Соціально відповідальний бізнес: захист персональних даних клієнтів

24 жовтня 2019р. в інноваційному парку UNIT.City в Києві відбувся перший в історії України GDPR Day Kyiv – 2019, на якому 100+ експертів з 6 країн та 40+ організацій обмінялися практичним досвідом імплементації вимог GDPR у бізнес-процеси своїх компаній для уникнення штрафів та запобіганню витоку персональних даних своїх клієнтів.

Чому ця тема стала актуальною  для бізнесу в 2019 році?

General Data Prorection Regulation (GDPR)  був введений в дію 25 травня 2018р. з метою захисту персональних даних громадян в епоху діджиталізації, PSD2, Big Data  та відкритих API. За перший рік дії регламенту уповноважені органи країн ЄС призначили штрафи організаціям та компаніям за невідповідність вимогам регламенту на 56 млн.євро. А вже за 5 місяців 2-го року дії регламенту уповноваженими органами країн ЄС було були призначені штрафи вже на суму понад 300 млн.євро.  Штрафи накладалися як за результатами розслідувань, пов’язаних з витоком персональних даних, так і на підставі звернень громадян ЄС про непрозору процедуру обробки персональних даних.

Ініціаторами та організаторами GDPR Day Kyiv стали Українська міжбанківська Асоціація членів платіжних систем  та Data Privacy Office (Білорусь). Інформаційним партнером виступила компанія moneveo.

Захід розпочала незаангажована  доповідь незалежного аудитора систем інформаційної безпеки Андрія Перевезія, ідеолога суспільної ініціативи #паравозикоблачко щодо відомих витоків персональних даних з баз українських організацій в 2018-2019 роках.  «Формальна відповідність вимогам ЗУ «Про захист персональних даних» і фактичний захист цих даних – це зовсім не одне й те саме»,- наголосив експерт.

Цей висновок підтвердила і експерт з інформаційної безпеки та захисту ПД ПОСТ ФІНАНС Ірина Козлова, порівнявши в своїй презентації  вимоги та норми  ЗУ «Про захист персональних даних» та Європейського Регламенту по захисту персональних даних.

Тетяна Слабко, юрист міжнародної компанії Artzinger розповіла учасникам про реакцію бізнесу в Україні на введення в дію регламенту та детально пояснила, яким компаніям доцільно замислитись над впровадженням вимог регламенту  в обробки персональних даних для мінімізації ризиків штрафів. 

“У країнах СНД, де дотриманням законів про персональні дані займалися в основному юристи, а роботи часто обмежувалися документацією, GDPR застав бізнес зненацька. Регламент вимагає включення в процес впровадження ряду співробітників з різних відділів компанії”, – вважає  директор  Data Privacy Office (Білорусь)  Сергій Воронкевич  і саме про те, як зібрати “dream team” для імплементації GDPR розповів у своїй презентації.

СЕО moneyveo Альоні Андроніковій таку команду вже вдалося зібрати, залучивши до роботі в  команді і юоистів, і безпеку і ІT:                 “Як тільки загальний регламент про захист даних (GDPR) вступив в силу, ми в moneyveo визначили ключові його вимоги. Ми виділили 26 рекомендацій, які застосовні для нашого сегмента. Протягом року ми вже імплементували близько 10-ти з них, решта в процесі впровадження”, – коментує вона. Цікаво, що безпосередньо на обробки персональних даних в цій українській компанії, яка працює виключно з українськими клієнтами,  вимоги GDPR  не розповсюджуються , і рушійною силою у їх впровадженні став не острах отримати штраф, а виключно соціальна відповідальність компанії  перед клієнтами, які довірили їй свої персональні данні.   

Для найбільшої латвійської телекомунікаційної компанії tet відповідність вимогам GDPR  є обов’язковою.  На їх  імплементацію компанія витратила 2 роки   і близько 70 тис.Євро, що на думку Дайніса Шпеля, юриста, компанії є значно меншим від штрафів, які отримали компанії, що невідповідали вимогам. В своїй презентації «Перший рік з GDPR: вартість (не)відповідності)» він звернув увагу учасників на те, що  Регламент розповсюджується не лише на обробку персональних даних клієнтів компаній, а й  на обробку персональних даних співробітників організацій, і компанії із штатом більше 250 осіб мають вести регістр обробки персональних даних  своїх співробітників.

Ірина Терендяк, Альфа-Банк Білорусь,  представила практичний досвід впровадження вимог GDPR в банківській установі,  а  Jason Cronk   на прикладі  розробки   мобільного сервісу в  медицинській галузі продемонстрував застосування підходу Privacy By Design.

Олександра Гладишевська, Insart,  розповіла учасникам  про реакцію страхового  бізнесу  в Україні та світі на впровадження регламенту,  Ігор Легкодимов,  Kyte – про  досвід впровадження вимог IT-компаніями, а Ольга Завальнюк поділилась своїм досвідом написання  політики приватності  на  прикладі  європейських та американських компаній.

Закінчив GDPR Day блок бліц-питань та бліц-відповідей Сергія Воронкевича на питання учасників щодо GDPR та   визначеня переможців конкурсу найкращих запитань. Переможці отримали персональні,  підписані автором екземпляри книжок Privacy By Design Джейсона Кронка