ЕС – Балтия, Интернет, Латвия, Право, Прямая речь, Технологии
Балтийский курс. Новости и аналитика
Четверг, 25.04.2024, 09:05
Готовы ли мы к введению Регулы о защите данных?
Цель регулы –
внедрение единого регулирования в сфере защиты данных во всем Европейском Союзе
(ЕС), она предусматривает непосредственно применимые правила и единый порядок в
сфере защиты данных по всему ЕС. Гармонизация регулирования защиты данных во
всех 28 странах-участницах ЕС позволит предприятиям, направленным на
международную деятельность, проще ориентироваться в вопросах защиты данных,
снижая необходимость консультироваться о применении регулирования в отдельных
странах-участницах ЕС.
Несмотря на то,
что постепенному внедрению регулы уделили достаточно времени, по-прежнему
царит, так называемый, «принцип студента», либо вера в то, что «все будет
хорошо». Справедливости ради следует признать, что в настоящее время мы живем в
эпоху пробуждения, ведь в публичном пространстве все чаще говорят об
ответственности для предприятий, которые не будут соблюдать требование регулы.
Размер штрафа, который может достигать 4% от годового оборота предприятия или
20 миллионов евро, вынудил обратить внимание на внедрение регулы.
Опасения о соразмерном применении санкций
Предприятия в
отрасли информационных технологий (ИТ) при сотрудничестве с юристами в течение
этого года уделили очень большое внимание внедрению этой регулы, однако
по-прежнему лишь ожидается ясность о правилах применения Регулы, а также о
национальных требованиях, учитывая повышенный уровень ответственности и размер
денежного штрафа. К сожалению, в данный момент как на уровне ЕС, так и на
национальном уровне, многие правила применения остаются неясными. Ясность и
понимание регулы и ее применения – это предварительное условие для того, чтобы
лица, управляющие и обрабатывающие данные, могли обеспечить соответствие
требованиям регулы.
Мы обоснованно
надеемся, что Государственная инспекция данных (ГИД) будет работать, как
консультативное и проактивное учреждение, для которого штраф – это крайняя
мера. С одной стороны, у нас, разумеется, остается надежда, что ГИД будет
работать добросовестно и не бросится штрафовать всех предпринимателей в первый
же день, однако, с другой стороны, мы и сами понимаем, что закон есть закон. К
тому же о нем всем известно уже почти два года – а следовательно – юридически
будет очень сложно обосновать бездействие или игнорирование закона.
Готовность по отраслям отличается
Если в отраслях телекоммуникаций
и финансов новый порядок воспринимают серьезно и вкладывают ресурсы в его
изучение и адаптацию систем, то в отрасли здоровья часть учреждений по-прежнему
«в зимней спячке». В этой сфере о хранении данных предстоит еще много
дискуссий, ведь потребуется согласовать требования регулы с требованиями других
нормативных актов.
Большим вызовом станет удаление данных и соблюдение правил в
соответствии с другими законами и регулами, которые необходимо учитывать наряду
с Регулой об Общей защите данных. Например, для финансового сектора в силе
многие регуляции об отмывании денег уже сейчас, особенно новая директива о
платежах, в которой очень противоречиво изложены вопросы о передаче данных
третьим лицам, что может противоречить условиям новой регулы. Также следует
понимать, когда банк сможет удалять данные из своих систем, чтобы, с одной
стороны, не получить штраф от ГИД за Регулу об Общей защите данных, а, с другой
стороны, Комиссия рынка финансов и капитала не наказывала за несоблюдение
закона об отмывании денег или Директивы о платежах.
Интересно еще и то, будет ли покрывать страхование гражданско-правовой
ответственности предпринимателя, либо страховщики, денежные штрафы, судебные
требования по возмещению ущерба тем предпринимателям, которые предусмотрительно
заключили крупные договоры на обработку данных своих клиентов/сотрудников с
микропредприятиями или другим небольшим ООО, и будут «пострадавшие» из-за
недобросовестных действий третьей стороны (либо этого ООО) с данными.
Внешняя услуг как решение
Понятное дело, что внедрение регулы – это большой вызов, который у
мелких предприятий может потребовать не только финансовые ресурсы, но и
огромные затраты по времени. Это комплексный процесс, который включает в себя
разработку новых документов и процессов, привлечение специалиста по защите
данных, знание ИТ и юридических вопросов, практический опыт в сфере защиты
личных данных и безопасности информации. В реальной же жизни один специалист по
большей части не может выполнить эти условия, таким образом, одним из решений
будет – делегировать процесс внедрения и контроля соблюдения регулы, как
внешнюю услугу, которая включает в себя юристов, ИТ и специалистов по управлению
персоналом одновременно и др.
Многие предприятия ИТ отрасли предлагают такую внешнюю услугу – как в
плане практического внедрения, так и в виде консультаций. В решение «GDPR
in-a-box», разработанное Datakom, включен своего рода искусственный интеллект,
который автоматически ищет, защищает и аудитирует нахождение личных данных в
системах предприятий. Такое решение обеспечивает непрерывный контроль над
данными, а также позволяет контролировать доступ к сенситивным данным на
предприятии. Также предлагается возможность передать поставщикам внешней ИТ
услуги ответственность за поддержание безопасности в толковании Регулы об Общей
защите данных. Несмотря на то, что до вступления регулы в силу остались
неполные четыре месяца, мы советуем не откладывать работы по подготовке на
последний момент.