GDPR БЕЗ ПАНИКИ: КАК КАЗАХСТАНСКИМ КОМПАНИЯМ ИЗБЕЖАТЬ ШТРАФОВ И НЕ РАЗОРИТЬСЯ НА ЕВРОПЕЙСКИХ ТРЕБОВАНИЯХ

Когда клиент из Европы пишет в техническом задании четыре буквы, которые переворачивают всё с ног на голову. Что важно знать уже сегодня?

Представьте ситуацию: ваша компания, допустим, из Алматы или Астаны только что провела успешные переговоры с потенциальным клиентом из Европы. Все идет отлично, цена согласована, сроки обговорены, и вы уже мысленно подсчитываете прибыль... как вдруг в почту падает техническое задание, где жирным шрифтом выделены три буквы — GDPR. И с этого момента начинается настоящий квест, который многие казахстанские компании проходят, словно первый уровень в игре Dark Souls — с множеством болезненных ошибок и перезапусков.

"Мы буквально оцепенели, когда немецкий заказчик прислал нам 12-страничный документ с требованиями по GDPR, — вспоминает Аскар, CTO компании из Астаны, разрабатывающей решения для финтеха. — Первой мыслью было 'ну всё, проект накрылся'. Потом другой - 'придется нанимать дорогущего европейского юриста'. К счастью, оказалось, что большинство страхов были надуманными, а соответствие реально обеспечить без заоблачных бюджетов".

И действительно, GDPR (General Data Protection Regulation - Общий регламент по защите данных) оброс таким количеством мифов и пугающих историй, что многие казахстанские IT-компании либо отказываются от европейских проектов вообще, либо идут на серьезные риски, игнорируя требования в надежде, что "как-нибудь пронесет". А зря - ни то, ни другое не является оптимальной стратегией.

Почему это важно? Потому что европейский рынок с его стабильной валютой и высокими ставками — это лакомый кусочек для казахстанских компаний, особенно в условиях нестабильности в регионе.

Что нужно сделать? Разобраться в реальных (а не мифических) требованиях GDPR и внедрить необходимый минимум без бюджетов уровня Google.

Какой результат это даст? Возможность безопасно работать с европейскими клиентами, повышение доверия к вашей компании и, как следствие, более высокую маржинальность проектов.

В этой статье мы раз и навсегда разберемся, что на самом деле требует GDPR от казахстанских IT-компаний, как выполнить эти требования с разумным бюджетом и что делать, если вы работаете с европейскими данными уже сейчас, но ничего про GDPR не внедряли.

Первое, что нужно сделать, чтобы перестать бояться GDPR — это понять, что не всё, что вы о нем слышали, правда. Давайте начнем с развенчания самых распространенных мифов.

GDPR В КАЗАХСТАНЕ ПОД МИКРОСКОПОМ: МИФЫ, КОТОРЫЕ МЕШАЮТ СПАТЬ

Миф №1: "GDPR нас не касается, мы ведь в Казахстане"

Это примерно то же самое, что сказать "правила дорожного движения Турции меня не касаются, я ведь казахстанец" - а потом удивляться штрафу за превышение скорости на шоссе Анталия - Анкара. Территориальная сфера действия GDPR определяется не местонахождением компании, а тем, чьи данные вы обрабатываете.

Реальность: GDPR применяется к любой компании в мире (включая казахстанские), если она:

• Предлагает товары или услуги гражданам ЕС, даже бесплатно

• Мониторит поведение людей на территории ЕС

• Обрабатывает персональные данные граждан ЕС по поручению другой компании

Именно поэтому, если ваш немецкий клиент доверяет вам разработку CRM-системы, где будут храниться данные его европейских клиентов, вы автоматически попадаете под действие GDPR.

Миф №2: "Нужно полностью перестроить всю IT-инфраструктуру"

Многие представляют себе соответствие GDPR как капитальный ремонт с заменой всех коммуникаций и несущих стен. На самом деле для большинства казахстанских IT-компаний это скорее похоже на косметический ремонт с перестановкой мебели.

Реальность: Большинство современных технологических стеков уже содержат необходимые возможности для обеспечения базового соответствия GDPR. Вам нужно правильно их настроить и документировать, а не выбрасывать всё и начинать с нуля.

Миф №3: "Штрафы до 20 миллионов евро — нам кирдык!"

Да, теоретически максимальный штраф за нарушение GDPR может составлять 20 миллионов евро или 4% от годового оборота. Но это всё равно что бояться ездить на машине, потому что максимальный штраф за нарушение ПДД в Казахстане - 200 МРП с лишением прав на 10 лет.

Реальность: Регуляторы чаще всего выносят предупреждения и требуют устранить нарушения. Огромные штрафы получают крупные международные компании за вопиющие и систематические нарушения. Казахстанские IT-компании не являются приоритетной целью для европейских регуляторов, если не происходит серьезных утечек данных.

Миф №4: "Нам нужен штатный DPO (Data Protection Officer) с зарплатой $5000"

Не каждая компания обязана назначать официального сотрудника по защите данных с европейским сертификатом и соответствующей зарплатой.

Реальность: DPO обязателен только если:

• Основная деятельность компании связана с регулярным мониторингом людей в крупном масштабе

• Компания обрабатывает специальные категории данных (здоровье, биометрия, политические взгляды и т.п.) в крупном масштабе

Для большинства казахстанских разработчиков достаточно назначить ответственного сотрудника за GDPR-комплаенс без официального статуса DPO.

Миф №5: "Нам нужно перенести все серверы в Европу"

Многие компании ошибочно полагают, что GDPR запрещает хранить данные за пределами ЕС.

Реальность: GDPR не запрещает трансграничную передачу данных, а лишь устанавливает дополнительные требования к ней. Данные граждан ЕС можно хранить в Казахстане или на облачных серверах по всему миру при обеспечении надлежащих мер защиты.

Реальные требования GDPR для IT-компаний из Казахстана: что действительно нужно сделать

Теперь, когда мы разобрались с мифами, давайте перейдем к практической части: что конкретно нужно сделать казахстанской IT-компании, чтобы соответствовать GDPR?

1. Определить свою роль: процессор или контроллер?

В терминологии GDPR существуют две основные роли:

• Контроллер данных (Data Controller) — тот, кто определяет цели и способы обработки данных

• Процессор данных (Data Processor) — тот, кто обрабатывает данные по поручению контроллера

Большинство казахстанских IT-компаний, работающих с европейскими клиентами, выступают именно в роли процессора. Ваш европейский клиент — контроллер, а вы обрабатываете данные его пользователей по его заданию.

Почему это важно? Требования к процессорам и контроллерам различаются. Если вы процессор, то часть ответственности лежит на вашем клиенте.

Что нужно сделать? Четко зафиксировать свою роль в договоре с европейским клиентом и подписать соглашение об обработке данных (Data Processing Agreement, DPA), где будут прописаны обязанности сторон.

Какой результат это даст? Вы избежите размытия ответственности и четко поймете границы своих обязательств.

2. Провести аудит данных: что и где храните?

"Когда мы начали проводить аудит, выяснилось, что данные клиентов хранятся в семи разных местах, о трех из которых руководство даже не подозревало, — рассказывает Жанна, CEO консалтинговой компании из Алматы. — А ведь нельзя защитить то, о существовании чего ты не знаешь".

Почему это важно? Нельзя обеспечить защиту данных, если вы не знаете, где именно они хранятся, как долго и кто имеет к ним доступ.

Что нужно сделать? Составить карту данных вашей организации, отвечая на вопросы:

• Какие персональные данные граждан ЕС вы собираете/храните/обрабатываете?

• Где именно они хранятся (базы данных, облачные хранилища, локальные серверы, резервные копии)?

• Как долго вы их храните и зачем?

• Кто имеет доступ к этим данным?

• Передаете ли вы эти данные третьим лицам?

Какой результат это даст? Полное понимание информационных потоков в компании, что является фундаментом для всех дальнейших шагов.

3. Реализовать технические меры защиты данных

"Не нужно изобретать велосипед — 80% требуемых GDPR мер защиты уже давно являются хорошими практиками в IT индустрии", — отмечает Тимур, технический директор компании-разработчика из Астаны.

Почему это важно? GDPR требует внедрения "соответствующих технических и организационных мер" для защиты данных. При этом регламент не предписывает конкретные технологии, давая организациям свободу выбора.

Что нужно сделать? Внедрить базовые технические меры:

• Шифрование данных в состоянии покоя и при передаче (HTTPS, TLS, шифрование баз данных)

• Псевдонимизация данных где возможно

• Регулярное резервное копирование

• Система управления доступом на основе ролей

• Аутентификация с использованием сильных паролей и/или мультифакторной аутентификации

• Регулярное обновление ПО и устранение уязвимостей

• Логирование действий с персональными данными

Какой результат это даст? Базовый уровень защиты данных, достаточный для большинства обычных IT-проектов.

4. Внедрить организационные процедуры

Почему это важно? Технические меры работают только в сочетании с правильно выстроенными процессами. Даже самый надежный замок не поможет, если ключ от него валяется под ковриком.

Что нужно сделать?

• Разработать и внедрить политику защиты данных

• Обучить сотрудников основам GDPR и информационной безопасности

• Внедрить процедуру обработки запросов субъектов данных

• Создать и регулярно тестировать план реагирования на утечки данных

• Внедрить процесс оценки влияния на защиту данных для новых проектов

• Ограничить доступ к персональным данным только теми сотрудниками, кому он необходим для работы

Какой результат это даст? Культуру обращения с данными, которая минимизирует риски нарушений и утечек.

5. Правильно оформить документацию

"Без правильной документации даже идеально защищенная система может попасть под штрафы", — предупреждает Елена, юрист по международному праву из Астаны.

Почему это важно? В логике GDPR "не задокументировано = не сделано". Даже если вы внедрили все необходимые меры, но не можете это доказать, вы всё равно нарушаете регламент.

Что нужно сделать? Подготовить минимальный набор документов:

• Соглашение об обработке данных с клиентом (DPA)

• Внутреннюю политику защиты персональных данных

• Реестр действий по обработке (для процессоров с более чем 250 сотрудниками, а для меньших компаний — в определенных случаях)

• Процедуру реагирования на инциденты безопасности

• Процедуру обработки запросов от субъектов данных

Какой результат это даст? Возможность продемонстрировать соответствие требованиям GDPR в случае проверки или запроса от клиента.

Реальный кейс: как IT-компания из Астаны внедрила GDPR с бюджетом $8100.

Чтобы перейти от теории к практике, давайте рассмотрим реальный кейс. Компания DeeTeePee (название изменено) из Астаны с командой в 47 человек разрабатывает веб-приложения для европейских клиентов. В 2023 году они получили запрос от потенциального заказчика из Германии на создание онлайн-платформы для управления членством в ассоциации. Одним из требований было соответствие GDPR. При этом у нас есть кейсы создания защиты и за $2000 для небольшой ИТ-компании (менее 20 чел.).

Исходная ситуация

• Опыт работы с европейскими клиентами: 3 года

• Предыдущий подход к GDPR: подписание стандартного NDA, без специальных мер

• Знание требований GDPR: минимальное

• Технический стек: React, Node.js, MongoDB, AWS

• Бюджет на внедрение GDPR: $8000

Шаг 1: Аудит текущей ситуации (затраты: $960)

Команда начала с найма локального консультанта по информационной безопасности со знанием GDPR для проведения аудита. Вместо дорогостоящих международных экспертов они выбрали специалиста из Алматы, который прошел обучение по GDPR онлайн. За две недели консультант:

• Провел интервью с ключевыми сотрудниками

• Составил карту данных компании

• Выявил основные несоответствия требованиям GDPR

Результаты аудита:

• Отсутствие формализованных процедур обработки персональных данных

• Отсутствие специальных соглашений с клиентами по обработке данных

• Неконтролируемый доступ к тестовым данным

• Отсутствие шифрования баз данных

• Недостаточное логирование действий с данными

Шаг 2: Разработка плана внедрения (затраты: $700)

На основе аудита команда обратилась в qmpetence для разработки поэтапного плана внедрения GDPR с учетом имеющегося бюджета. План был разделен на три фазы:

1. Критические несоответствия (1 месяц)

2. Важные улучшения (2 месяца)

3. Дополнительные улучшения (при наличии ресурсов)

Шаг 3: Организационные меры (затраты: $1 980)

• Назначение ответственного за GDPR (без официального статуса DPO)

• Разработка политики защиты данных и privacy policy для сайта

• Разработка шаблона DPA для клиентов

• Обучение команды основам GDPR (онлайн-курс и внутренний семинар)

• Разработка процедуры обработки запросов субъектов данных

• Создание процедуры реагирования на инциденты безопасности

• Прохождение внешнего аудита

• Получение именного сертификата GDPR, выданного органом из ЕС, для повышения доверия в работе с новыми клиентами

Шаг 4: Технические меры (затраты: $4 500)

• Внедрение шифрования для баз данных на продакшн и тестовых серверах

• Настройка ролевой модели доступа и улучшение аутентификации

• Внедрение системы логирования действий с персональными данными

• Настройка автоматического удаления тестовых данных

• Обновление инфраструктуры и устранение уязвимостей

• Настройка резервного копирования с шифрованием

Итоговые результаты

Общие затраты составили $7 960, что позволило уложиться в бюджет. Компания успешно заключила контракт с немецким клиентом и теперь использует соответствие GDPR как конкурентное преимущество при работе с европейскими заказчиками.

"Самым сложным было не техническое внедрение, а изменение мышления команды, — признается CEO ТОО "DeeTeePee". — Но именно это и дало самый ценный результат: теперь защита данных встроена в ДНК нашей компании, что ценят не только европейские, но и локальные клиенты".

Пошаговый план внедрения GDPR для казахстанской IT-компании

Основываясь на рассмотренном кейсе и требованиях GDPR, предлагаем универсальный пошаговый план внедрения для казахстанских IT-компаний разного размера.

Этап 1: Подготовка и оценка (1-2 недели)

1. Назначьте ответственного за GDPR-комплаенс в вашей компании. На начальном этапе это может быть совмещенная роль для существующего сотрудника (например, CTO, CISO или юриста).

2. Проведите базовое обучение ключевых сотрудников основам GDPR. Сегодня доступно множество бесплатных или недорогих онлайн-курсов.

3. Определите свою роль по GDPR (процессор, контроллер или обе роли для разных проектов).

4. Составьте реестр персональных данных, которые вы обрабатываете, с указанием источников, мест хранения, способов обработки и сроков хранения.

Этап 2: Разработка документации (2-3 недели)

1. Разработайте или адаптируйте шаблон DPA (Data Processing Agreement) для использования с клиентами.

2. Создайте внутреннюю политику защиты персональных данных, включающую подходы к сбору, обработке, хранению и удалению данных.

3. Разработайте процедуру обработки запросов субъектов данных (на доступ, исправление, удаление, ограничение обработки их данных).

4. Создайте процедуру реагирования на утечки данных, включающую выявление, оценку, сдерживание, уведомление и восстановление.

Этап 3: Технические меры (1-2 месяца)

1. Проведите аудит безопасности и устраните критические уязвимости.

2. Внедрите шифрование данных на всех уровнях (хранение, передача).

3. Настройте систему управления доступом на основе ролей и внедрите многофакторную аутентификацию для критических систем.

4. Настройте журналирование (логирование) действий с персональными данными.

5. Внедрите процедуры резервного копирования и восстановления с учетом требований безопасности.

6. Настройте безопасное удаление данных по истечении срока их хранения.

Этап 4: Организационные меры (параллельно с этапом 3)

1. Проведите обучение всех сотрудников, имеющих доступ к персональным данным.

2. Обновите договоры с сотрудниками, добавив пункты о конфиденциальности и защите данных.

3. Внедрите процедуру оценки влияния на защиту данных (DPIA) для новых проектов, связанных с высоким риском для прав и свобод граждан ЕС.

4. Пересмотрите договоры с поставщиками и субподрядчиками, убедившись, что они также соблюдают требования GDPR.

5. Определите, хотите ли вы пройти внешний аудит и получить сертификат, который хоть и не является обязательным, но повышает доверие значительно.

Этап 5: Поддержание и улучшение (непрерывно)

1. Регулярно проводите аудиты соответствия требованиям GDPR.

2. Обновляйте документацию и процедуры при изменении бизнес-процессов или законодательства.

3. Проводите периодические тренинги для сотрудников, чтобы поддерживать их знания в актуальном состоянии.

4. Тестируйте процедуру реагирования на инциденты с помощью учебных сценариев.

Для большинства казахстанских компаний оптимальным выбором будет провайдер автоматически обновляемых документов для вставки на сайт компании или комбинация open-source инструментов, так как они предлагают хорошее соотношение цены и функциональности.

🔎 Готовы от слов перейти к делу? Получить консультацию по выбору инструментов GDPR.

Что делать, если вы уже работаете с данными граждан ЕС, но не внедрили GDPR?

Если вы вдруг осознали, что ваша компания уже обрабатывает данные европейцев, но не внедряла меры для соответствия GDPR, не паникуйте. Вот план действий для такой ситуации:

1. Не удаляйте данные в панике

Первый импульс — удалить все европейские данные, чтобы избежать ответственности. Это ошибка. Массовое удаление данных без правового основания само по себе может быть нарушением GDPR.

2. Проведите срочную оценку рисков

Определите, какие именно данные вы обрабатываете, как давно, в каком объеме и насколько они чувствительны. Оцените реальный уровень риска.

3. Внедрите базовые меры безопасности

Не откладывая, реализуйте минимальный набор технических мер защиты:

• Шифрование данных

• Ограничение доступа к данным

• Настройка надежной аутентификации

4. Подготовьте базовую документацию

В кратчайшие сроки разработайте:

• Политику конфиденциальности

• Процедуру реагирования на инциденты

• Шаблон DPA для клиентов

• 
  

5. Обратитесь к специалисту для разработки дорожной карты

Проконсультируйтесь с экспертом по GDPR для разработки плана полноценного соответствия с учетом специфики вашей ситуации.

6. Будьте готовы к открытому диалогу с клиентами

Если европейский клиент запросит информацию о вашем соответствии GDPR, честно сообщите о текущем статусе и планах по полному внедрению. Многие западные клиенты, а также клиенты из Юго-Восточной Азии высоко ценят честность и готовность к улучшениям.

🔎 Готовы от слов перейти к делу? Получить консультацию по выбору инструментов GDPR.

GDPR и перспективы: что дальше?

GDPR стал не просто европейским законом, а глобальным стандартом защиты данных. Под его влиянием аналогичные законы принимаются по всему миру, включая страны Центральной Азии.

"GDPR — это не тормоз для бизнеса, а новая парадигма отношения к данным, — говорит Дмитрий, эксперт по цифровой трансформации из Минска, работающий с компаниями из Казахстана. — Те, кто сегодня воспринимает его как бюрократическую помеху, завтра будут догонять конкурентов, для которых защита данных уже стала частью бизнес-культуры".

И действительно, уже сейчас мы видим, как принципы GDPR влияют на законодательство Казахстана в области защиты персональных данных. Компании, которые сегодня внедряют GDPR для работы с европейскими клиентами, завтра окажутся в выигрышном положении, когда аналогичные требования появятся на местном уровне.

Ближайшие тренды в области регулирования данных:

1. Ужесточение локального законодательства в Казахстане. Закон РК "О персональных данных и их защите" постепенно эволюционирует в сторону более строгих требований, включая обязательное уведомление о утечках и более высокие штрафы.
   

2. Развитие трансграничных требований в ЕАЭС. Единое экономическое пространство требует гармонизации подходов к защите данных, что приведет к появлению наднациональных стандартов.
   

3. Рост спроса на специалистов по защите данных. Уже сейчас мы наблюдаем дефицит квалифицированных DPO в Казахстане и соседних странах, что делает инвестиции в эту компетенцию особенно выгодными.
   

4. Интеграция защиты данных в ESG-стратегии компаний. Ответственное обращение с данными становится частью более широкой повестки устойчивого развития бизнеса.
   

Заключение: GDPR — от страха к конкурентному преимуществу

GDPR часто воспринимается казахстанскими IT-компаниями как неизбежное зло, дорогостоящее обременение или непонятная европейская причуда. Но на практике это регулирование может стать мощным катализатором для улучшения процессов, повышения безопасности и, в конечном счете, роста бизнеса.

Подходя к GDPR не как к бюрократическому требованию, а как к трамплину для развития, вы получаете:

• Доступ к премиальному европейскому рынку

• Повышение доверия со стороны всех клиентов, не только европейских

• Улучшение внутренних процессов и безопасности

• Готовность к будущим изменениям в местном законодательстве

• Конкурентное преимущество перед компаниями, которые еще не адаптировались

Казахстанские IT-компании находятся в уникальном положении: они могут реализовать требования GDPR с гораздо меньшими затратами, чем их европейские конкуренты, благодаря более низкой стоимости труда квалифицированных специалистов и с привлечением европейских экспертов для аудита и подтверждения соответствия . При этом ценник услуг для европейских клиентов остается привлекательным.

"Внедрение GDPR было для нас как ремонт на кухне, — делится Аслан, CEO компании-разработчика из Астаны. — Сначала казалось, что это ненужная головная боль и потеря времени. Но когда процесс завершился, мы поняли, что не только получили 'европейский пропуск', но и навели порядок в своих процессах, о котором давно мечтали, но всё руки не доходили".

🔎 Также готовы к сертификации ISO 27001 и доступен бюджет от $5000?  Тогда кликните на кнопку и оставьте заявку!

Запросите индивидуальное коммерческое предложение напрямую от аккредитованного органа по сертификации из Евросоюза или Америки - получите бесплатную управленческую консультацию от эксперта из Европы.