2019-06-06
Спустя год после введения GDPR условия всё еще обсуждаются.

Инета Гарнеле, Сертифицированный  специалист по защите данных, юрист Sunstar Group.

Год назад, 25-ого мая 2018-ого года, вступила в силу регула о защите личных данных (GDPR – General Data Protection Regulation). Для многих предпринимателей введение этой регулы принесло множество неудобств, ведь отдельные её пункты требовали переоценку хранящихся в их распоряжении данных. Почему же так важно каждому предприятию серъёзно отнестись к вопросу о защите личных данных, вне зависимости от отрасли и количества работников? Как удаётся препдприятиям внедрить эти регулы и что изменилось за прошедший год?

В Латвии уже с 2000-ого года действует закон о защите личных данных и в 2018-ом году это вопрос снова актуализировался. С 25-ого мая 2018-ого года на территории Европейского Союза вступила в силу регула о Общей Защите Данных. В целом после вступления регулы в силу основные принципы обработки личных данных не поменялись, но вопрос снова актуализировался в связи с тем, что новая регула устанавливала фиксированный объём штрафов за допущенные нарушения. Штрафы стали конкретные и весьма существенными- юридическим лица за существенные нарушения устанавливался штраф до 10-20 миллионов евро или 2-4% от суммы годового оборота. И поэтому в прошлом году в мае мы могли наблюдать сильный ажиотаж на эту тему-в социальных сетях разворачивались острые дискуссии.

В течение года с момента вступления регулы в силу и Государственная Трудовая Инспекция, и эксперты разных отраслей проводили информационные и разъяснительные кампании по этому вопросу.

Тем не менее, исследования показывают, что немалая часть мелких и средних предпринимателей считают, что регула к ним не относится и продолжают работать в полной уверенности - "к нам проверка не придёт".  Безусловно, есть немалая доля предпринимателей, которые серьёзно относятся к новым требованиям и неукоснительно их соблюдают, оценивая все риски и проводят соответствующие мероприятия по их устранению.

Необходимо понимать, что штрафные санкции не должны быть единственной причиной для внедрения принципов защиты личных данных.  Надо понимать, что общество становится более информированным в этих вопросах и, соблюдая эти требования, предприниматель ясно показывает, что он заботится о сохранности доверенной ему информации, тем самым повышая доверие к своему предприятию.

 

Не будет преувеличением сказать, что для немалой части предприятий введение GDPR  всё еще является актуальным вопросом.  Что можно предпринять?

 Самое важное-понять, что всё, что касается обработки данных, должно быть законно и честно. Требования регулы относятся не только к крупным предприятиям, которые каждый день обрабатывают и сохраняют большие объёмы данных клиентов  но также к средним и мелким. Обработка персональной информации о клиентах, работниках, партнерах  также должна соответствовать требованиям, указанным в регуле. Обрабатывая данные, важно понимать, каким образом они будут храниться и действительно ли вся собранная информация необходима для конкретной цели и задачи. Нужно принять во внимание, что такой сбор и хранение будет законным только в том случае, если отвечает какому-либо из шести правовых принципов, указанных в регуле. Для полностью законной работы с личной информацией необходимо взаимодействие на нескольких уровнях-не только внутри предприятия, но и с  клиентами, которые доверили предприятию свои личные данные.

Спустя год после введения регулы очевидно, что предстоит еще много предпринять. Консультируя предпринимателей, сделаны выводы, что еще много вопросов касательно практики введения норм регулы. Хотелось бы думать, что отношение к работе с своими и чужими данными изменится, но, тем не менее, еще много камней преткновения как в частном, так и в публичном секторах. Бывали и такие ситуации, когда в мае 2018-ого года предприятия в спешке вводили изменения в свои внутренние процессы и это заканчивалось очередной папкой с документами на полке руководителя, и в результате требования закона были выполены чисто формально.

Изменения, введённые в спешке, не всегда качественные и многие предприниматели понимают, что утвержденные документы на практике не работают.  При том, что один из рисков -внешний, нельзя сбрасывать со счетов и риски внутренние, такие как невнимательность работника или саботаж, противоправное разглашение,уничтожение, передача третьим лицам. Нередко такое противоправное деяние обусловлено необразованностью конкретного работника в сфере личных данных при выполнение рабочих обязанностей. Поэтому соблюдение правил необходимо и оно не должно являться чисто формальным, в том числе и просвещение работников. И это одно из важнейших условий, так как именно работники, выполняя ежедневные рабочие обязанности, напрямую соприкасаются с персональными данными. Предпринимателям необходимо понимать, что они несут ответственность за законный сбор и хранение персональной информации.

С момента вступления в силу регулы Государственная Инспекция данных, как было ранее указано, работала по принципу "Сначала консультация", штрафуя только в единичных случаях, чаще консультируя клиентов.  Возможно, это одна из причин, почему многие предприниматели затягивая введение новой системы. На данный момент уже можно говорить о первых штрафах в Европе, размер которых достигает 50 миллионов евро. Прецеденты появились даже в соседней Литве. При том, что мероприятие само по себе довольно затратное, финансово и по человеческим русурсам,нередко связанное с модернизацией IT систем, но всё это является долгосрочным вложением, при том, что его игнорирование может оказаться еще более дорогим.