Убеждать иностранных клиентов в открытии своих Research &  Development-центров и исследовательских лабораторий на территории Украины, в размещении заказов на разработку программного обеспечения, новых технологий или обработку данных нелегко. После сравнения всех факторов — стоимости, местонахождения и возможностей персонала — на повестку дня выходит один из основных вопросов — безопасность данных и новых технологий в нашей стране.

Вопрос безопасности данных, и в частности персональных, постепенно переходит из категории коммерческих вопросов в категорию правовых требований, выполнение которых будет контролироваться и осуществляться государственными органами, в том числе контролирующими органами стран — членов ЕС.

В частности, 25 мая 2018 года вступает в силу Общий регламент ЕС о защите данных (General Data Protection Regulation — GDPR), ужесточающий требования относительно безопасности сбора и обработки персональных данных на территории ЕС.

Кроме того, GDPR также устанавливает повышенные требования к любым трансферам персональных данных из стран ЕС в страны третьего мира, к которым относится и Украина. Таким образом, под регулирование GDPR попадут практически любые трансферы персональных данных от европейских компаний к представителям украинской IT-индустрии.

Конечно, проблемы отдельного клиента — это вовсе не проблемы всей украинской IT-индустрии, но давайте посмотрим, как новое регулирование может отразиться на этой сфере.

 

Два уровня

GDPR делит все страны на два типа: страны, предоставляющие адекватный уровень защиты персональных данных, и страны, не обеспечивающие его.

Адекватный уровень защиты персональных данных по умолчанию предоставляют все государства — члены ЕС, а также страны, которые определены Европейской комиссией как обеспечивающие адекватный режим защиты данных. В их числе — Андорра, Аргентина, Канада (коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, Джерси, Новая Зеландия, Швейцария и Уругвай. Адекватность режима защиты персональных данных в США определяется на основании отдельного соглашения EU-US Privacy Shield.

В статье 45 GDPR указано, что персональные данные могут передаваться в страны, предоставляющие адекватный уровень защиты персональных данных, без всяких дополнительных разрешений и согласований с контролирующими органами.

На практике это означает, что передача персональных данных в любую страну, не обеспечивающую необходимого уровня защиты, в большинстве случаев вызовет дополнительные вопросы у регулятора. А при повышенных GDPR штрафах от 10 до 20 млн евро за нарушения, связанные со сбором, обработкой и трансфером персональных данных, многие европейские компании задумаются, стоит ли лишний раз рисковать.

Кроме того, статья 13 GDPR требует от компаний, осуществляющих сбор персональных данных на территории ЕС, или сервисов, доступных для граждан ЕС, уведомлять о передаче персональных данных в страны, не входящие в ЕС, и о наличии или отсутствии у таких стран адекватного уровня защиты персональных данных.

Таким образом, для соответствия этим требованиям европейским компаниям, как и украинским, которые разрабатывают IT-продукты и работают на рынке ЕС, необходимо обновить свои политики защиты персональных данных и включить туда следующую формулировку: «Ваши персональные данные будут переданы для обработки на территорию Украины, страны, которая не имеет адекватного уровня защиты персональных данных». Можно представить, что такая строка в политике защиты персональных данных окажется далеко не самой популярной как у потребителей, так и у отдела маркетинга.

 

Получение статуса адекватного уровня защиты

GDPR предоставляет возможность получить статус, свидетельствующий об адекватном уровне защиты персональных данных, не только для государства в целом, но и для отдельной территории или сектора индустрии.

Поэтому IT-индустрия Украины вполне может последовать примеру высокотехнологических стран, таких как Швейцария, Канада или Израиль, и стать пионером в процессе интеграции в Европейский Союз с целью получения указанного выше статуса.

В GDPR отмечается, что при оценке адекватности уровня защиты данных Европейская комиссия будет оценивать следующие факторы:

а) верховенство права, уважение прав человека и основных свобод, соответствующее законодательство, как общее, так и отраслевое, в том числе в отношении общественной безопасности, обороны, национальной безопасности, уголовного права и доступа государственных органов к персональным данным, а также применение законов, правил защиты данных, профессиональных правил и мер безопасности (включая правила последующей передачи персональных данных в другую третью страну), которые соблюдаются в этой стране, судебные прецеденты, а также эффективную защиту, реализацию прав субъекта данных и эффективное административное и судебное возмещение ущерба для субъектов, чьи данные передаются;

b) наличие и эффективное функционирование в стране одного или нескольких независимых контролирующих органов, которые несут ответственность за обеспечение и соблюдение правил защиты данных (включая надлежащие правоприменительные полномочия), для оказания помощи, консультирования субъектов данных при реализации ими своих прав и сотрудничества с надзорными органами государств — членов ЕС;

c) международные обязательства, которые взяла на себя страна, или другие обязательства, предусмотренные юридически обязательными конвенциями или документами, а также обязательства, возникающие в результате участия страны в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.

После предоставления государству статуса страны, обеспечивающей адекватный уровень защиты персональных данных, Европейская комиссия будет внимательно следить за состоянием защиты прав субъектов персональных данных в этой стране и периодически пересматривать предоставленный статус.

Конечно, переговоры с Европейской комиссией и украинским правительством с целью повышения уровня защиты персональных данных в нашем государстве и получения статуса адекватного уровня защиты данных — дело достаточно сложное и затратное.

Но статья 44 GDPR указывает, что основным условием для законности передачи персональных данных в третьи страны является обеспечение защиты этих сведений на таком же уровне, который предусмотрен в GDPR. Так что в той или иной степени украинская IT-индустрия никуда не денется от требований относительно защиты персональных данных и будет вынуждена их обеспечивать.

В качестве альтернативы статуса адекватного уровня защиты персональных данных статья 45 GDPR предлагает контролерам и процессорам (обработчикам) персональных данных, которые передают эти сведения в третьи страны (такие, как Украина), использование инструментов, не требующих предварительного согласования с контролирующими органами, в их числе:

— обязательные корпоративные правила (BCR);

— стандартные положения о защите данных, принятые Комиссией;

— стандартные положения о защите данных, принятые контролирующим органом и одобренные Комиссией;

— утвержденный кодекс поведения с обязательными и подлежащими исполнению обязательствами контролера или процессора в третьей стране для применения соответствующих гарантий, в том числе в отношении прав субъектов данных;

— утвержденный механизм сертификации с обязательными и подлежащими исполнению требованиями к контролеру или процессору в третьей стране для применения соответствующих гарантий, касающихся и прав субъектов данных.

Кроме того, после согласования с контролирующими органами передача данных в страны третьего мира может осуществляться на основании отдельных утвержденных регулятором договорных положений, включенных в соглашения между контролерами и процессорами.

Но необходимо отметить, что в случае, предусмотренном статьей 46 GDPR, основные затраты, связанные с выбором инструмента и обеспечением защиты персональных данных, лежат на европейской компании/заказчике, тем самым повышаются риски украинских компаний и условная стоимость их продуктов или услуг. Кроме того, при получении заказа украинские компании все равно должны будут взять на себя договорные и организационно-правовые обязательства по защите персональных данных для работы с такими клиентами.

 

Заключение

Таким образом, каким фантастическим ни казался бы вариант с получением государством Украина или сектором IT-индустрии Украины статуса адекватного уровня защиты персональных данных, именно этот вариант смог бы решить вопрос защиты персональных данных и соответствия требованиям GDPR, а также упростить доступ клиентов к украинскому рынку, снять дополнительные барьеры в виде ограничений передачи данных странам с низким уровнем защиты данных, равномерно распределить расходы на обеспечение надлежащего уровня защиты персональных данных между государством и бизнесом и создать конкурентные преимущества по сравнению с аутсорсинговыми странами/индустриями, которые такого статуса не имеют.

 

СТОЛЯРЕНКО Алексей — старший юрист IT/IP МЮФ Baker McKenzie, г. Киев