Захист персональних даних: ризики для українських компаній

В умовах війни бізнес змушений шукати можливості продовжувати працювати. Для багатьох компаній такою можливістю стала релокація бізнесу за кордон. Однак, вирішуючи такі глобальні питання, як реєстрація компанії в іноземній юрисдикції, обрання системи оподаткування, працевлаштування спеціалістів, власники доволі часто забувають про суворість міжнародних норм в інших сферах, таких як сфера захисту персональних даних.

Наприклад, в Євроcоюзі з 2018 року діє дуже вибагливий Загальний регламент про захист даних (General Data Protection Regulation, GDPR), недотримання якого може мати наслідком серйозні штрафи. Про нього ми і поговоримо в цій статті.

Почнемо з того, що метою цього Регламенту є захист персональних даних фізичних осіб-громадян ЄС, а також фізичних осіб, які знаходяться на території Євросоюзу в момент збору та обробки їхніх персональних даних. Цілком логічно, що здійснюючі бізнес в Україні, ніхто не замислюється над дотриманням цих правил. А ті, хто колись і мав намір розібратися та впровадити GDPR, прочитавши кейси Google та Facebook, «повісили» собі на сайті політики та заспокоїлись. Однак, наразі релокований український бізнес все ж має серйозно замислитись над повноцінною адаптацією GDPR, адже діяльність в Європі без дотримання цих вимог є неможливою. Регламент буде застосовуватись автоматично до всіх компаній, які зареєстровані на території однієї з країн-членів ЄС, навіть якщо засновник компанії – громадянин України.

Але, насправді, неважливо чи зареєстрували ви компанію в Європі чи фактично здійснюєте там діяльність, яка тим чи іншим чином пов’язана з обробкою персональних даних громадян із ЄС. На кшталт, якщо ваші спеціалісти тимчасово виїхали в Європу, або тим паче, якщо ви найняли співробітників-громадян ЄС. Головний принцип GDPR його екстериторіальність, тому, якщо ваша компанія обробляє персональні дані резидентів з ЄС — потрібно імплементувати GDPR, незалежно від місцезнаходження вашої компанії.

Зверну особливу увагу сфери e-commerсе. Війна не могла не вплинути на економічну ситуацію в Україні, та й українські товари набули неабиякої популярності, тому підприємці шукають нові ринку збуту в Європі. Важливо, що якщо ви систематично пропонуєте товари/послуги особам, які знаходяться на території ЄС, тим паче пропонуєте доставку товару в ЄС та можливість оплати в євро (польських злотих, шведських кронах, інше) – адаптуйтесь до GDPR.

Ще один приклад застосування Регламенту, якщо ваша компанія здійснює моніторинг поведінки фізичних осіб, які знаходяться на території ЄС. Якщо ви маєте на сайті форму реєстрації, в якій громадяни ЄС залишають своє прізвище та ім’я, а ви цю інформацію збираєте, обробляєте, використовуєте — ви повинні дотримуватись GDPR.

Наостанок зазначу, що європейська компанія просто не буде з вами співпрацювати, не закріпивши ваше зобов’язання з дотримання GDPR.

Важливо відзначити в першу чергу те, що Регламент дещо змінив підхід до терміну «персональні дані фізичної особи», а саме – розширив це поняття. Наразі до «персональних даних» належить будь-яка інформація, за допомогою якої фізична особа ідентифікована чи може бути ідентифікована. І тут зверну увагу на словосполучення «може бути ідентифікована», адже до персональних даних GDPR відносить не тільки звичні нам ПІБ, ідентифікаційний код, номер телефону, дата народження, адреса, місце проживання, але й такі дані як IP адреса, метадані (cookies), імейл, аккаунт у соцмережі, фото, відео, звук. Якщо підсумувати, то це все те, що дозволяє визначити особу навіть з прихованим справжнім ім’ям.

Враховуючи таке широке поняття «персональних даних», не важко здогадатись, що GDPR висуває дуже суворі вимоги щодо роботи з цими персональними даними.

Принципи Регламенту наступні:

Lawfulness, fairness and transparency: дані повинні оброблятися тільки законно, прозоро та справедливо для суб’єкта (тобто, суб’єкт персональних даних повинен надати згоду на таку обробку і розуміти як і для чого будуть оброблятись його дані);

Purpose limitation: дані повинні збиратись тільки для конкретно визначених цілей, знову ж таки, ціль повинна бути доведена суб’єкта.

Data minimization: важливий принцип для тих, хто полюбляє збирати якомога більше «раптом знадобиться». Треба збирати саме стільки даних, скільки потрібно для досягнення заявленої цілі.

Аccuracy: дані повинні бути точними, підтримуватись в актуальному стані, неточні дані повинні бути видалені.

Storage limitation: строк зберігання повинен відповідати меті.

Integrity and confidentiality: компанія повинна забезпечувати захист персональних даних від несанкціонованої та незаконної обробки, пошкодження або знищення.

Окрему увагу Регламент приділяє обробці персональних даних неповнолітніх дітей, яка є неможливою без згоди батьків. Неповнолітніми дітьми для цілей GDPR є діти віком до 16 років, хоча GDPR дозволяє країнам-членам знизити цей мінімальний вік до 13 років.

Рішення регуляторних органів дозволяють також зробити висновки, що дуже велика кількість штрафів стосуються обробки чутливих даних, таких як дані про здоров’я, расове, етнічне чи національне походження, політичні, філософські та релігійні переконання, сексуальну орієнтацію, відомості про судимість. Ці дані повинні оброблятись з надзвичайною дбайливістю.

Це основні принципи, яких компанія повинна не тільки дотримуватись, але й бути готовою в будь-який момент продемонструвати їхнє дотримання. Фізична особа, персональні дані якої були зібрані вашою компанією, будь-коли може надіслати запит з метою отримання доступу до цих даних, отримання інформації про те, як вони зберігаються, запитом на видалення цих даних. І ваша компанія повинна бути готовою. Якщо компанія не зможе надати належну відповідь на такий запит, фізична особа може звернутися до контролюючого органу, який і застосує до компанії штрафні санкції. Які саме – поговоримо далі.

Релокейт та адаптація вашого бізнесу в Європі вимагають імплементації вимог General Data Protection Regulation. Контролюючі органи не будуть робити винятки у разі виявлення порушень, безкарності за порушення у сфері приватності не буде. Процес впровадження GDPR compliance є серйозним та комплексним кроком, без якого реалізація ваших бізнес планів, орієнтованих на ринок ЄС буде неможливою.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы