий специалист Nota Group Колченогова Елена.
Сертифицированный DPO и ведущий специалист Nota Group Елена Колченогова . Digital Ukraine

«Data Protection Officer – это специалист, который обладает необходимыми знаниями по защите персональных данных», – пояснила суть своих обязанностей сертифицированный DPO и ведущий специалист Nota Group Елена Колченогова.

Это работа для юриста, требующая обширных знаний в области права. DPO должен полностью контролировать безопасность персональных данных и оценивать риски (Data Protection Assessment). Именно он должен научить остальных сотрудников работать с персональными данными пользователей.

Впрочем, только оценить риски и обучить персонал недостаточно, уточнила Колченогова. Гарантию может дать только специальный сертификат о соответствии фирмы всем критериям GDPR, который выдают на три года.

Чем грозит несоблюдение GDPR?

Согласно ст. 4 GDPR, за нарушение регламента, например, неправильное хранение или кражу персональных данных, компании грозит административное наказание. Малый бизнес на первый раз может отделаться предупреждением. В зависимости от тяжести нарушения регламент предусматривает:

– штраф €10 млн, или 2% от годового глобального оборота компании;
– штраф €20 млн, или 4% от годового глобального оборота компании.

«Самые высокие административные штрафы накладывают, если компания нарушила несколько норм регламента»,– уточнила координатор группы IT и кибербезопасности юридической компании Sayenko Kharenko Дарина Сидоренко.

Слушатели конференции «GDPR в Украине: инструкция по внедрению новых стандартов в бизнес».
Слушатели конференции «GDPR в Украине: инструкция по внедрению новых стандартов в бизнес». Digital Ukraine

В Германии, Франции, Испании и Великобритании уже активно проверяют компании на предмет нарушения регламента, рассказала она. В то же время, власти стран Балтии дали местным компаниям время на перестройку деятельности в соответствии с GDPR.

Одной из первых «жертв» европейского регламента стал американский организатор концертов Ticketmaster, рассказала Дарина Сидоренко. В субботу, 23 июня, компания обнаружила взлом системы, однако сообщила об этом своим пользователям только через четыре дня, 27 июня. По GDPR, она обязана была уведомить о взломе в течение 72 часов.

Незадолго до инцидента в компании прошел аудит систем безопасности, который показал ее киберуязвимость. В Ticketmaster не торопились закрывать дыры в безопасности. Теперь компании грозит штраф от €20 млн.

Напомним, что Европарламент намерен ужесточить ответственность IT-гигантов за авторский контент.

Украинский бизнес существенно увеличит расходы на кибербезопасность.

Поделиться: