Июнь 26, 2018
Алексей КУТОВЕНКО

В конце мая Евросоюз ввел в действие Общий регламент по защите данных (General Data Protection Regulation, GDPR). Он затронет не только сферу высоких технологий, но и многие отечественные организации, работающие с европейскими партнерами и клиентами.

Белорусский бизнес мог познакомиться с особенностями нового регулирования во время GDPR DAY. Мероприятие было организовано при поддержке Евросоюза в рамках Европейской недели приватности. Организаторами GDPR DAY-II стали бизнес-тренер и автор учебного курса «GDPR DPP: защита данных по GDPR» Сергей Воронкевич, школа бизнеса Top Skills, провайдер хостинга и облачных решений hoster.by, а также правозащитная организация Human Constanta.

Новые времена — новые правила

Появление GDPR было неизбежно. Предыдущие нормы разрабатывались тогда, когда интернет-бизнес еще только становился на ноги. Тогда не было такого количества гаджетов и сервисов, собирающих персональные данные. Технический прогресс требует соответствующего регулирования.

Основная идея GDPR благая. Регламент устанавливает перечень данных, отнесенных к чувствительным персональным, раскрывает порядок их сбора, хранения, обработки и удаления, а также предусматривает крупные штрафы в случае нарушений. GDPR дает определения терминам «контроллер данных» и «процессор данных». В первом случае это лицо или организация, собирающая персональные данные и выбирающая технологии для их дальнейшей обработки, во втором — организация, действующая по заказу контроллера и непосредственно реализующая техническую сторону обработки.

Важная особенность GDPR заключается в том, что регламент защищает физических лиц независимо от их гражданства, находящихся на территории Евросоюза. Иными словами, если белорус находится на территории ЕС, он также подпадает под защиту GDPR, а значит, при работе с его персональными данными все компании обязаны соблюдать установленный регламент. С другой стороны, европеец, приехавший в Беларусь, лишается такой защиты, и его персональные данные обрабатываются уже в соответствии с нашими правилами.
До сих пор данные рассматривались бизнесом как актив. Поскольку хранение таких сведений обходилось дешево, многие IT-компании собирали их, как говорится, про запас и иногда использовали не в самых привлекательных для рядовых граждан целях.

Одна из главных задач GDPR — сломать эту систему и превратить персональные данные из актива в риск. Регламент запрещает участникам рынка собирать данные без должных оснований и требует очень осторожно относиться к сохраненным. Организации, планирующие работать с персональными данными, обязаны доказывать корректность соблюдения протокола их обработки всеми партнерами. Контроллеры должны подписывать особое соглашение с процессорами, обязывающее соблюдать регламент GDPR и разрешающее внешний аудит.

Последствия для белорусского IT-бизнеса

Наиболее очевидны последствия вступления GDPR в силу для белорусских аутсорсинговых фирм. Европейские заказчики будут заинтересованы в сокращении цепочек подрядчиков в целях лучшего контроля за соблюдением регламента. Как следствие, небольшим отечественным аутсорс-фирмам будет труднее находить серьезные заказы. Ожидается, что это приведет к консолидации рынка и упрочению позиций более крупных игроков. С другой стороны, если белорусские разработчики подпишут дополнительное соглашение с контроллером-заказчиком и выступят в качестве процессора, то все необходимые технические требования к ним будет устанавливать заказчик, а нашим фирмам останется только строго придерживаться этих критериев.

Еще одна проблема, которая может возникнуть перед белорусскими айтишниками, заключается в том, что GDPR разрешает свободное перемещение персональных данных только в пределах границ Евросоюза. Таким образом, если отечественный стартап разработает предназначенный для всемирного распространения продукт или сервис, предусматривающий использование персональных данных или даже простую регистрацию через соцсети, то легально хранить эти данные на нашей территории будет проблематично.

Эксперты возлагают большие надежды на готовящийся белорусский закон о персональных данных. Если он будет гармони­зирован с европейскими нормами, у отечественного бизнеса будет меньше проблем при взаимодействии с партнерами из ЕС.

GDPR не только для IT. Последствия вступления в силу GDPR ощутят на себе не только представители IT-сектора, но и многие другие белорусские компании, так или иначе работающие с Европой. Например, если клиент отечественного банка расплачивается карточкой на территории ЕС и при этом раскрывает свои персональные данные, банк должен соблюсти нормы GDPR. 

Под действие нового регламента подпадают белорусские медицинские центры, активно зазывающие клиентов из Европы, транспортные организации, продающие билеты через интернет-сайты. Более того, если предлагающий товары или услуги любой отечественной организации сайт переведен на европейские языки, заявляет международную доставку и имеет другие признаки того, что он рассчитан на работу с пользователями из ЕС, то владелец такого сайта должен обеспечить соблюдение требований GDPR. Следует учесть, что решение о том, подпадает ли сайт белорусской фирмы под действие регламента, принимается в Европе, поэтому попытка выйти из-под GDPR с помощью какой-либо оговорки в пользовательском соглашении не пройдет.

Поскольку эффективная работа без использования информационных технологий на современном рынке практически невозможна, фирмам, ориентированным на экспорт, придется реагировать. Потребуются инвентаризация сохраненных персональных данных, обучение сотрудников и выработка плана действий в различных ситуациях. Крупным организациям понадобятся специалисты, разбирающиеся в нюансах GDPR.

Если у белорусской компании есть сайт или другая техническая платформа, предусматривающая взаимодействие с людьми на территории ЕС, потребуется как минимум доработка пользовательского соглашения. В нем понадобится раскрыть перечень собираемых персональных данных, порядок их обработки, а также сведения обо всех сторонних организациях, технологии и продукты которых будут применяться при работе с данными пользователей.

Вокруг GDPR все еще много вопросов

Возможно множество пограничных ситуаций, нюансы которых смогут учесть только подготовленные специалисты. Белорусскому бизнесу нужно учитывать GDPR, даже если взаимодействие с клиентами из ЕС осуществляется на уровне хранения адресов электронной почты сотрудников европейских фирм-партнеров.

Особый интерес будут представлять первые примеры применения GDPR и штрафных санкций. На себе их почувствует прежде всего европейский бизнес, однако рано или поздно дело дойдет и до белорусских фирм. Как и насколько плотно будут следить за соблюдением регламента? Насколько жесткими окажутся меры, применяемые к нарушителям? На какие затраты придется пойти компаниям? Ответы на эти вопросы мы получим уже в самом ближайшем будущем.
 

Подписка на GDPR + IT + пользовательские данные + персональные данные
16 июля 2018
Сейчас военные создают рабочие места для айтишников
16 июля 2018
Ему перейдет миноритарная доля акций.
16 июля 2018
Увидеть утраченную архитектуру белорусской столицы позволяет мобильное приложение Chronosphere, созданное программистами­энтузиастами с использованием технологии дополненной реальности.
16 июля 2018
Помочь строительству IT­страны может каждый руководитель. Для начала следует автоматизировать систему управления бизнес­процессами на своем предприятии.

Страницы