SPEAKER_1: Минулого разу ми обговорювали нові межі відповідальності, але сьогодні зосередимось на захисті даних і кібербезпеці. Сьогодні ми детально розглянемо технічні стандарти та протоколи, необхідні для забезпечення захисту даних і кібербезпеки. SPEAKER_2: Саме так. І тут важливо одразу зафіксувати: нові договори вже не просто згадують конфіденційність у загальних словах. Вони прив'язують її до конкретних технічних стандартів. Це принципова різниця. SPEAKER_1: Тоді почнімо з основ. Які технічні стандарти тепер є обов'язковими для захисту даних? SPEAKER_2: Стара редакція обмежувалась загальними фразами, а нова вводить конкретні технічні стандарти, такі як CIA-тріада: конфіденційність, цілісність і доступність. Це три окремі обов'язки, кожен з яких може бути порушений незалежно від інших. SPEAKER_1: Можеш розшифрувати кожен? Бо для нашого слухача це може звучати як технічний жаргон. SPEAKER_2: Конфіденційність — доступ до інформації мають лише уповноважені особи. Цілісність — дані не можуть бути змінені або спотворені без відома власника. Доступність — система має працювати тоді, коли вона потрібна. Порушення будь-якого з трьох пунктів вже є підставою для санкцій за новим договором. SPEAKER_1: Стоп. Доступність — це теж обов'язок? Тобто якщо сервер ліг через технічну аварію, це вже порушення договору? SPEAKER_2: Технічно — так, якщо договір не містить чіткого переліку форс-мажорних обставин. Саме тому нові формулювання часто супроводжуються вимогою до організаційних заходів: розробка політики безпеки, обмеження прав доступу, регулярний аудит. Це вже не рекомендації — це технічні вимоги. SPEAKER_1: Які конкретні технічні стандарти та протоколи для кібербезпеки тепер обов'язкові? SPEAKER_2: Шифрування даних при передачі та зберіганні, двофакторна автентифікація для доступу до систем, керування криптографічними ключами — їх створення, зберігання, відкликання. Плюс обов'язкове навчання персоналу і підписання NDA з усіма, хто має доступ до даних. SPEAKER_1: Це вже схоже на окремий IT-проєкт. Які технічні ресурси потрібні для впровадження цих стандартів? SPEAKER_2: Так, і тут є пастка. Якщо компанія вже використовує сучасні інструменти — PGP або S/MIME для пошти, надійні паролі, двофакторку — витрати мінімальні. Але якщо інфраструктура застаріла, впровадження цих стандартів може коштувати від кількох тисяч до десятків тисяч гривень залежно від масштабу. SPEAKER_1: Тоді чому нові технічні стандарти можуть бути менш обтяжливими, ніж здається? SPEAKER_2: Тому що вони замінюють невизначеність. Стара редакція залишала простір для тлумачення — і саме цей простір ставав полем для судових спорів. Нова чітко каже: ось стандарт, ось аудит, ось відповідальність. Для компанії, яка вже дотримується базових норм, це фактично легалізація того, що вона і так робила. SPEAKER_1: Добре. А чому з'явились пункти про негайне повідомлення про витік даних? Це ж нова концепція для більшості договорів. SPEAKER_2: Це пряма відповідь на зростання кібератак. Невідмовність — принцип, за яким жодна сторона не може відмовитись від власних дій у транзакціях — тепер поширюється і на інциденти безпеки. Якщо витік стався, мовчання вже є окремим порушенням. Строки повідомлення — як правило, від 24 до 72 годин. SPEAKER_1: І які санкції за порушення цих протоколів? SPEAKER_2: Двоступенева система. Перший рівень — фіксований штраф за сам факт порушення протоколу, незалежно від збитків. Другий — відшкодування прямих збитків, якщо витік призвів до реальних наслідків. Причому солідарна відповідальність, яку ми обговорювали раніше, тут теж може спрацювати — кредитор може вимагати повного відшкодування від будь-якої зі сторін. SPEAKER_1: А як щодо термінів зберігання інформації? Це теж змінилось? SPEAKER_2: Так. Стара редакція або взагалі не регулювала це питання, або давала розмиті формулювання. Нова встановлює конкретні строки — зазвичай від одного до п'яти років залежно від категорії даних — і зобов'язує знищити інформацію після їх спливу. Це важливо, бо зберігання зайвих даних само по собі стає ризиком і підставою для санкцій. SPEAKER_1: Тобто навіть якщо нічого не сталось, але дані зберігались довше — це вже порушення? SPEAKER_2: Саме так. І це логічно: власники конфіденційної інформації самостійно визначають режим доступу та систему захисту, але новий договір встановлює мінімальну планку, нижче якої опускатись не можна. Зберігання понад строк — це технічне порушення, навіть без злого умислу. SPEAKER_1: Якщо підсумувати для нашого слухача — що є найважливішим у цьому блоці? SPEAKER_2: Ключовий висновок такий: новий договір перетворює захист даних із декларації на вимірювану систему технічних стандартів. CIA-тріада, строки повідомлення, терміни зберігання, технічні стандарти — все це тепер не побажання, а умови з конкретними санкціями. Для Николая і будь-кого, хто тримає в руках такий договір, питання не в тому, чи є у них дані — питання в тому, чи відповідає їхня інфраструктура новим стандартам вже сьогодні.