Даже если ваш бизнес в Украине, вам нужно выполнять требования европейского законодательства по обработке персональных данных. Но есть нюансы, о которых нашей редакции рассказали GDPR адвокаты Stalirov&Co.
Почему компаниям из Украины нужно внедрять правила GDPR?
Регламент GDPR устанавливает правила по обработке персональных данных граждан ЕС. Если компания получает доступ к таким данным, ей нужно соответствовать европейским стандартам, несмотря на то, где она зарегистрирована и фактически находиться. Вот несколько примеров, когда бизнесу нужно провести GDPR анализ и разработать документы по обработке персональных данных.
- Интернет-магазин продает товары в страны Европейского Союза.
- Мобильное приложение доступно пользователям из ЕС.
- IT-компания оказывает услуги по разработке IT-продукта европейским заказчикам.
Какие документы нужны, чтобы выполнить требования GDPR?
Интернет-магазину нужно разработать политику конфиденциальности. Документ нужен, чтобы подключить платежную систему для интернет-платежей, использовать инструменты ремаркетинга и аналитики.
Мобильным приложениям нужна политика конфиденциальности, чтобы паблишить продукт в AppStore и Google Play.
Политика конфиденциальности должна включать:
- исчерпывающий список персональных данных, которые собираются и обрабатываются;
- описание целей сбора и обработки;
- список третьих лиц и сервисов, которым предоставляется доступ к данных;
- предупреждение об использовании Cookie;
- предупреждение о рассылке и рекламных кампаниях;
- описание мер безопасности;
- место и время хранения данных;
- права суб’єктов данных на доступ, исправление, дополнение и удаление личной информации.
Компания, которая публикует документ с неполной информацией по всем вышеперечисленным пунктам, может не пройти комплаенс с паблишером или получить штраф. Например, WhatsApp пришлось заплатить 225 млн евро за нарушения принципа прозрачности. После этого WhatsApp опубликовали новую политику, которая включает более подробную информацию о том, как компания собирает, хранит и использует данные клиентов, и когда удаляются.
Сервисным IT-компаниям нужно подписать Data protection agreement. Это GDPR договор по обработке персональных данных, заключение которого требуется статьей 28 регламента. Прежде чем начинать работу с украинской IT-компанией заказчик из ЕС должен убедиться и получить гарантии, что процессы обработки персональных данных безопасны. DPA является гарантией для заказчика.
Приведем пример. Киевская IT-компания планирует взять в работу проект по техническому обслуживаю ПО заказчика, который сдает в аренду электросамокаты в Париже. Чтобы отслеживать местоположение транспортного средства, ПО получает доступ к геоданным человека, который арендует самокат. Так как разработчики из Украины будут обрабатывать такие данные, заказчик и IT-компания должны подписать DPA. Поэтому задача GDPR юристов в Киеве проанализировать сможет ли IT-компания выполнить инструкции заказчика, которые описаны в DPA, внедрить организационные и технические меры, чтобы избежать нарушений и штрафов.
Контролирующие органы в Европе часто накладывают штрафы за отсутствие DPA или ошибки в его составлении. Например, в начале мая 2023 года хорватское коллекторское агентство получило штраф в 2 265 000 евро за то, что не подписало соглашение с одним из своих субподрядчиков. В марте 2023 года французская компания CITYSCOOT заплатили 125 000 евро за ошибки в составлении DPA.
Внимание контролирующих органов даже к минимальным нарушениям GDPR растет, а вместе с этим растут и штрафы. Поэтому каждому бизнесу, который выходит на рынок ЕС, важно провести GDPR аудит и убедиться, что обработка данных будет безопасной.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co
