Что такое GDPR? // Самое важное изменение в регулировании персональных данных за 20 лет
25 мая 2018 года в силу вступил закон GDPR (General Data Protection Regulation), в котором описаны правила защиты данных для граждан ЕС. 24 сентября на факультете права НИУ ВШЭ состоялось мероприятие с участием ведущих мировых экспертов, посвящённое дню GDPR.
Организаторами этого события стали Национальный исследовательский университет «Высшая школа экономики» и консалтинговая компания Data Privacy Office. Программа мероприятия была разделена на два блока: панельная дискуссия и основная часть. Все присутствующие могли получить важную информацию о методе внедрения GDPR.
Главными спикерами были Сергей Воронкевич — МВА (Германия), эксперт в области GDPR, проектного управления; Рэй Патак — Vice President, Privacy Office Solutions, NYMITY Inc. (Торонто, Канада); Oльга Заварнюк — CIPP/E, CIPP/US , эксперт в области GDPR; Лотар Детерман — партнёр Baker & McKenzie LLP (Калифорния), профессор Школы права Университета Беркли (Калифорния).
С приветственным словом выступил Сергей Воронкевич и рассказал о ключевых триггерах GDPR. Его выступление плавно перетекло в панельную дискуссию на тему «Проблемы и решения при внедрении GDPR отечественным бизнесом». Участниками дискуссии были как юристы различных компаний, так и эксперты в сфере бизнеса. Дискуссия прошла весьма плодотворно. Участники обсудили наболевшие проблемы, отвечали на актуальные вопросы. Например, стоит ли волноваться компании, если она находится в России? Можно ли упростить работу по внедрению GDPR в компании? Чего ожидать: штрафы, блокировки доменов, договорные неустойки и компенсации? Какие признаки, по которым сайт или мобильное приложение будут подпадать под GDPR? Кто в СНГ, почему и с каким успехом уже приводит себя в соответствие с регламентом? В конце дискуссии участники обменялись контактами, чтобы начать сотрудничество.
После небольшого перерыва началась основная программа. Сергей Воронкевич провёл мастер-класс «Введение в GDPR». Он рассказал о новых правилах обработки персональных данных, которые были установлены регламентом. Этот регламент действует во всех 28 странах ЕС и применяется ко всем компаниям, обрабатывающим персональные данные граждан ЕС, даже если это компания государства, которое не входит в ЕС. Более подробно спикер затронул тему ответственности за нарушение правил обработки персональных данных. Штрафы могут достигать 1,5 млрд рублей или 4% от годового дохода компании, что составляет довольно приличную сумму. Также спикер рассказал о шести важных принципах обработки данных по GDPR, о праве на переносимость персональных данных, о согласии на их обработку и об особой защите детей. Сергей Воронкевич сделал акцент на том, что компании, которые осуществляют крупномасштабные наблюдения, должны назначать ответственного за защиту персональных данных, контролировать и соблюдать требования GDPR.
Важно отметить, что мероприятие проходило довольно легко и непринуждённо. Участники свободно задавали спикерам вопросы, чтобы более углубиться в суть GDPR. В таком же формате прошла презентация книги «Путеводитель в правовом регулировании персональных данных Лотера Детерманна: международный корпоративный комплаенс». Книга подробно описывает то, как нужно правильно работать с персональными данными и не нарушать при этом закон. Она предназначена не только для юристов, но и для тех, кто просто хочет разобраться в правовом регулировании персональных данных. Презентация вызвала большой интерес, посетители мероприятия начали задавать вопросы, книга показалась весьма актуальной.
Следующим важным этапом основной программы была презентация курса «Защита данных по GDPR». Помощник Сергея Воронкевича подробно представил курс посетителям. Курс начался 1,5 года назад, содержит 3 образовательных продукта, насчитывает более 200 слушателей. На курсе можно получить подробные ответы на все возникающие в этой сфере вопросы. Также отметили, что курс посещают представители самых разных сфер деятельности. Самым актуальным курс оказался для юристов: они составляют 33,3%.
9-12 октября этот платный курс будет проводиться в НИУ ВШЭ на факультете права. Он будет длиться 4 дня с 9:00 до 16:00, количество мест ограничено. Программа курса состоит из следующих тем и вопросов:
— основания для обработки ПДН;
— виды ПДН и правила обращения с каждым видом;
— цели обработки;
— минимизация и ограничение целью обработки;
— права субъектов данных;
— правила трансграничной передачи;
— обязательства процессора и контролёра;
— оценка воздействия на защиту ПД (DPIA);
— приватность: проектируемая и по умолчанию.
После презентации Якову Грозинскому, одному из слушателей курса, был вручён сертификат об окончании. Он блестяще прошёл тестирование и, по его словам, получил неоценимый опыт и отличную базу знаний по защите персональных данных по GDPR.
После кофе-брейка участники готовились к последнему этапу программы — предстоял раунд вопросов и ответов «GDPRFAQ».
В рамках этого раунда каждый желающий мог задать вопрос спикеру. Сессия вопросов и ответов прошла очень плодотворно. Участники мероприятия углубили свои знания по GDPR. Узнали о таких ключевых принципах GDPR, как законность, справедливость, прозрачность, конкретные цели, минимизация использованных данных, точность, ограничения хранения данных, целостность и конфиденциальность, подотчётность. Также выяснилось, что GDPR имеет большое влияние на российский бизнес. Выяснилось, что в отличие от российского закона о персональных данных, GDPR выделяет две группы людей, которые вовлечены в обработку персональных данных, — это контролёры и процессоры. Было ещё раз подмечено, что регламент носит трансграничный характер. Нет разницы, где зарегистрирована компания, — в ЕС или за его пределами, в том числе и на территории РФ. Речь идёт больше всего о гостиницах, интернет-магазинах, образовательных учреждениях, различных транспортных компаний и других сфер бизнеса, имеющих доступ к данным европейских пользователей.
Итак, можно сделать вывод, что 7-ми часовое мероприятие прошло с большим успехом. Хочется обобщить, что GDPR — это важнейший законодательный документ, заметно повышающий уровень защиты персональных данных и требующий досконального изучения и неукоснительного соблюдения. Мы должны понимать, что персональные данные это не просто информация. Все операции, которые проводят с персональными данными, имеют большое экономическое значение. И мы должны избегать утечек и всевозможных манипуляций ими.
Текст: Марина Еремеева
Фото: Карина Синяговская