25 мая с.г вступил в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR), который унифицирует оборот персональных данных в ЕС. Особенностью этого акта является его экстерриториальное действие. О влиянии GDPR на украинский бизнес, тенденциях в сфере комплаенса, алгоритмах проведения комплаенс-проверки и опыте внедрения политик в сфере защиты персональных данных «Юридической практике» рассказали Ольга Лукьянова, руководитель юридического отдела, офицер по соблюдению корпоративных стандартов группы компаний «Хенкель в Украине», и Иванна Олещенко, юрисконсульт группы компаний «Хенкель в Украине».
— Сейчас, когда комплаенс стал по сути must have для бизнеса, соответствующие функции чаще выделяются в отдельное направление или по-прежнему интегрированы с юридической службой?
Ольга Лукьянова (О.Л.): По-прежнему возможны оба варианта. Все зависит от потребностей конкретной компании. Если есть необходимость глубокого анализа внутренних процессов и разработки политик или сам бизнес относится к рисковой зоне, есть смысл назначать отдельных комплаенс-офицеров, которые не будут отвлекаться на выполнение других задач. Для более устоявшегося бизнеса, где все политики разработаны и действуют, поддержание функции комплаенса зачастую поручается юристам. Именно такая модель принята в нашей компании. Еще на этапе становления комплаенс-функции она была поручена юрслужбам, и, как правило, все руководители юрдепартаментов в отдельных государствах стали комплаенс-офицерами.
— Если говорить об Украине, то какие вопросы формируют у нас повестку дня комплаенс-офицера?
О.Л.: Это могут быть совершенно разные вопросы, начиная от трудовых взаимоотношений до взаимодействия с госорганами. Это любой вопрос, который может привести к репутационным или финансовым потерям для бизнеса.
— Появляются ли новые зоны риска?
О.Л.: Да. Так, одной из новых тем в комплаенсе является приведение бизнеса в соответствие с требованиями GDPR (Регламент). На стадии разработки соответствующих политик этим занимались юристы во взаимодействии с HR и бизнес-подразделениями. Контролировать оборот персональных данных в компании — это не совсем юридическая функция.
— Насколько требования GDPR применимы к Украине, украинским компаниям, украинским подразделениям глобальных корпораций?
Иванна Олещенко (И.О.): Требования Регламента применяются к украинским компаниям в тех случаях, когда украинская компания осуществляет обработку персональных данных физического лица, пребывающего на территории Европейского Союза. Это может быть как гражданин ЕС, так и гражданин другого государства. Но если его персональные данные переданы в Украину из ЕС и каким-либо образом здесь обрабатываются, права такого лица защищены положениями GDPR. Это, например, могут быть лица, которые от имени иностранных компаний подписывают с нами договоры, или лица, которые посещают наши украинские сайты, находясь на территории ЕС. Во всех этих случаях мы должны соблюдать их права, как это прописано в GDPR.
Отдельный вопрос касается бенифициарных собственников — по закону информация о конечных бенефициарных собственниках должна вноситься в соответствующий Единый госреестр. У таких глобальных международных компаний, как наша, бенефициарами в основном выступают иностранцы, в нашем случае — граждане ЕС, проживающие там. Их персональные данные, внесенные в реестр, также попадают под защиту GDPR. Или возьмем, к примеру, доверенности, которые руководство центрального офиса фирмы выдает на совершение определенных действий в Украине. В них тоже содержатся персональные данные.
О.Л.: Экстерриториальный характер GDPR вскрыл многие неочевидные ситуации, на которые распространяется его действие. Даже если отойти от того, что «Хенкель Украина» — представительство европейской корпорации, все мы достаточно активно «мигрируем», и эта «миграция», в первую очередь в интернете, как раз и касается обработки персональных данных. Поэтому нужно быть готовым к тому, что и к нам могут быть применены штрафные санкции за неисполнение требований GDPR.
— Какая именно ответственность предусмотрена за нарушения?
И.О.: Регламентом предусмотрена возможность применения к компании штрафных санкций в размере до 4 % от ее мирового оборота за предыдущий финансовый год. Причем если в стране не предусмотрен специальный орган, который обеспечивает проверку соблюдения требований GDPR, как в Украине, то соответствующая служба придет в штаб-квартиру.
— Что собой представляет комплаенс-аудит в сфере data protection?
О.Л.: У нас уже был один такой аудит. Не скажу, где именно, — это коммерческая тайна. Он показал достаточно высокую готовность компании к исполнению данного Регламента. Но следует помнить, что в каждой стране помимо GDPR есть свое локальное законодательство (самой «продвинутой» оказалась Болгария), и его требования могут в некоторых нюансах отличаться.
В ходе комплаенс-аудита проверяется, как данные обрабатываются, как они хранятся, как уничтожаются, кто имеет к ним доступ, как исполняется запрос лица в отношении его персональных данных. Возьмем обычный пример — подачу резюме при трудоустройстве. Мы отправляем свои персональные данные, чтобы получить работу. И это резюме какое-то время находится в компании и обрабатывается, при этом там указана очень сенситивная информация, которая может быть использована по-разному. Следовательно, соискатель имеет право знать, как соответствующие данные будут обрабатываться, сколько времени будут храниться и что с ними произойдет, если его пригласят на работу или, наоборот, откажут.
И.О.: В компании должна быть политика, регулирующая процедуры, согласно которым происходит получение, обработка и уничтожение персональных данных. Кроме того, в каждой компании должна быть база данных всех систем, где хранятся персональные данные. Должно быть указано, с какой целью собираются данные, как долго они будут храниться и т.д. Все должно быть направлено на то, чтобы лишняя информация своевременно удалялась, чтобы никто со стороны не имел возможности ею воспользоваться.
О.Л.: У Иванны в этом году была командировка в Европу, и она имела возможность наблюдать, как происходила финальная подготовка к внедрению GDPR. Там был действительно огромный объем информации, которую необходимо было привести в порядок. Это в том числе позволило структурировать процессы использования информации в компании. В целом к дедлайну компания подошла достаточно подготовленной.
— Политики, о которых вы говорите, универсальны для всех юрисдикций или есть национальные отличия, особенно в странах, не входящих в ЕС?
О.Л.: Первая волна касалась государств — членов ЕС. Украина находится во второй волне стран, которые наиболее часто пересекаются с Европой. Ожидаем, что вскоре будет выработан общий подход. Глобальные политики есть, а локальные как раз должны учитывать требования местного законодательства. Несмотря на то что Европа едина, специфика в отношении стран сохраняется.
— На что следует обращать внимание при внедрении политик, касающихся data protection?
О.Л.: Проблемы могут возникнуть там, где их меньше всего ждешь. Даже если компания не работает с европейскими контрагентами, на ее сайт могут заходить пользователи из ЕС — это по сути презюмируется, если сайт мультиязычный. Соответственно уже в момент входа на сайт пользователя следует предупредить о том, что будет происходить с его персональными данными. И это актуально для всех, нельзя сказать, что в этом аспекте GDPR на кого-то не распространяется. Также нужно обращать внимание на суть подписываемых договоров, ведь возможны ситуации, когда с европейцами работают ваши подрядчики, — и это зона потенциальных рисков. Если бизнес нацелен на экспансию, проверка на соответствие GDPR должна происходить по всем направлениям.
Мы живем в глобальном мире, и он становится все теснее. Появляется все больше экстерриториального законодательства — GDPR, FCPA, UK Bribery Act, и рано или поздно это окажет влияние на национальное законодательство.
— Насколько профильное украинское законодательство корреспондируется с GDPR?
И.О.: У нас есть Закон Украины «О защите персональных данных», который уже достаточно устарел. По сравнению с Регламентом он очень краток и очень обобщен. Основные положения и определения похожи. Основным отличием я бы назвала то, что Регламент устанавливает четкие процедуры, по которым информация может получаться, как она может обрабатываться, как она должна храниться и удаляться. Такая детализированная схема работы украинским законом не предусмотрена. Да и ответственность установлена очень общая — «в соответствии с законодательством Украины». У нас есть определенные нормы в Уголовном кодексе Украины и Кодексе Украины об административных правонарушениях, но они касаются в основном распространения конфиденциальной информации. Все остальное — админответственность с санкциями, несопоставимыми с европейскими. Евросоюз постарался максимально защитить права физических лиц.
О.Л.: На самом деле глобального нового ничего не нужно, в Украине было бы достаточно внести изменения в существующий закон, установить ответственность и предусмотреть механизмы реализации законодательных предписаний.
(Беседовал Алексей НАСАДЮК,
«Юридическая практика»)
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…