вимкнути дудлвключити дудл

2018-й – РІК ПІД ЗНАКОМ ЗАГАЛЬНОГО РЕГЛАМЕНТУ ЩОДО ЗАХИСТУ ДАНИХ (ОРЗД)

Артем-Афян-полуростАдвокат, керуючий партнер Адвокатського Об’єднання Juscutum. Керує юридичною фірмою, яка є членом Всесвітньої організації юристів в сфері ІТ, однією з перших, які включили біткойн до переліку валют для розрахунків за свої послуги. Один з перших юристів, які стали надавати юридичний супровід справ про порушення законодавства у сфері ІТ. Юрисконсульт урядів Казахстану і Білорусі з питань впровадження технології блокчейну на державному рівні. Член проектної групи по впровадженню методів міграції державних реєстрів на блокчейн-платформу відповідно до пілотними проектами, ініційованими урядом України. Надавав юридичний супровід першої на Україні покупки об’єкта житла з використанням криптовалюта. Був учасником багатьох професійних, наукових, галузевих конференцій з питань авторського права, інформаційних технологій та інтелектуальної власності. Член Всесвітньої асоціації юристів в сфері ІТ (Цюріх, Швейцарія), Міжнародної асоціації юристів в сфері технологій (ILTA).

Для багатьох юристів в сфері ІТ 2018 р. знаменується Загальним регламентом щодо захисту даних (ОРЗД), новим нормативно-правовим актом Євросоюзу, який вступив в силу в травні 2018 р. Паралельно з проникненням інформаційних технологій в усі традиційні сфери бізнесу і розмиванням їх кордонів, дані перетворюються в паливо для технологій майбутнього, стаючи безцінним ресурсом, заради якого гіганти галузі ІТ готові купувати цілі компанії. У міру підвищення значущості даних, посилюються і вимоги до заходів щодо їх захисту в процесі їх обробки. Згаданий європейський нормативний акт є в цьому відношенні найбільш передовим. У той час, як влада США дозволила інтернет-провайдерам продавати дані історії відвідувань сайтів їх клієнтами, громадяни європейських країн отримали значну систему захисту своїх прав.

Для компаній, обробка даних якими зачіпає права громадян європейських країн, розроблений настільки ж значний перелік обов’язків, що передбачає ще більш високу ступінь відповідальності. Усвідомлюючи всю серйозність ситуації і наростаючу в суспільстві потребу в захисті недоторканності приватного життя і доступі до інструментів контролю своїх даних, автори ОРЗД ​​спробували, відступивши від формалізму, вирішити проблему комплексно. Її рішення вимагає прийняття ряду організаційних і технічних заходів, спрямованих на зміну самого підходу до роботи і відносини кожної компанії до даних та поводження з ними.

Окремі вимоги ОРЗД ​​слід виконувати вже на етапі розробки інформаційної продукції, не кажучи про етап її впровадження. Мова йде не про універсальні стандарти захисту, але про механізм поводження з даними, а саме мінімізації обсягів оброблюваних даних, забезпеченні переносимості даних, захист недоторканності приватного життя за замовчуванням і про ряд інших не менш цікавих вимогах.

Яким чином ОРЗД ​​може торкнутися інтересів українського підприємницького сектора?

Одним з нововведень ОРЗД ​​є його позатериторіальність. Тобто, його дія поширюється на підприємства незалежно від їх місцезнаходження в випадках, коли вони мають дані громадян країн ЄС, продають їм товари і послуги або відстежують їх поведінку в Інтернеті (поведінкове стереотипування). Нескладно уявити ширину діапазону випадків, в яких ОРЗД ​​матиме ключове значення для української галузі ІТ і традиційних сфер бізнесу. В Україні сегмент ІТ представлений не тільки компаніями, які постачають продукцію, але також досить великим сектором зовнішньопідрядної діяльності, який зазвичай орієнтований на іноземну клієнтуру, в тому числі на європейські компанії і глобальні проекти, адресна аудиторія яких знаходиться в Європі. Така діяльність може полягати в наданні користувачам в ЄС послуг відповідно до моделі хмарних послуг ПО (SaaS), а також хмарних послуг інфраструктури продукції ІТ, якщо серед їх кінцевих споживачів присутні громадяни країн ЄС.

Сюди можна також віднести будь-яку бізнес-аналітику, предметом якої є поведінкове стереотипування громадян країн ЄС. Різноманітними можуть бути також перешкоди для підприємств традиційних форм бізнесу: починаючи від простої міграції на хмарну платформу, аж до завдань обробки даних у великій транснаціональній компанії, яка має українську філію. Знаючи популярність хмарних рішень, неважко припустити можливість зберігання персональних даних на хмарному ресурсі європейського провайдера з їх розміщенням на серверах в ЄС. Зберігання навіть резервних копій даних на серверах в ЄС вже накладає зобов’язання як на провайдера, що виконує обробку даних, так і на власника і розпорядника даних. Згідно філософії ОРЗД, ​​перший є обробником даних, а другий – розпорядником даних (згідно з термінологією українського законодавства – розпорядником і власником персональних даних відповідно).

Можна звернути увагу на потенційно велику різноманітність ситуацій, в яких в українських підприємств може виникнути необхідність у виконанні вимог ОРЗД. Кількість завдань, з якими підприємство має справлятися буде залежати від каналу доступу. Це, в свою чергу, визначає ступінь необхідності участі юриста у вирішенні питань відповідності вимогам ОРЗД, а також вимогам, які будуть пред’являтися до нього з боку клієнта. Важливо мати на увазі, що заходи, що здаються зрозумілими і буденними з технологічної точки зору або з точки зору бізнес-процесів, можуть вимагати корекції, обумовленої нормами законодавства. Наприклад, просте переміщення даних на хмарний ресурс з юридичної точки зору може розглядатися як обмін персональними даними з третіми особами. В цьому випадку потрібно чітке викладення Умов використання та укладення з постачальником послуги договору обробки даних.

ОРЗД значно розширює перелік не тільки обов’язків компаній, але і прав користувачів, які повинні неухильно дотримуватися. Починаючи з травня 2018 року, на перший погляд незначний проступок може коштувати компанії 4% її обороту в якості штрафних санкцій. Що визнається персональними даними в ОРЗД? Такими є будь-які дані, які ідентифікують користувача, або за якими користувач може бути впізнаний. У міру вдосконалення технологій і зростання обсягів накопичених даних ситуація з другою частиною визначення терміну буде все більш ускладнюватися. Заголовки різних публікацій, присвячених питанням недоторканності приватного життя, рясніють заявами про закінчення ери анонімності в Інтернеті. Крім того, є безліч прикладів порівняння простоти ідентифікації людей за допомогою відкритих джерел інформації і анонімізувати.

То чи будуть якісь дані визнані персональними, часто буде залежати від ситуації. Через складності завдань на початковому етапі деякі компанії за власною ініціативою вирішують визнавати статус персональних за тими чи іншими даними, забезпечуючи їм більш високу ступінь захисту. У новому нормативно-правовому акті міститься значна частина новацій, а його основною перевагою є забезпечення цих нововведень механізмами їх впровадження. Перелік прав, гарантованих користувачам положеннями ОРЗД, включає право доступу до персональних даних, право на забуття, тобто право на видалення даних, з яким ми вже знайомі, а також право обмеження/заперечення проти їх обробки. Також досить цікавим є нове право користувача на переносимість даних.

Законодавці надали користувачам можливість вилучення даних у їх нинішнього розпорядника і передачі їх іншому розпоряднику для цілей зберігання. Слід мати на увазі, що, наприклад, в разі впровадження нової технології автоматизованої обробки даних, наявності великого обсягу даних спеціальних категорій або заходів по стеженню за місцями громадського користування потрібне проведення аналізу їх впливу на ступінь захищеності даних. У певних ситуаціях захищеність даних і законність їх обробки покликаний забезпечувати спеціально уповноважений Відповідальний за захист даних службовець. Зі збільшенням числа кібератак велику важливість набуває інформування Відомства із захисту даних і користувачів про факт порушення захисту протягом 72 годин у випадках уразливості персональних даних.

Які навички та знання необхідні юристу в сфері ІТ?

Як і в разі юридичної підтримки традиційного бізнесу галузі ІТ важливо бути добре обізнаним про процеси в компанії і розбиратися в основних технічних питаннях поводження з даними. Можна сказати, що простого знання законодавства визначено недостатньо. Однак найчастіше сам текст закону відсилає нас до технічної термінології. Тому навіть на даному етапі юристу необхідно розширювати власний кругозір. Розуміння маршрутів руху даних всередині компанії і так званої карти даних є надійним фундаментом. Юрист повинен брати активну участь у процесі розробки нової продукції ІТ і нарощуванні інфраструктури інформаційної безпеки, а також в аналізі впливу нових рішень на ступінь захищеності персональних даних при їх обробці. Інший аспект роботи полягає в сприянні заходам щодо усунення наслідків порушень захисту і витоку даних.

З огляду на динаміку, пов’язану з обробкою даних, і необхідність моніторингу їхнього статусу, юристам відділів по усуненню зловживань доведеться мати справу з колосальним напливом звернень від користувачів, які спробують максимально реалізувати надані їм права. Само собою зрозуміло, що розробка принципів внутрішньоорганізаційної політики і політики, адресованої третім особам, продовжиться, як і оформлення нових і аналіз існуючих договорів, що регламентують обов’язки щодо захисту даних, інформування та відповідальність за пов’язані з цим порушення. Усвідомлюючи факт посилення вимог до обробки персональних даних та вступу в силу ОРЗД, наша компанія мобілізує свої ресурси в цій сфері. Виконуючи функцію юристів з питань технологій, ми пішли далі простого надання відповідей на звернення клієнтів. Ми прагнемо виявити проблему, пропонуємо її рішення, надаємо команду фахівців для його реалізації і здійснює контроль за процесом реалізації. У той же час, беручи до уваги складність і нетривіальність завдань відповідності вимогам ОРЗД, очевидно, що результатом короткозорого погляду на проблему може стати накладення ряду штрафних санкцій, здатних поставити під загрозу саме існування бізнесу.

Складність тут полягає на стільки в поєднанні методів роботи юридичної фірми, скільки в наданні послуг на стику юриспруденції, технологій та інших сфер знань. У цій сфері ми працюємо як з комерційними підприємствами галузі ІТ, які пред’являють більш жорсткі вимоги до постачальників послуг кібербезпеки, так і з компаніями традиційних галузей, які планують впровадження нових технологій і потребують юридичній експертизі в ході випробувань надійності системи захисту, міграції на хмарні платформи, впровадженні рішень моделі SaaS і інших пов’язаних з ними заходів. Представникам українських компаній, які ще відчувають сумніви з приводу того, чи вплине ОРЗД ​​на їх роботу, корисно було б звернути увагу на вигоди, які дає готовність до зіткнення з цими новими правилами. Високий ступінь захищеності даних може стати перевагою перед конкурентами, надбавкою до цінності продукції і плюсом до репутації в очах клієнта. Більш того, враховуючи курс України на євроінтеграцію і спроби впровадження європейських стандартів якості, є висока ймовірність того, що рано чи пізно Україна візьме на озброєння і досвід захисту персональних даних, який мають її європейські сусіди.

JUSCUTUM. Українська юридична фірма Juscutum була заснована в 2008 р. Ми застосовуємо найсучасніші юридичні методи, спрямовані на досягнення результатів, забезпечення ефективності та якості, чому сприяють застосування ультрасучасних технологій і передових принципів управління. Ми не просто прагнемо надавати своїм клієнтам юридичну консультацію, ми робимо все можливе для пошуку індивідуальних рішень в кожному конкретному випадку. Тому, поряд зі стандартними юридичними послугами наша компанія пропонує те, чого не знайти у інших: врегулювання конфліктів, консультації з питань захисту бізнесу, з питань оптимізації податкового тягаря і ефективності господарської діяльності, а також з питань технологій, інформаційних засобів і телекомунікацій, криптовалюти і блокчейну. Juscutum виробляє власну юридичну продукцію – розроблені компанією технічні рішення і готову продукцію – чого інші консалтингові компанії нині майже не роблять.

Ukrainian Law Firm