№6 Червень 2018 року → До справи

Тема: Місце впровадження

Дарина СИДОРЕНКО,
координатор групи IT і кібербезпеки ЮФ Sayenko Kharenko

Впровадження в ЄС нових правил захисту персональних даних стане поштовхом для застосування системи комплаєнс українськими компаніями

Треба визнати, що слово «compliance» (з англійської — відповідність) не має того ємного перек­ладу на українську, який передавав би всю глибину цього поняття, тому поповнення юридичної української мови ще одним англіцизмом стало неминучим. Такі знайомі старшому поколінню юристів словосполучення, як «внутрішній контроль» чи «візування документів юрисконсультом» не можуть повною мірою відобразити сутність комплаєнсу, оскільки на цей момент це не просто юридична відповідність вимогам законодавства.

 

Поштовх до розвитку


Так що ж таке комплаєнс? Під поняттям комплаєнсу треба розуміти внутрішній контроль та кроки, які здійснює компанія, щоб її діяльність повністю відповідала вимогам законодавства. Аби зрозуміти, які саме кроки має зробити компанія, щоб був комплаєнс, першочергово їй необхідно провести ретроперспективний і перспективний аналізи своєї діяльності. Вони допоможуть компанії виявити і своєчасно усунути різноманітні ризики, пов’язані з невідповідністю існуючим нормативним стандартам і вимогам законодавства. Однак, на відміну від класичного внутрішнього контролю, комплаєнс також передбачає виявлення ризиків невідповідності діяльності організації встановленим кодексам поведінки, рекомендованим етичним нормам у певній сфері діяльності, порушення яких може призвести до репутаційних втрат.

Отже, конкретний зміст комплаєнсу залежатиме від того, яку саме діяльність здійснює компанія, з ким вона веде бізнес: винятково з українськими контрагентами чи її діяльність спрямована на Європу або США. І якщо фінансовий комплаєнс вже давно став звичною практикою для банківських установ, то інші види комплаєнсу лише починають розвиватися в Україні, і українському бізнесу варто починати запроваджувати їх у своїх компаніях.

Бути комплаєнс-компанією означає бути надійним бізнес-партнером. Іноземні компанії звертають увагу на те, чи є у вашій компанії хоча б базові елементи комплаєнсу, оскільки вони хочуть мати надійних бізнес-партнерів, які зможуть дати їм гарантії відповідності.

Чому про комплаєнс заговорили саме тепер? Найсвіжішим поштовхом до розвитку системи комплаєнсу в Україні стало впровадження в Європейському Союзі нових правил захисту персональних даних — Загального регламенту про захист даних, більш відомого в юридичних колах за абревіатурою від англійської назви регламенту General Data Protection Regulation — GPDR. Імплементація стандартів та вимог регламенту у країнах Європейського Союзу та поза ним спричинила необхідність швидкої адаптації внутрішніх правил організацій до вказаних змін законодавства. Галас навколо GPDR зчинився тому, що однією з новел регламенту є те, що сфера його впливу розповсюджується далеко за межі Європейської економічної зони. Впровадження GPDR змусило найбільші світові компанії переглянути свої підходи до комплаєнсу — змінити внутрішні і зовнішні політики, впровадити ефективні технологічні рішення для розвитку системи внут­рішнього контролю та захисту даних користувачів.

Ситуація із впровадженням GPDR позначилася також і на українському бізнесі, оскільки велика кількість українських організацій, починаючи від служб бронювання авіаквитків і закінчуючи численними ІТ-компаніями, виявились контролерами та операторами даних щодо громадян країн — членів Європейського Союзу. Хоча регламент GDPR набув чинності ще 14 квітня 2016 року і передбачав дворічний адаптаційний період, треба констатувати, що більшість компаній і організацій почали застосовувати реальні заходи щодо приведення своїх внутрішніх процедур у відповідність до GDPR лише за декілька місяців до початку повноцінного застосування зазначеного регламенту.

Описана вище ситуація характерна не тільки для українського, а й для європейського бізнесу. Запізнілі та часом некоректні дії компаній щодо впровадження GPDR майже неминуче призведуть до судових позовів та мільйонних штрафів як для контролерів, так і для операторів персональних даних. Першопричиною такої ситуації є недостатня обізнаність власників компаній та їхнє нерозуміння необхідності запровадження вимог регламенту.

 

У передчутті змін


Переходячи від ретроперспективної до перспективної необхідності комплаєнсу у сфері захисту персональних даних, треба визнати, що імплементація норм GDPR у законодавство України є неминучою.

Так, згідно зі статтею 15 Угоди про асоціацію між Україною та Європейським Союзом, Україна взяла на себе зобов’язання забезпечити належний рівень захисту персональних даних відповідно до найкращих європейських та світових практик. Це означає, що найближчим часом ми можемо очікувати появу законопроекту про внесення змін до Закону України «Про захист персональних даних» або й цілковито нового закону.

У справі Європейського Суду з прав людини «Бенедік проти Словенії» від 24 квітня 2018 року Суд дійшов висновку, що IP-адреса особи є частиною персональних даних особи, а розголошення такої інформації без вмотивованого рішення суду є втручанням у приватне життя ­заявника. Системний аналіз зазначеного рішення дає змогу зробити вис­новок, що IP-адреса користувача є частиною його персональних даних і підлягає відповідному захисту. Практика Європейського Суду з прав людини є джерелом права в Україні, тому контролерам і операторам даних треба ставитися до ­IP-адреси як до персональних даних. Варто зазначити, що іншою новелою європейського регламенту було додавання до переліку і визначення персональних даних IP-адреси.

Для мене, як для юриста, був дуже цікавим той факт, що глобальні зміни в системі захисту персональних даних громадян почалися з Європейського Союзу, а не США, хоча саме громадяни США відомі своїми затятими судовими процесами із захисту своїх прав і основоположних свобод. Тому зараз всі очікують, до яких кроків вдасться уряд США стосовно захисту персональних даних і чи зробить він їх узагалі. Також не треба забувати, що прийнятий у 2016 році GDPR — це перший дзвіночок законодавчих змін, і ми всі повинні готуватися до наступних.

 

Комплаєнс і Україна

Комплаєнс є об’єктивною необхідністю для бізнесу, важливою конкурентною перевагою організації, тому в його розвитку зацікавлена передусім сама організація. Що стосується питання комплаєнсу в аспекті захисту персональних даних, то чинний Закон України «Про захист персональних даних», прийнятий у 2010 році, має ряд недоліків і недосконалостей, чим породжує ряд правопорушень у сфері захисту персональних даних.

Власники бізнесу мають розуміти, що немає унікальної рекомендації чи поради стосовно організації комплаєнсу в компанії, для кожної він буде по-своєму унікальним. Сфера діяльності, бізнес-модель, розмір, організаційна структура — всі ці фактори впливають на конкретну модель комплаєнсу в конкретній компанії. Приємною тенденцією є те що, в Україні вже з’являються компанії зі спеціально створеними відділами комплаєнс-контролю. Переважно це ІТ-сфера.

Хоча аналіз юридичних ризиків вважається здебільшого роботою юристів, повноцінний комплаєнс потребує залучення не тільки юристів, але й інших фахівців: менеджерів, економістів, а на цей момент ще й технологічних спеціалістів. Саме тому найкращою світовою практикою у сфері організації комплаєнсу є залучення команди комплаєнс-спеціалістів, які займаються впровадженням та забезпеченням дотримання різноманітних вимог на всіх рівнях.

Якщо підсумовувати все викладене вище, то комплаєнс — це не тільки система відповідності нормам права, хоча саме правова відповідність і є першочерговою для компаній. Налагодження системи комплаєнсу вже давно стало нормою на Заході і з часом стане загальнообов’язковою і для українських компаній, особливо, якщо вони працюють або прагнуть працювати на європейському чи американському ринках.