In 2022, the IT industry can expect big regulatory risks. How to protect yourself and your company (UKR)

The original material is in Ukrainian

2021 рік підтвердив тренд на дедалі глибше втручання світових регуляторів і правоохоронних органів в IT-сектор. Більше регулювання, більше штрафів, більше етичних стандартів.
Партнер юридичної фірми Eterna Law Тимур Хасанов-Батиров розповів, чим запам’ятається 2021-й і як підготуватися до 2022-го, щоб уникнути проблем.

Штрафи у сфері захисту персональних даних

У новій економіці, на відміну від цегляної, свої цінності та активи. І наші персональні дані — один із найдорожчих ресурсів. Не дивно, що регулятори, наприклад, у Європі від 2018 року, дедалі активніше штрафують за порушення європейського стандарту поводження з персональними даними GDPR.

Від травня 2018-го до листопада 2021-го на бізнеси різних розмірів із різних індустрій наклали вже понад 800 штрафів. Якщо ваш продукт націлений на європейського споживача або ваша компанія «прописана» в ЄС, має сенс задуматися про впровадження GDPR-комплаєнсу — контролю відповідності європейським вимогам у сфері захисту персональних даних. Мабуть, саме це нещодавно обговорювали на засіданнях топменеджменту Amazon після того, як влада Люксембургу анонсувала компанії штраф на $877 млн. Проблеми вартістю $255 млн у Європі з’явилися і у WhatsApp, теж за порушення GDPR.

Не треба бути ясновидцями, щоб передбачити, що у 2022 році тренд на активне застосування data protection законів тільки зростатиме. І краще заздалегідь підготувати свою компанію та перевірити продукт на відповідність міжнародним вимогам щодо персональних даних.

Made in USA: розслідування, Cryptocurrency Enforcement Team, BitMEX

«Ми підняли раунд!», «Нами зацікавилися венчурні фонди з Кремнієвої долини!», «Нумо зареєструємо нашу компанію у Штатах!», «Розмірковуємо про IPO» — як приємно це чути і як чудово, що наші технологічні компанії стають глобальними гравцями.

2021-й показав, що вихід на північноамериканський ринок — це не лише безперечні переваги, а й обов’язки, про які наші майбутні єдинороги можуть і не знати.

Так, якщо ваш бізнес стосується США (венчурний капітал американського походження, топменеджер з Америки, ваша компанія зареєстрована у Делавері або має інший бізнес-зв’язок зі США), то у вас згідно з американським антикорупційним законом (FCPA) має бути ефективна антикорупційна комплаєнс-програма.

Простими словами, навіть якщо фактично ви ведете бізнес в Україні, у вас має бути повний антикорупційний «набір джентльмена»: від процедур недопущення хабарництва до проведення тренінгів для персоналу та функціонування системи повідомлення про порушення. І це, зауважте, у країні підвищеного корупційного ризику.

Ігнорувати вимоги США стає дедалі складніше. 2021-й показав, що розміри штрафів за корупційні порушення все частіше перевалюють за $1 млрд, а 30% від накладеного штрафу американська влада часто стягує з інформаторів, які поділилися «підозрами про можливі корпоративні порушення».

Як уникнути проблем та підвищити свою інвестиційну привабливість? Запровадити ефективну антикорупційну комплаєнс-програму за американським стандартом FCPA.

Ще одним характерним трендом року, що минає, стало зростання уваги правоохоронних органів США до обороту криптовалют і притягнення до відповідальності фінтеху за недотримання вимог щодо відмивання грошей. Отже, наприкінці 2020 року Департамент юстиції США випускає Сryptocurrency Enforcement Framework (у вільному перекладі «Посібник із розслідувань щодо обороту криптовалют»), наприкінці 2021-го створили National Cryptocurrency Enforcement Team (Група з розслідування для недопущення зловживань на криптовалютних платформах).

У перерві між цими подіями, влітку 2021 року, американська влада оштрафувала неамериканську криптовалютну біржу BitMEX на $100 млн за відсутність ефективної програми з недопущення відмивання коштів, отриманих злочинним шляхом.

Департамент юстиції США підтвердив, що кібербезпека — це пріоритет та зона підвищеної уваги, оголосивши у листопаді про притягнення до кримінальної відповідальності зокрема громадянина України за ransomware атаку на софтверну компанію Kaseya. А ще влітку прокурори отримали Меморандум щодо взаємодії між службами під час розслідування кейсів за програмами-шахраями, ботнетами, відмиванням коштів.

Американський тренд цілком очевидний: все більше ресурсів виділяють на контроль цифрового середовища. І локальним технологічним компаніям, насамперед у галузі FinTech, потрібно розбиратися, чого від них очікують на міжнародних ринках і яких стандартів критично важливо дотримуватися.

Кібербезпека

Продовження епохи пандемії наступного року засвідчує потреба забезпечення власної кібербезпеки. Nothing new, але зверніть увагу, що кібербезпека — це не тільки комплекс технічних заходів, а й робота з персоналом: тренінги, розроблення правил гри, тестування та постійне вдосконалення системи.

Понад 95% порушень у галузі кібербезпеки відбуваються через помилки людини.

І у 2022 році цей тренд, як, напевно, і ключові загрози року, що минає, а саме фішингові атаки, програми-вимагачі, ризики видалення, реінкарнації листів від «нігерійських принців», залишаться на порядку денному. Ваша корпоративна програма з кібербезпеки — очевидна відповідь на можливі загрози.

Що ще важливо пам’ятати про 2021-й, щоб безпечно провести 2022-й

Резюмуючи комплаєнс-підсумки 2021 року, визначу ключові тренди, які стануть іще актуальнішими у 2022-му:

– більше регуляторного втручання у промисловість;
– багато розслідувань;
– серйозні штрафи;
– тісний зв’язок під час лончу світових товарів з «новою мораллю» (напевно ви пам’ятаєте новину про домагання у метавсесвіті, що з’явилася майже одночасно з анонсом Meta);
– створення нових правил гри (чекаємо від ЄС новин про подальші кроки щодо вимог до AI продуктів).

Наш лайфхак — оцініть комплаєнс-ризики для своєї компанії, щоб розробити заходи щодо запобігання сюрпризам у наступному році. Тоді все буде комплаєнс.

Джерело: SPEKA Media

In Focus