28.18 32.32
Онлайн-интервью с Вадимом Поляковым, инвестгруппа BPT Group - Фото
Завершено
Інтерв'ю

24.

05

Онлайн-интервью с Вадимом Поляковым, инвестгруппа BPT Group

25 мая вступает в силу новый регламент Евросоюза, посвященный обработке персональных данных граждан ЕС. Новая регуляция примечательна тем, что ее нормы касаются абсолютно всех компаний, которые так или иначе имеют дело с ПД жителей стран Европы. Изменения заденут и украинский бизнес, работающий в ЕС.

Особенности новых правил обсуждаем с соучредителем BPT Group Вадимом Поляковым.

- Вадим, расскажите о новом регламенте: что в нем революционного?

- Действительно, новый регламент наделал много шуму. Его приняли еще в 2016 году и это первый документ в ЕС, связанный с персональными данными, который имеет экстерриториальное действие. Регламент распространяется не только на компании, непосредственно работающие в Евросоюзе, а и на всех, кто как-либо связан с обработкой ПД граждан ЕС. То есть даже в том случае, если компания сама не обрабатывает данные, а просто имеет процессинговый центр на территории Евросоюза, на нее тоже распространяется действие регламента.

- Какой практический вывод из этого нужно сделать нашему бизнесу?

- В первую очередь нужно уяснить, что регламент предусматривает очень большие штрафы: при мелких нарушениях 2% от годового оборота или 10 млн евро, при крупных соответственно 4% и 20 млн евро. Причем в качестве штрафа учитывается сумма, которая имеет большее значение.

Поэтому выхода нет: нужно уже сейчас менять подходы к работе с ПД, инвестировать в это. Хотя и по-хорошему, сделать это следовало еще два года назад, когда регламент был принят.

- Что имеется в виду под «работой с персональными данными»?

- В регламенте не указаны какие-то конкретные виды бизнеса. Речь идет о принципах, которые касаются абсолютно всех. Действие регламента начинается ровно в момент, когда компания получает ПД человека – например, во время регистрации на веб-сайте. Но ведь необязательно сбор ПД может происходить через интернет. Например, если мы подаем бумажные анкеты в госорганы, он тоже подпадает под новые правила.

- Какого рода бизнес больше других ощутит на себе влияние изменений? В первую очередь на ум приходят торговцы, которые работают на рынок ЕС. Кто еще?

- Да, это интернет-магазины различного рода, компании, интернет-компании, авиакомпании, телекомуникационщики. Если говорить о критериях, то это либо использование европейской валюты, языка стран ЕС (например, когда сайт компании работает в режиме нескольких языков), либо, если домен веб-сайта компании перенаправляет пользователя в зону eu. Эти вещи считаются признаками того, что бизнес ориентирован на страны Евросоюза.

- В чем заключается принципиальное новшество регламента? Работа с ПД в Евросоюзе раньше регулировалась документом еще от 1995 года. Что сейчас изменится в сравнении со старыми правилами?

- Я бы не сказал, что в регламенте можно найти что-то новое. Он принципиально отличается способом регулирования. ЕС обоснованно считает, что ПД физлиц – это данные, которые подлежат защите правом Европейского союза, потому что они подпадают под сферу личных интересов.

- Почему именно сейчас? Вряд ли это можно объяснить одним лишь технологическим прогрессом.

- Почему вряд ли? За последние два десятка лет интернет-технологии и объем обработки данных возросли многократно. Вместе с тем выросло и влияние того, как именно используются ПД на жизнь отдельно взятого человека. И вполне логично, что законодатель в ЕС начал двигаться именно в эту сторону: ничего нового в этом нет, но ничего не предпринимать тоже было бы неправильно.

- Говорят, что процесс разработки регламента сопровождался многочисленными дискуссиями. В чем они заключались? К какому консенсусу это в итоге привело?

- Дискуссии по этому поводу продолжаются до сих пор. Дело в том, что на компании-обработчики ПД ложится очень большая нагрузка и огромное количество обязанностей. Например, есть такое понятие, как DPO – инспектор по обработке данных, услугами которых должны пользоваться компании, работающие в ЕС с информацией клиентов, потому что регламент обязывает иметь представительство в странах Евросоюза для более оперативной коммуникации с регулятором. Все это достаточно дорогостоящие вещи, что в свою очередь влияет и на стоимость услуг. Один из аргументов «против» как раз в этом и заключался: стоит ли идти на повышение цен ради безопасности ПД. В итоге пришли к выводу, что стоит.

- Можно ли спрогнозировать первые последствия от вступления регламента в силу?

- Это довольно сложно. Мы пока не видим правоприменительной практики, регламент несмотря на свою объемность не всегда четко описывает или трактует ту или иную норму. Посмотрим, как это будет работать.

- Регламент приняли два года назад, в Украине его начали активно обсуждать, по меньшей мере, в начале этого года, если не еще раньше. Вы видели, что наш бизнес как-то активно готовится к внедрению новых правил?  

- Это проблема нашего бизнеса. Мы были одними из первых, кто начал разъяснять проблематику регламента, но, к сожалению, интерес не был массовым. Отчасти я могу объяснить это законодательной коллизией: наши законы с европейским регламентом вообще никак не состыкованы. У нас ничего не было сделано за эти два года. Я специально проверил сайт уполномоченного ВР по правам человека. Ни одного упоминания о регламенте, как будто его не существует. Молчит Кабмин, делает вид, что ничего не происходит НБУ.

А на практике получается, что наши компании с одной стороны должны выполнять украинское законодательство, но с другой – на них тоже распространяется регламент ЕС. И здесь возникает вопрос: что приоритетнее? Регламент не является частью национального законодательства, но он имеет экстерриториальное действие. Как будет реагировать Евросоюз, если украинские госорганы, которые тоже могут иметь дело с ПД граждан ЕС, не выполнят требований регламента? Никаких разъяснений, не говоря уже о попытках как-то улучшить наше законодательство, нет и в помине.

- Чем у нас регулируется обработка ПД?

- Законом №2297, принятом в 2010 году. 30 статей – 4 страницы текста. Сравним с объемами регламента GDPR: 90 статей на 180 страницах. Сами масштабы регулирования несопоставимы. Если обратиться к практике, то коллизия возникает уже на уровне банков: они открывают счета, идентифицируют их владельцев, собирают и хранят данные не только бенефициаров, но и контрагентов. А если этот человек, как того предусматривает регламент, потребует удалить эти данные? Что тогда делать нашему банку? Никто объяснить не потрудился.

- Выглядит так, что все – и компании, и госорганы – не будут ничего предпринимать, пока не появятся практические прецеденты со штрафами.  Но поможет ли это? Что должно произойти, чтобы наш бизнес и чиновники на ментальном уровне изменили свое восприятие этой темы?

- Нельзя сказать, что вообще никто не меняется. Движение есть, хоть и слабое. Основная масса ждет правоприменительной практики, это правда. Некоторые ориентируются на то, чтобы только формально выполнить требования регламента.

- Возможно, европейский регламент стимулирует и нашего законодателя внедрять изменения?

- Я считаю, что мы будем неправы, если начнем уповать на расторопность чиновников. Конечно, хотелось бы, чтобы они действовали на опережение, но природа права такова, что правоотношения сначала возникают в принципе, а уже потом появляется их регулирование. Но ответственность за работу твоего бизнеса лежат не на чиновниках, а на бизнесменах. Ждать пока нам в Украине создадут условия мы не можем. Нужно самим проявлять инициативу.

- Одно из требований регламента – наличие представителя в странах ЕС. Что это означает? Звучит, как очень серьезная проблема для всех неевропейских компаний.

- Ее можно решить с помощью DPO – такая лицензия, например, есть у нашей компании, то есть мы можем выполнять функции представителя. Но вопрос же надо ставить шире: насколько наш бизнес готов быть гибким, следить за ситуацией и адаптироваться к изменениям. Речь же не идет о каких-то корректировках IT-систем. Это фундаментальные изменения в самом подходе. Готов ли бизнес принять, что каждый раз нужно спрашивать у клиента разрешение на обработку и хранение его ПД. Строго следить за их нераспространением (у нас же нормально, что на ваш телефон приходят сотни смс от служб такси и фитнес-центров). Дать возможность клиенту отозвать свои данные. У нас пока этого нет.

- Но, если вернуться к практической плоскости – для чего нужен представитель компании в ЕС?

- Регламент требует сообщать еврокомиссарам о любых инцидентах с ПД в течение 72 часов. Это довольно малый промежуток времени, поэтому для более эффективной коммуникации с госорганами и клиентами компании лучше иметь в каждой стране своего представителя.

- Выходит, нужна широкая сеть, чтобы реагировать на жалобы из многих стран?

- Можно базироваться в одной стране, но важно же реагировать на жалобы клиентов, а для этого нужны люди, нужна инфраструктура. Потому что, как минимум, не все граждане ЕС разговаривают на английском.

- У вас много клиентов, которые пользуются услугой представителя?

- Нет, к сожалению, пока массового интереса к этому опять же нет. Это десятки компаний.

- Европейские компании более дисциплинированно подошли к этому вопросу?

- Конечно. Но и у них подготовились далеко не все. Крупные компании – да. Малый бизнес – скорее нет.

- Вы не считаете штрафы, установленные регламентом слишком жесткими? Есть ли другие – неденежные – стимулы?

- Как по мне, денежный стимул – самый эффективный. При вопиющих случаях могут заблокировать деятельность компании на территории конкретных стран. Кстати, я знаю случаи крупных интернет-компаний, которые не успели подготовиться и стали договариваться с регуляторами ЕС с целью получить отсрочку, потому что это действительно большой кусок работы.

- В чем, собственно, эта работа заключается?

- Для начала нужно понять, подпадает ли твой бизнес под действие регламента. Мы, например, помогаем проводить такую диагностику: анализируем процессы, юридические документы, внутренние регламенты, систему безопасности в контексте хранения ПД. Дальше – техзадание, в рамках которого устраняются недостатки. Обучить сотрудников, разработать внутренние документы и проч. Весь процесс по времени занимает около двух месяцев.

- Как вы считаете, история с утечкой данных из Facebook может повлиять на то, что правила ЕС в ближайшее время еще больше ужесточатся?

- Это несомненно влияет на жизнь людей, а в некоторых случаях несет прямую угрозу их безопасности. Пока это единичные случаи. Но если в дальнейшем подобные истории будут повторяться, я не сомневаюсь – ужесточение будет.

Онлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT GroupОнлайн-интервью с Вадимом Поляковым, инвестгруппа BPT Group
Фото: Архив Пресс-центра Liga
Роздрукувати:
Надіслати:
Всі заходи Всі заходи
Замовити захід