Имплементация GDPR в Украине

15 октября 2019

В последнее время, Европейское законодательство, основной целью которого является защита персональных данных, претерпело значительные изменения, в силу развития новейших технологий, а также в связи с повышением уровня угроз в сфере защиты приватности, которые могут возникать по различным причинам, в частности, и в связи с повышением активности хакерских атак.

Новое законодательство ЕС

Знаковым документом, который несет в себе наибольшую долю изменений, а также новые принципы защиты персональных данных, является Общий Регламент Защиты Данных № 2016/679 (General Data Protection Regulation / GDPR), который был принят в 2016 году, и который вступил в силу 25 мая 2018.

Одной из многочисленных особенностей этого документа является то, что он применяется не только к европейским компаниям, которые осуществляют обработку персональных данных, а и к компаниям, которые зарегистрированы за пределами Европейского Союза, в том числе к компаниям, зарегистрированным в Украине. Такой порядок применения является уникальным для этой сферы и заставляет большинство мирового бизнеса, ориентированного на Европу, задуматься о защите своих информационных систем, включая о безопасности персональных данных, которые обрабатываются.

В статье 3 General Data Protection Regulation указывается, что GDPR применяется к компаниям, которые не зарегистрированы в ЕС в том случае, если:

  • такие компании предлагают свои товары или услуги лицам, находящимся на территории ЕС, независимо от того, взимается ли плата за такие услуги или товары;
  • в случае мониторинга поведения лиц, находящихся на территории ЕС, в силу того, что реализация такого поведения происходит на территории Европейского Союза.

Например. Украинская компания владеет Интернет-магазином, на котором продаются электронные гаджеты. При этом, веб-сайт такой компании разработан на английском языке, таргетируется на европейских потребителей, а расплачиваться можно как в гривнах, так и в евро. В этом случае, компания подпадает под требования GDPR и должна имплементировать меры безопасности обработки персональных данных покупателей, в соответствии с европейским законодательством.

То есть, украинские компании, которые ориентируют свою деятельность на рынок ЕС, должны уже сейчас позаботиться о принятии мер для возможности отвечать требованиям GDPR.

Какие сферы бизнеса подпадают под требования GDPR в первую очередь?

В разрезе мировой практики по применению GDPR, нужно заметить, что больше всего внимания сейчас приковано к компаниям, которые осуществляют деятельность в сфере телекоммуникационных услуг, а также компаний, которые реализуют свой бизнес в сети Интернет. В этом случае речь идет о компаниях, реализующих свой бизнес через Интернет-магазины, различные маркетплейсы и веб-сайты. Проще говоря, GDPR пока сфокусировано на бизнесе, через который осуществляется сбор и обработка персональных данных в больших масштабах. В дальнейшем внимание контролирующих органов будет фокусироваться на компаниях с меньшими объемами обработки персональных данных. Однако, нужно быть уверенными в том, что европейские институции, рано или поздно, охватят всю сферу обработки и использования персональных данных, в контексте требований GDPR.

Говоря об украинском бизнесе, стоит отметить, что под требования GDPR попадут не только компании, которые позиционируются как контроллеры, то есть, собирают персональные данные для собственных целей, но и компании, которые предоставляют услуги другим компаниям по обработке персональных данных. В соответствии с европейским законодательством, такие компании должны определяться как процессоры или обработчики (кому как удобнее). Они несут значительно меньшую ответственность за несоблюдение требования GDPR, однако, если такая компания-обработчик действует от имени или в интересах компании-контроллера, которая подпадает под требования General Data Protection Regulation, компания-обработчик обязана принять все необходимые технические и организационные меры для обеспечения безопасности обработки персональных данных, а также нести ответственность, определенную европейским законодательством за несоблюдение обеспечения надлежащих технических и организационных мер.

Например. Украинская компания предоставляет услуги европейской компании по поддержке веб-сайта и обеспечивает «клиентскую поддержку» для пользователей такого веб-сайта на условиях outsource. В этом случае, независимо от того, какой объем персональных данных обрабатывается, украинская компания должна отвечать требованиям GDPR в части обработки именно данных, передаваемых ей контролёром. Вместе с тем, европейская компания-контроллер скорее всего будет требовать от компании-обработчика принятия соответствующих технических и организационных мер, ведь GDPR предусматривает требование, что все вовлеченные в процесс обработки персональных данных компании, должны соответствовать требованиям GDPR.  

А что же украинское законодательство?

На самом деле, украинское законодательство, хотя и имеет в своем арсенале разработанный закон, регулирующий вопросы защиты персональных данных, он недостаточно адаптирован к требованиям современных европейских реалий. Вместе с тем, в силу углубления и укрепления взаимосвязей Украины с Европейским Союзом, наше государство все же может в перспективе разработать и утвердить нормативный акт или акты, которые бы четко отвечали требованиям, которые ставятся перед мировым сообществом в сфере защиты персональных данных.

Рассматривая возможность привлечения украинских компаний к ответственности за нарушение GDPR на нормативном уровне, то ответ в таком случае довольно прост, так как между Европейским Союзом и Украиной существуют механизмы, которые позволяют выполнять решения европейских судов по отношению к украинским компаниям и наоборот. Кроме этого, законодательство никоим образом не запрещает компетентным европейским органам блокировать деятельность компании или соответствующего Интернет ресурса на своей территории.

Практические советы украинским компаниям

Как и всегда, прежде всего, советуем украинским компаниям осуществить детальный анализ своей деятельности на предмет обработки персональных данных лиц, находящихся на территории Европейского Союза. Это позволит определить должна компания соответствовать требованиям General Data Protection Regulation.

В дальнейшем, необходимо разработать и имплементировать необходимые технические и организационные меры, провести инвентаризацию данных внутри компании, разработать публичные и внутренние организационные документы, которые требует GDPR и которые компания сочтет необходимыми по своему усмотрению. Кроме всего прочего, необходимо провести аудит всех договоров с контрагентами, чтобы привести их в соответствие с Регламентом, а также должным образом настроить функционал веб-сайта, если деятельность осуществляется через всемирную сеть Интернет.

В процессе внедрения мероприятий и разработки документов, нужно провести ряд назначений, в частности, необходимо назначить офицера по защите данных (Data Protection Officer (DPO)), назначение которого требуется при определенных обстоятельствах, предусмотренных GDPR, а также лиц, ответственных за обработку и персональных данных внутри компании.

По завершению принятия всех необходимых мер и разработки документов, необходимо обеспечить постоянную поддержку соответствия требованиям GDPR, путем осуществления мониторинга изменений к законодательству Европейского Союза, законодательства стран — членов ЕС, где находятся лица, чьи персональные данные обрабатываются компанией, а также изменений в законодательство Украины. Такой мониторинг лучше всего могут обеспечить специалисты, которые разбираются в практических аспектах приватности, в контексте применения GDPR.

Специалисты компании BSO Privacy Group готовы помочь вам в организации проведения всех необходимых технических и организационных мероприятий для возможности обеспечить соответствие вашей компании требования GDPR.