Почему ИТ компаниям нужно думать о GDPR

06 августа 2020

Несмотря на то, что власть в Украине всячески пытается развивать ИТ индустрию в Украине, все равно большинство ФАУНДЕР пытаются зарегистрировать свои компании за ее пределами, в частности в странах — членах Европейского Союза и Соединенных Штатах Америки, хотя и требования по защите персональных данных там довольно жесткие.

Юрисдикции и их требования по защите данных

Если говорить о регистрации компании в Европе, то в этом случае владельцам бизнеса стоит обратить внимание на General Data Protection Regulation или сокращенно GDPR, который действует в ЕС с 2018 года. Этот документ значительно усиливает ответственность за несоблюдение требований по обработке персональных данных лиц, находящихся на территории ЕС. В результате этого, все компании, как действующие на момент вступления в законную силу GDPR, так и те, которые были зарегистрированы после 25 мая 2018 года, должны адаптировать свой бизнес к новым реалиям европейского законодательства в сфере защиты данных.

Если говорить о США, то здесь ситуация более простая, однако, в зависимости от конкретного штата, она может становиться жестче, в контексте требований к компаниям, которые хотят работать с персональными данными физических лиц.

Так в январе 2020 году, вступил в законную силу California Consumer Privacy Act или коротко CCPA, который регулирует вопросы защиты приватности всех потребителей на территории штата Калифорния. Это значит, что все компании, которые были созданы в Калифорнии до 2020 года должны немедленно адаптировать свой бизнес с требованиями CCPA, а компаний, которые намерены там регистрироваться, должны принять все необходимые организационные и технических мероприятий, которые бы обеспечили соответствие требованиям CCPA.

Вместе с тем, ходят слухи о том, что в США планируют разработать федеральный закон о защите персональных данных, который будет покрывать всю территорию США.

Которых ИТ компаний касаются требования по защите данных

Рассматривая компании в сфере ИТ, как зарегистрированные за пределами Украины, например на территории ЕС, нужно разобраться в том, вообще оперируют они в рамках своей деятельности, персональными данными или нет. В этом случае, речь идет не только о персональных данных клиентов или конечных потребителей программного обеспечения, которое компания разрабатывает или обслуживает, а и о персональных данных своих работников.

Важно: некоторые компании ошибочно считают, что собирая только персональные данные своих работников и представителей компаний-партнеров, они не подпадают под требования GDPR, так как риск выявления такого нарушения минимальный. Бытует мнение, что «Все же свои». Однако, такое утверждение является ошибочным, ведь в ЕС, контролирующему органу достаточно заявления любого лица о нарушении его данных, для возможности инициировать проверку в компании, которая осуществляет обработку таких данных. В этом случае не важно, это будет обижен работник или возмущенный клиент.

В результате такой вывод, стоит отметить, что под требования GDPR попадают следующие виды компаний:

ИТ компании, которые осуществляют свою деятельность через веб-ресурсы, в том числе через веб-сайты, ведь они собирают персональные данные пользователей веб-ресурсом;
ИТ компании, предоставляющие outsource или out staff услуги по разработке программного обеспечения или поддержки программного обеспечения, ведь они могут получать доступ к базам данных как клиентов заказчика, так и к другим базам данных заказчика
Продуктовые ИТ компании, которые продают разработанное программное обеспечение в виде всевозможных программ и тому подобное;
ИТ компании, которые разрабатывают компьютерные и мобильные онлайн игры;
Другие компании, которые так или иначе связаны с ИТ индустрией и осуществляют обработку персональных данных.

Принимая во внимание разъяснения компетентных европейских органов, GDPR может не применяться к компании только тогда, когда обработка персональных данных осуществляется не регулярно и в небольших размерах. Чаще это компании, которые относятся к малому бизнесу, которые не оперируют и сфере ИТ.

На что нужно обратить внимание в первую очередь

Самое главное, на что компании нужно обратить внимание, это основные меры безопасности, а также общие организационные мероприятия по возможности демонстрации своего соответствия требованиям GDPR. К организационным мероприятиям, в первую очередь, следует отнести публичные документы компании, она размещает публично или предоставляет для ознакомления всем заинтересованным лицам, в том числе и физическим лицам, чьи персональные данные будут обрабатываться или уже обрабатываются. К этим документам относятся Privacy Policy и Cookie Policy, которые являются корневыми документами, информируют общественность об условиях и порядке обработки персональных данных компанией. Обычно такие документы должны быть размещены на веб-сайтах компании или в физическом виде, если свою деятельность компания осуществляет не в онлайн пространстве.

Важно: разработка упомянутых выше документов должна быть максимально тщательной, ведь от этого зависит, как будет построена дальнейшая иерархия документов и мероприятий в рамках деятельности компании по вопросам обработки и защиты персональных данных. Если у вас нет в штате квалифицированного специалиста по защите данных, стоит привлекать внешних специалистов, имеющих практический опыт разработки таких документов, для достижения максимального эффекта.

По мерам безопасности, то они должны заключаться не только в техническом обеспечении безопасности обработки персональных данных (например токенизация, инкриптування и псевдонимизация), но и в организационных мероприятиях, на которые компании стоит обратить свое внимание.

Одним из основных таких мер, как показывает практика, является организация обучения и повышения осведомленности работников компании и всех заинтересованных лиц по требованиям европейского законодательства в сфере защиты персональных данных. Такое обучение должно быть регламентировано соответствующими внутренними политиками, графическими материалами и таблицами ознакомления / согласования, которые должны использоваться компанией на постоянной основе.

Важно: для возможности эффективно повысить уровень осведомленности персонала, следует обратиться к специалистам, которые имеют практический опыт в реализации норм GDPR в рамках тех или иных сферах бизнеса, в том числе и в сфере ИТ.

вывод

Планируя организовать и запустить собственный ИТ бизнес за рубежом, в частности в ЕС, будьте готовы к тому, что к вам будут применяться нормы GDPR и других нормативных актов в сфере защиты персональных данных. Будьте всегда готовы дать ответ соответствующим компетентным контролирующим органам о том, как и персональные данные вы обрабатываете, и защищены при этом интересы физических лиц, а также физическим лицам, чьи персональные данные компания обрабатывает.