ЕС – Балтия, Интернет, Латвия, Право, Прямая речь, Технологии

Цель регулы – внедрение единого регулирования в сфере защиты данных во всем Европейском Союзе (ЕС), она предусматривает непосредственно применимые правила и единый порядок в сфере защиты данных по всему ЕС. Гармонизация регулирования защиты данных во всех 28 странах-участницах ЕС позволит предприятиям, направленным на международную деятельность, проще ориентироваться в вопросах защиты данных, снижая необходимость консультироваться о применении регулирования в отдельных странах-участницах ЕС.

Несмотря на то, что постепенному внедрению регулы уделили достаточно времени, по-прежнему царит, так называемый, «принцип студента», либо вера в то, что «все будет хорошо». Справедливости ради следует признать, что в настоящее время мы живем в эпоху пробуждения, ведь в публичном пространстве все чаще говорят об ответственности для предприятий, которые не будут соблюдать требование регулы. Размер штрафа, который может достигать 4% от годового оборота предприятия или 20 миллионов евро, вынудил обратить внимание на внедрение регулы. 

Опасения о соразмерном применении санкций

Предприятия в отрасли информационных технологий (ИТ) при сотрудничестве с юристами в течение этого года уделили очень большое внимание внедрению этой регулы, однако по-прежнему лишь ожидается ясность о правилах применения Регулы, а также о национальных требованиях, учитывая повышенный уровень ответственности и размер денежного штрафа. К сожалению, в данный момент как на уровне ЕС, так и на национальном уровне, многие правила применения остаются неясными. Ясность и понимание регулы и ее применения – это предварительное условие для того, чтобы лица, управляющие и обрабатывающие данные, могли обеспечить соответствие требованиям регулы.

Мы обоснованно надеемся, что Государственная инспекция данных (ГИД) будет работать, как консультативное и проактивное учреждение, для которого штраф – это крайняя мера. С одной стороны, у нас, разумеется, остается надежда, что ГИД будет работать добросовестно и не бросится штрафовать всех предпринимателей в первый же день, однако, с другой стороны, мы и сами понимаем, что закон есть закон. К тому же о нем всем известно уже почти два года – а следовательно – юридически будет очень сложно обосновать бездействие или игнорирование закона. 

Готовность по отраслям отличается

Если в отраслях телекоммуникаций и финансов новый порядок воспринимают серьезно и вкладывают ресурсы в его изучение и адаптацию систем, то в отрасли здоровья часть учреждений по-прежнему «в зимней спячке». В этой сфере о хранении данных предстоит еще много дискуссий, ведь потребуется согласовать требования регулы с требованиями других нормативных актов.

Большим вызовом станет удаление данных и соблюдение правил в соответствии с другими законами и регулами, которые необходимо учитывать наряду с Регулой об Общей защите данных. Например, для финансового сектора в силе многие регуляции об отмывании денег уже сейчас, особенно новая директива о платежах, в которой очень противоречиво изложены вопросы о передаче данных третьим лицам, что может противоречить условиям новой регулы. Также следует понимать, когда банк сможет удалять данные из своих систем, чтобы, с одной стороны, не получить штраф от ГИД за Регулу об Общей защите данных, а, с другой стороны, Комиссия рынка финансов и капитала не наказывала за несоблюдение закона об отмывании денег или Директивы о платежах.

Интересно еще и то, будет ли покрывать страхование гражданско-правовой ответственности предпринимателя, либо страховщики, денежные штрафы, судебные требования по возмещению ущерба тем предпринимателям, которые предусмотрительно заключили крупные договоры на обработку данных своих клиентов/сотрудников с микропредприятиями или другим небольшим ООО, и будут «пострадавшие» из-за недобросовестных действий третьей стороны (либо этого ООО) с данными. 

Внешняя услуг как решение

Понятное дело, что внедрение регулы – это большой вызов, который у мелких предприятий может потребовать не только финансовые ресурсы, но и огромные затраты по времени. Это комплексный процесс, который включает в себя разработку новых документов и процессов, привлечение специалиста по защите данных, знание ИТ и юридических вопросов, практический опыт в сфере защиты личных данных и безопасности информации. В реальной же жизни один специалист по большей части не может выполнить эти условия, таким образом, одним из решений будет – делегировать процесс внедрения и контроля соблюдения регулы, как внешнюю услугу, которая включает в себя юристов, ИТ и специалистов по управлению персоналом одновременно и др.

Многие предприятия ИТ отрасли предлагают такую внешнюю услугу – как в плане практического внедрения, так и в виде консультаций. В решение «GDPR in-a-box», разработанное Datakom, включен своего рода искусственный интеллект, который автоматически ищет, защищает и аудитирует нахождение личных данных в системах предприятий. Такое решение обеспечивает непрерывный контроль над данными, а также позволяет контролировать доступ к сенситивным данным на предприятии. Также предлагается возможность передать поставщикам внешней ИТ услуги ответственность за поддержание безопасности в толковании Регулы об Общей защите данных. Несмотря на то, что до вступления регулы в силу остались неполные четыре месяца, мы советуем не откладывать работы по подготовке на последний момент.