Авторизація

» » » Не такий страшний GDPR, як його репрезентують

Не такий страшний GDPR, як його репрезентують

Ступені захисту персональних даних громадян Європейського Союзу збентежили українські компанії, які так чи інакше перетинаються з учасниками альянсу. Адже розробники не пошкодували цифр на штрафи. Приватна інформація, яка перетвориться на публічну та завдасть шкоди багатьом європейцям, зумовить стягнення до €20 млн.
Небезпечна новинка
Необхідність відповідати вимогам затвердженого загального регламенту щодо захисту даних, або GDPR (General Data Protection Regulation), без членства в жаданій єврозоні ще в травні цього року декого обурила, а декого здивувала. Мабуть, через це його закріплення на національних просторах дещо пригальмувало.
І хоча одвічна проблема відсутності процедури не раз рятувала правопорушників, у випадку з міжнародним документом імовірність санкцій набуває статусу неминучості. Експерти впевнені, що процес гармонізації національного законодавства з нормами ЄС уже передбачає обов’язок брати на себе відповідальність за порушення їхнього права.
До того ж передумови для включення положень регламенту в національні акти вже існують. І якщо не сьогодні-завтра GDPR імплементують, він боляче вдарить по компаніях, які знехтували зберіганням конфіденційної інформації європейців. Однак чи можна до того часу забути про страшні 4 літери?
Саме це й обговорювали експерти-юристи та фахівці технологічної галузі на конференції «GDPR в Україні: інструкція щодо впровадження нових стандартів».
З’ясували, що спектр прав охоронюваних суб’єктів розширений настільки, що в ньому неможливо знайти лазівку. До приватної інформації, крім звичних для нас даних про громадянина, віднесені: дані про місцезнаходження, расові та етнічні ознаки, політичні погляди, релігію чи навіть філософію, членство в торговельній спільноті, генетичні та біометричні дані, відомості про стан здоров’я, сексуальне життя та орієнтацію.
І якщо ризикують бути оштрафованими насамперед українські роботодавці, які мають працівника із надзахищеної зони, поки що незрозуміло, навіщо збирати про них таку всеосяжну інформацію.
Ролі в GDPR-просторі вже чітко розподілені. Зрозуміло, що суб’єктом даних виступає громадянин з ідентифікаційними ознаками. Мотиви та засоби обробки інформації, яку той надає, визначає так званий контролер. Від його імені безпосередньо обробляє дані оператор. І, як і будь-де, окрему участь у тому, що відбувається, бере орган контролю.
Беззаперечно, українські компанії, розташовані в ЄС, одразу ж отримують квитки в партер. А от якщо суб’єкт там перебуває, а обробка його даних не пов’язана з пропозицією товарів та послуг і з моніторингом його поведінки на території Євросоюзу, то й дія GDPR на нього не поширюватиметься. Теоретично має бути саме так.
Створені умови
Українські компанії, які дають європейцям роботу або залучають їх до торгівлі, також повинні підкорятися вимогам регламенту. І тільки бездіяльністю та обережністю законослухняним суб’єктам не обійтись.
Особи, котрі відповідають за кібербезпеку, повинні ініціювати посилення захисту інформаційних хмар, а рекрутери компаній — шукати DPO (Data Protection Officer, спеціального інспектора GDPR).
Від цього обов’язку звільняються лише органи державної влади та обробники даних у великому обсязі та даних про кримінальне минуле осіб. Плюс ті суб’єкти, які, мабуть, за бажанням можуть віднести себе до категорії тих, хто стикається з конфіденційною інформацією без ризику для прав та свобод фізичних осіб.
Як зазначили експерти, так чи інакше, але всі ці обов’язки вже давно покладені на українців і поширюються на всіх осіб незалежно від їх громадянства. Знайти зазначені вимоги можна в непримітному серед чинних актів законі «Про захист персональних даних».
Його непопулярність зумовлюється невказаними санкціями і, головне, відсутністю органу контролю. Якраз останній міг би взяти на себе ношу спостерігача за виконанням регламенту. Адже, якщо на національній арені виникне GDPR-злочин, провадженням займатиметься уповноважений Верховної Ради з прав людини. І навіть гіпотетично важко уявити, як омбудсмен упорається з місією, яку поклали на армію фахівців у країнах ЄС.
Новини з епіцентру
А поки власники бізнесу ще сумніваються в поширенні регламенту та його правомочності на територію Україну, європейські компанії вже готують величезні суми, необхідні для сплати штрафу. Оскільки він вираховується від суми обороту за минулий рік.
Дещо не зрозумілий нам поки що світ, в якому персональні дані громадян — об’єкт захисту №1, вже сколихнули землетруси комплаєнсу.
Санкції, передбачені GDPR, накладають за незаконне знищення, втрату, зміну, несанкціоноване розкриття або доступ до персональних даних, які передано, збережено або іншим чином опрацьовано (ст.4 регламенту).
Усі ці епізоди прямо пов’язані з кібератаками на інформаційні сховища конфіденційної інформації.
Одним із перших штрафників став інтернет-ресурс із продажу квитків Tickemaster, унаслідок злому якого було викрадено відомості про 40 тис. британців. Про гучну подію оголосили тільки через 4 доби, зовсім не набагато перевищивши 72-годинний строк — вимогу регламенту, тим самим додавши собі клопоту.
І хоч гуманний GDPR і містить у собі покарання у вигляді догани або попередження, масштаб вищеописаної події зумовлює чималу грошову компенсацію за залишені без догляду персональні дані. Адже стало відомо, що держателі сайту дізналися про ймовірність злому ще кілька місяців тому.
Ще глобальнішим і повчальнішим став випадок із компанією Dixons Carphone, що займається торгівлею електро- та телекомунікаційними мережами. Кібератака, яка торкнулася даних 5,9 млн клієнтів, завдала підприємству чималої репутаційної шкоди. Хоча, ймовірно, їм легше буде відновити втрачений авторитет, аніж виплатити вже спрогнозований згідно з регламентом штраф у розмірі ?423 млн.
Як бачимо, машина GDPR уже сміливо рухається найбільш розвиненими країнами Європи, адже поки що ні про які штрафи не йдеться в країнах Балтії та, звичайно ж, в Україні. І хоч такі суворі методи, безумовно, посилять превентивні методи захисту конфіденційної інформації, цифровий еквівалент штрафів усе ж не може не вражати. Не виключено, що тіньовою метою регламенту стало збільшення бюджетних надходжень ЄС за рахунок недолугих обробників персональних даних.
Імовірно, що Україні ще нескоро випаде можливість стати потенційним боржником GDPR. Утім, зацікавленість у дотриманні норм регламенту повинна забезпечити впевненість європейських партнерів у готовності нашої держави до співпраці.http://zib.com.ua/
Не такий страшний GDPR, як його репрезентують

Матеріали за темою



Данцям заборонили батути, щоб діти не підглядали за сусідами

в„–25-26 (1375-1376), 26.06—06.07.2018



КСУ перевірить законність збору зразків ДНК поліцією

20.06.2018



Як українським компаніям виконати вимоги GDPR

в„–23 (1373), 09.06—15.06.2018



КС може позбавити Мінфін права збирати персональні дані отримувачів соцвиплат

в„–24 (1374), 16.06—25.06.2018



Нововведення в захисті персональних даних: прозорість, конфіденційність, звітність

в„–21 (1371), 26.05—01.06.0218



Набрав чинності Регламент про захист фізосіб у зв’язку із опрацюванням персональних даних (GDPR)

25.05.2018



Отримання поліцією даних про абонента без відповідної санкції є втручанням у приватне життя

в„–17 (1367), 28.04—09.05.2018



Українцям дозволять реєструватися де завгодно, але чекайте перевірок

в„–17 (1367), 28.04—09.05.2018



Відкриті купальники визнали посяганням на моральність

в„–15 (1365), 14.04—20.04.2018



ЄСПЛ захистив права психічно хворого юриста

в„–10 (1360), 10.03—16.03.2018



ЄСПЛ інформує, як захистити право на повагу до приватного життя

12.03.2018



У законодавстві мають передбачені гарантії від зловживань при огляді — ЄСПЛ

в„–8 (1358), 24.02—02.03.2018



Німецький суд дозволив приховувати справжні імена у Facebook

14.02.2018



ЄСПЛ засудив дуже широкі повноваження для прослушки

в„–7 (1357), 17.02—23.02.2018



ЄСПЛ уточнив, у яких випадках прихована відеозйомка не може слугувати доказом у суді

в„–1-2 (1351-1352), 09.01—19.01.2018



У Росії штрафують до мільйона за анонімне використання месенджерів

03.01.2018



Як користуватися «розумними» гаджетами, щоб не зробити їх подарунком для хакерів

30.12.2017



7 порад, як убезпечити спілкування через месенджери

16.12.2017



Втручання у приватне життя: ключові рішення ЄСПЛ (переклад українською)

16.11.2017



Запис розмови з адвокатом не може слугувати доказом

в„–44 (1342), 18.11—24.11.2017


Завантажити більше публікацій
Коментарі
До статті поки що не залишили жодного коментаря. Напишіть свій —

[url=http://zib.com.ua/ua/comments/133717.html]Читати всi




[url=http://zib.com.ua/ua/print/133717.html]
[url=#][/url]

Долучайтесь до нас у Facebook

Залишити коментар
Новини
  • Останні
  • Перегляди
  • Коментарі
Календар публікацій
«    Апрель 2019    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930