выключить дудлвключить дудл

2018-й — ГОД ПОД ЗНАКОМ ОБЩЕГО РЕГЛАМЕНТА ПО ЗАЩИТЕ ДАННЫХ (ОРЗД)

Артем-Афян-полуростАдвокат, управляющий партнер Адвокатского Объединения Juscutum. Руководит юридической фирмой, являющейся членом Всемирной организации юристов в сфере ИТ, одной из первых, включивших биткойн в перечень валют для расчетов за свои услуги. Один из первых юристов, ставших оказывать юридическое сопровождение дел о нарушениях законодательства в сфере ИТ. Юрисконсульт правительств Казахстана и Беларуси по вопросам внедрения технологии блокчейна на государственном уровне. Член проектной группы по внедрению методов миграции государственных реестров на блокчейн-платформу в соответствии с пилотными проектами, инициированными правительством Украины. Оказывал юридическое сопровождение первой на Украине покупки объекта жилья с использованием криптовалюты. Был участником многих профессиональных, научных, отраслевых конференций по вопросам авторского права, информационных технологий и интеллектуальной собственности. Член Всемирной ассоциации юристов в сфере ИТ (Цюрих, Швейцария), Международной ассоциации юристов в сфере технологий (ILTA).

Для многих юристов в сфере ИТ 2018 г. знаменуется Общим регламентом по защите данных (ОРЗД), новым нормативно-правовым актом Евросоюза, который вступил в силу в мае 2018 г. Параллельно с проникновением информационных технологий во все традиционные сферы бизнеса и размыванием их границ, данные превращаются в топливо для технологий будущего, становясь бесценным ресурсом, ради которого гиганты отрасли ИТ готовы приобретать целые компании. По мере повышения значимости данных, ужесточаются и требования к мероприятиям по их защите в процессе их обработки. Упомянутый европейский нормативный акт является в этом отношении наиболее передовым. В то время, как власти США позволили интернет-провайдерам продавать данные истории посещений сайтов их клиентами, граждане европейских стран получили внушительную систему защиты своих прав.

Для компаний, обработка данных которыми затрагивает права граждан европейских стран, разработан настолько же внушительный перечень обязанностей, предполагающий еще более высокую степень ответственности. Осознавая всю серьезность ситуации и нарастающую в обществе потребность в защите неприкосновенности частной жизни и доступе к инструментам контроля своих данных, авторы ОРЗД попытались, отступив от формализма, решить проблему комплексно. Ее решение требует принятия ряда организационных и технических мер, направленных на изменение самого подхода к работе и отношения каждой компании к данным и обращению с ними.

Отдельные требования ОРЗД следует выполнять уже на этапе разработки информационной продукции, не говоря об этапе ее внедрения. Речь идет не об универсальных стандартах защиты, но о механизме обращения с данными, а именно минимизации объемов обрабатываемых данных, обеспечении переносимости данных, защите неприкосновенности частной жизни по умолчанию и о ряде других не менее любопытных требованиях.

Каким образом ОРЗД может затронуть интересы украинского предпринимательского сектора?

Одним из нововведений ОРЗД является его внетерриториальность. То есть, его действие распространяется на компании независимо от их местонахождения в случаях, когда они располагают данными граждан стран ЕС, продают им товары и услуги либо отслеживают их поведение в Интернете (поведенческое стереотипирование). Несложно представить ширину диапазона случаев, в которых ОРЗД будет иметь ключевое значение для украинской отрасли ИТ и традиционных сфер бизнеса. В Украине сегмент ИТ представлен не только компаниями, поставляющими продукцию, но также довольно крупным сектором внешнеподрядной деятельности, который обычно ориентирован на иностранную клиентуру, в том числе на европейские компании и глобальные проекты, адресная аудитория которых находится в Европе. Такая деятельность может заключаться в предоставлении пользователям в ЕС услуг в соответствии с моделью облачных услуг ПО (SaaS), а также облачных услуг инфраструктуры продукции ИТ, если среди их конечных потребителей присутствуют граждане стран ЕС.

Сюда можно также отнести любую бизнес-аналитику, предметом которой является поведенческое стереотипирование граждан стран ЕС. Разнообразными могут быть также препятствия для предприятий традиционных форм бизнеса: начиная от простой миграции на облачную платформу, вплоть до задач обработки данных в крупной транснациональной компании, которая имеет украинский филиал. Зная популярность облачных решений, нетрудно допустить возможность хранения персональных данных на облачном ресурсе европейского провайдера с их размещением на серверах в ЕС. Хранение даже резервных копий данных на серверах в ЕС уже налагает обязательства как на провайдера, выполняющего обработку данных, так и на владельца и распорядителя данных. Согласно философии ОРЗД, первый является обработчиком данных, а второй – распорядителем данных (согласно терминологии украинского законодательства – распорядителем и владельцем персональных данных соответственно).

Можно обратить внимание на потенциально большое разнообразие ситуаций, в которых у украинских предприятий может возникнуть необходимость в выполнении требований ОРЗД. Количество задач, с которыми предприятию предстоит справляться будет зависеть от канала доступа. Это, в свою очередь, определяет степень необходимости участия юриста в решении вопросов соответствия требованиям ОРЗД, а также требованиям, которые будут предъявляться к нему со стороны клиента. Важно иметь в виду, что мероприятия, кажущиеся понятными и обыденными с технологической точки зрения или с точки зрения бизнес-процессов, могут требовать коррекции, обусловленной нормами законодательства. Например, простое перемещение данных на облачный ресурс с юридической точки зрения может рассматриваться как обмен персональными данными с третьими лицами. В этом случае требуется четкое изложение Условий использования и заключение с поставщиком услуги договора обработки данных.

ОРЗД значительно расширяет перечень не только обязанностей компаний, но и прав пользователей, которые должны неукоснительно соблюдаться. Начиная с мая 2018 года, на первый взгляд незначительный проступок может стоить компании 4% ее оборота в качестве штрафных санкций. Что признается персональными данными в ОРЗД? Таковыми являются любые данные, которые идентифицируют пользователя, или по которым пользователь может быть опознан. По мере совершенствования технологий и роста объемов накопленных данных ситуация со второй частью определения термина будет все более усложняться. Заголовки различных публикаций, посвященных вопросам неприкосновенности частной жизни, пестреют заявлениями об окончании эры анонимности в Интернете. Кроме того, имеется множество примеров сравнения простоты идентификации людей посредством открытых источников информации и анонимизированных.

Так будут ли некие данные признаны персональными, часто будет зависеть от ситуации.  По причине сложности задач на начальном этапе некоторые компании по собственной инициативе решают признавать статус персональных за теми или иными данными, обеспечивая им более высокую степень защиты. В новом нормативно-правовом акте содержится довольно много новаций, а его основным преимуществом является обеспечение этих нововведений механизмами их внедрения. Перечень прав, гарантированных пользователям положениями ОРЗД, включает право доступа к персональным данным, право на забвение, т.е. право на удаление данных, с которым мы уже знакомы, а также право ограничения/возражения против их обработки. Также довольно любопытным является новое право пользователя на переносимость данных.

Законодатели предоставили пользователям возможность изъятия данных у их нынешнего распорядителя и передачи их другому распорядителю для целей хранения. Следует иметь в виду, что, например, в случае внедрения новой технологии автоматизированной обработки данных, наличия большого объема данных специальных категорий или мероприятий по слежению за местами общественного пользования требуется проведение анализа их влияния на степень защищенности данных. В определенных ситуациях защищенность данных и законность их обработки призван обеспечивать специально уполномоченный Ответственный за защиту данных служащий. С увеличением числа кибератак большую важность приобретает информирование Ведомства по защите данных и пользователей о факте нарушения защиты в течение 72 часов в случаях уязвимости персональных данных.

Какие навыки и знания необходимы юристу в сфере ИТ?

Как и в случае юридической поддержки традиционного бизнеса отрасли ИТ важно быть хорошо осведомленным о процессах в компании и разбираться в основных технических вопросах обращения с данными. Можно сказать, что простого знания законодательства определенно недостаточно. Однако зачастую сам текст закона отсылает нас к технической терминологии. Поэтому даже на данном этапе юристу необходимо расширять собственный кругозор. Понимание маршрутов движения данных внутри компании и так называемой карты данных является надежным фундаментом. Юрист должен принимать активное участие в процессе разработки новой продукции ИТ и наращивании инфраструктуры информационной безопасности, а также в анализе влияния новых решений на степень защищенности персональных данных при их обработке. Другой аспект работы заключается в содействии мероприятиям по устранению последствий нарушений защиты и утечки данных.

Учитывая динамику, связанную с обработкой данных, и необходимость мониторинга их статуса, юристам отделов по устранению злоупотреблений предстоит иметь дело с колоссальным наплывом обращений от пользователей, которые попытаются максимально реализовать предоставленные им права. Само собой разумеется, что разработка принципов внутриорганизационной политики и политики, адресованной третьим лицам, продолжится, как и оформление новых и анализ существующих договоров, регламентирующих обязанности по защите данных, информированию и ответственность за связанные с этим нарушения. Осознавая факт ужесточения требований к обработке персональных данных и вступления в силу ОРЗД, наша компания мобилизует свои ресурсы в этой сфере. Выполняя функцию юристов по вопросам технологий, мы пошли дальше простого предоставления ответов на обращения клиентов. Мы стремимся выявить проблему, предлагаем ее решение, предоставляем команду специалистов для его реализации и осуществляет контроль за процессом реализации. В то же время, принимая во внимание сложность и нетривиальность задач соответствия требованиям ОРЗД, очевидно, что результатом близорукого взгляда на проблему может стать наложение ряда штрафных санкций, способных поставить под угрозу само существование бизнеса.

Сложность здесь заключается на столько в сочетании методов работы юридической фирмы, сколько в предоставлении услуг на стыке юриспруденции, технологий и иных сфер знаний. В этой сфере мы работаем как с коммерческими предприятиями отрасли ИТ, которые предъявляют более жесткие требования к поставщикам услуг кибербезопасности, так и с компаниями традиционных отраслей, которые планируют внедрение новых технологий и нуждаются в юридической экспертизе в ходе испытаний надежности системы защиты, миграции на облачные платформы, внедрении решений модели SaaS и других связанных с ними мероприятий. Представителям украинских компаний, которые еще испытывают сомнения по поводу того, повлияет ли ОРЗД на их работу, полезно было бы обратить внимание на выгоды, которые дает готовность к столкновению с этими новыми правилами. Высокая степень защищенности данных может стать преимуществом перед конкурентами, прибавкой к ценности продукции и плюсом к репутации в глазах клиента. Более того, учитывая курс Украины на евроинтеграцию и попытки внедрения европейских стандартов качества, есть высокая вероятность того, что рано или поздно Украина возьмет на вооружение и опыт защиты персональных данных, которым располагают ее европейские соседи.

JUSCUTUM. Украинская юридическая фирма Juscutum была основана в 2008 г. Мы применяем наиболее современные юридические методы, направленные на достижение результатов, обеспечение эффективности и качества, чему содействуют применение ультрасовременных технологий и передовых принципов управления. Мы не просто стремимся предоставлять своим клиентам юридическую консультацию, мы делаем все возможное для поиска индивидуальных решений в каждом конкретном случае. Поэтому, наряду со стандартными юридическими услугами наша компания предлагает то, чего не найти у других: урегулирование конфликтов, консультации по вопросам защиты бизнеса, по вопросам оптимизации налогового бремени и эффективности хозяйственной деятельности, а также по вопросам технологий, информационных средств и телекоммуникаций, криптовалют и блокчейна. Juscutum производит собственную юридическую продукцию — разработанные компанией технические решения и готовую продукцию — чего другие консалтинговые компании ныне почти не делают.

Ukrainian Law Firm