За лаштунками штрафу у розмірі 10% від обороту: регулювання даних вже вийшло на рівень ради директорів

Питає AI · Як підвищення відповідальності ради директорів змінює ланцюг прийняття рішень щодо захисту даних?

10 березня 2026 року Південна Корея провела нову редакцію Закону про захист персональної інформації.

Ці зміни не є ізольованим регуляторним коригуванням, а відбуваються у дуже конкретному контексті — протягом останніх кількох років у Південній Кореї тривали масштабні витоки даних у сферах фінансів, телекомунікацій, електронної комерції та інших галузях, а рівень регуляторного контролю також зростав. У такому реальному тиску існуюча система, орієнтована на відповідність нормативам, все важче підтримує очікування регуляторів.

Саме у цьому контексті ця редакція закону демонструє дуже важливу зміну: вона не просто посилює контроль шляхом «додавання більшої кількості обов’язків», а починає коригувати більш глибоку проблему — як саме компанії ставляться до ризиків, пов’язаних із даними.

З одного боку, правила просуваються вперед. Вводячи механізм, за яким при досягненні законодавчо визначених стандартів ризику потрібно обов’язково повідомляти регуляторів і користувачів, відповідальність за відповідність вже не починається з «інциденту, що стався», а переноситься на етап ідентифікації ризиків; з іншого — відповідальність підвищується. Посилюючи відповідальність керівників компаній, вводячи штрафи до 10% від відповідного обороту, а також включаючи відповідальну особу за захист персональних даних до ради директорів для прийняття рішень і звітності, захист даних офіційно стає частиною системи корпоративного управління.

Якщо порівняти ці зміни із недавніми типовими кейсами регуляторних перевірок, то можна побачити не просто посилення контролю, а більш глибокий зсув — ядро уваги регуляторів тепер зосереджено не лише на тому, чи компанія вже дотримується правил, а на тому, чи є у компанії внутрішні процеси, які дозволяють оцінювати ризики даних і нести відповідальність за них.

Після внесення змін у законодавство в Південній Кореї трапилися кілька характерних випадків витоків даних. Наприклад, фінансові установи записували номери реєстрації мешканців у лог-файлах у відкритому вигляді, що призвело до витоку мільйонів записів; бренди зазнавали атак через слабкі механізми контролю доступу та автентифікації, що дозволяло зловмисникам отримати дані клієнтів; платформи — через відсутність базових заходів безпеки — зазнавали масштабних витоків.

На перший погляд, усі ці випадки мають спільний ярлик — «злочинна атака». Але якщо подивитися глибше, то проблема не в атаці сама по собі.

Справжня проблема полягає у тому, що компанії в ключових моментах бракують найпростіших навичок оцінки ризиків. Які дані потребують більш високого рівня захисту, у яких частинах систем є структурні вразливості, чи можна швидко виявити аномальну поведінку — ці питання мають вирішуватися у щоденних операціях, але у багатьох випадках вони залишаються без уваги.

Отже, ці кейси показують не просто окремі інциденти безпеки, а системний збій у здатності компаній ідентифікувати ризики, контролювати їх і реагувати на них.

З точки зору системного дизайну, найочевиднішою зміною є просування обов’язку повідомляти про інциденти вперед.

У більшості юрисдикцій базова логіка відповідності даним все ще зосереджена на реакції після події. Після витоку компанія має у визначений термін повідомити регуляторів і користувачів. Це класична модель реактивного реагування.

Зміни у Південній Кореї ж навмисне руйнують цю послідовність.

Згідно з новою статтею 34, якщо за певних умов ризик досягнув законодавчо визначеного рівня, компанія має почати повідомляти навіть без підтвердження факту витоку. Це означає, що компанії вже не можна відкладати рішення, посилаючись на «ще не сталося», — потрібно діяти на основі неповної інформації.

Крім того, повідомлення вже не обмежується простою інформацією про те, що сталося. Компанії потрібно чітко вказати, які юридичні дії можуть вжити користувачі — компенсацію збитків, законні способи відшкодування, механізми вирішення спорів тощо. Це перетворює повідомлення з інформаційної операції у юридично обґрунтовану відповідальну дію.

Однак, якщо сприймати цю зміну лише як просування обов’язку, вона лишається на поверхні. Глибше її суть у тому, що ця зміна змушує компанії розвивати здатність — у ситуаціях невизначеності — швидко робити оцінки ризиків.

Порівняно з просуванням обов’язків вперед, більш важливою є зміна у структурі відповідальності.

Ця редакція закону не передбачає безпосередніх штрафів або кримінальної відповідальності для власників або представників компаній, але через низку регуляторних механізмів відповідальність за захист даних чітко закріплена у системі корпоративного управління. Керівники або представники компаній вже не просто формулюються як абстрактні відповідальні особи, а мають нести реальну відповідальність через ресурси, політики та процеси щодо ефективності заходів безпеки. Включення відповідальної особи за захист персональних даних до системи прийняття рішень і звітності ради директорів означає, що її призначення, зміни і виконання мають постійно контролюватися на рівні управління.

За такої системи відповідальність за відповідність даним вже не може бути розглянута як функція окремого відділу або просто технічна задача. Обробка даних — це природна частина дизайну продуктів, технічної архітектури, операційних процесів, бізнес-рішень і зовнішніх партнерств. Ризики не концентруються в одному місці, а розподілені по всій системі — у вигляді ланцюга або системи.

Саме тому відповідальність за відповідність даним має бути не лише функцією юридичного або технічного відділу, а цілісною корпоративною задачею, яку потрібно координувати і підтримувати усіма зацікавленими сторонами.

Раніше багато компаній сприймали цю сферу як окрему функцію через недостатнє розуміння її важливості. Тому, коли обов’язки повідомлення були просунуті вперед, а ризики потрібно оцінювати у невизначеності, — це автоматично вказує на рівень управління, відповідальний за цю сферу.

10% штрафу — безумовно, найяскравіша частина цієї редакції. Але якщо зосередитися лише на більшій штрафній санкції, можна пропустити її справжню функцію.

Нові правила прив’язують високі штрафи до конкретних ситуацій, наприклад, повторних порушень, навмисних або грубих помилок, що спричинили масштабний витік даних, або повторних інцидентів без усунення причин. Водночас, передбачено, що при достатньому ресурсному забезпеченні (персонал, бюджет, технічні заходи) штраф може бути зменшений.

Це фактично вводить більш цілеспрямовану логіку оцінки — регулятор тепер не лише дивиться на результат, а й запитує: чи зробили компанії обґрунтовані оцінки ризиків і чи виділили відповідні ресурси для їхнього управління.

Ця логіка тісно пов’язана з попередніми змінами у структурі відповідальності. Штрафи перестають бути просто покаранням за результат, а стають інструментом стимулювання більш обґрунтованих рішень — хто прийняв рішення і на яких підставах.

Інакше кажучи, ціль штрафів тепер — не лише карати за наслідки, а й змушувати компанії відповідальніше ставитися до процесу прийняття рішень.

Якщо поглянути на всі ці зміни разом, то можна побачити глибший тренд.

Ця редакція закону не просто підвищує поріг відповідності, а змінює спосіб, у який компанії працюють із даними. Захист даних перестає бути лише формальністю, яку потрібно виконати, а стає постійною бізнес-задачею, що вимагає регулярної оцінки, ресурсного забезпечення та відповідальності.

Компанії тепер мають не лише дотримуватися правил, а й ухвалювати рішення у ситуаціях невизначеності, визначати, хто за них відповідає, і враховувати ризики у щоденних операціях. Це означає, що ризики даних стають частиною щоденного бізнес-процесу, а не лише реакцією на інциденти.

Отже, «хто несе відповідальність» — це не додаткове питання, а природний наслідок просування відповідальності вперед. Коли оцінка ризиків стає частиною щоденного управління, ця відповідальність автоматично переходить до керівництва, яке має ресурси і повноваження ухвалювати рішення.

Ця зміна має дуже практичний вплив на компанії, що працюють за межами країни.

Багато компаній — особливо ті, що працюють за кордоном — не мають системних внутрішніх механізмів, стабільних ресурсів і професійної підтримки. Вони розподіляють відповідальність між юридичним, технічним, продуктовим і безпековим відділами, реагуючи на інциденти у режимі «зараз і тут». Таке становище, можливо, ще й працювало раніше, але за нових правил воно стає дедалі менш життєздатним.

Зараз регулятор починає ставити питання не лише про «наявність системи» або «документи», а про здатність компанії швидко і правильно ідентифікувати ризики, ухвалювати рішення і координувати дії між відділами. Для більшості компаній, що працюють за кордоном, це не просто питання внутрішнього розвитку — це новий рівень компетентності.

Ключовий момент у тому, що проблема вже не у тому, чи компанія цінує цю сферу, а у тому, як вона може перетворити цю цінність у стабільну систему. Які ризики потрібно виявляти першими, які питання піднімати до керівництва, як забезпечити ефективну співпрацю між бізнесом, технікою і комплаєнсом, і як зберегти послідовність і зрозумілість оцінок у змінних умовах.

Практика показує, що швидко сформувати таку здатність можуть не всі, а ті, хто має більш зрілі системи управління і досвід, — шляхом системної перебудови існуючих структур, а не шляхом експериментів і «наосліп».

Отже, ця редакція не стільки вимагає від компаній «зробити щось», скільки ставить питання про здатність швидко і системно реагувати на ризики. Це — не просто питання відповідності, а питання управління ризиками у реальному часі.

Аналогічна тенденція проявляється і в Китаї. Впровадження інституту відповідальної особи за захист персональних даних спрямоване саме на концентрацію відповідальності і ресурсів у більш високих управлінських рівнях. Хоча конкретні механізми і назви можуть відрізнятися, логіка залишається схожою.

Для компаній ця редакція ставить дуже конкретне питання:

у ситуаціях, коли ризики ще не проявилися, а правила ще не повністю сформовані, — чи є у компанії люди, здатні швидко зробити оцінку і взяти на себе відповідальність за наслідки?

Якщо на це питання немає відповіді, то сама відповідність вже не є справжнім кордоном ризику. Реальний рівень ризику залежить від здатності ухвалювати рішення у невизначеності і від того, чи ці рішення знаходяться у правильному управлінському рівні.