г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Правила GDPR: как украинским компаниям обрабатывать персональные данные граждан ЕС

Как только бизнес выходит на европейский рынок, на него распространяется регламент GDPR. Это правила сбора и обработки персональных данных граждан Европейского союза, выполнение которых повышает уровень защиты таких сведений. Что это за закон, нужно понимать не только европейским компаниям, но и тем, кто продает товары и предоставляет услуги для резидентов Евросоюза. Например, интернет-магазинам, которые продают товар в европейских странах, украинским банкам, которые открывают счета гражданам ЕС и разработчикам мобильных приложений, которые доступны в европейских странах. Подробнее о том, как действует GDPR в Украине и как выполнить требования GDPR, IT-юристы рассказали в этой статье.

 

Какие данные защищает GDPR?

GDPR (General Data Protection Regulation) — это 99 статей, которые гарантируют защиту данных граждан Евросоюза и предназначены для компаний и организаций, которые занимаются сбором и обработкой персональной информации.

Под термином персональные данные GDPR подразумевает сведения, которые идентифицируют личность, такие как ФИО, электронная почта, номер телефона, паспортные данные, а также сведения, собранные автоматически: геолокация, IP-адрес, веб-браузер и тип устройства. К ним относятся  поисковые запросы, сведения о посещенных сайтах и публикациях в соцсетях.

 

Какие компании должны внедрить GDPR?

GDPR распространяются на все компании, интернет-сайты, коммерческие и некоммерческие организации, которые обрабатывают личную информацию граждан Евросоюза, вне зависимости от места нахождения и проживания. Даже если у компании нет представительства или филиала в Европе, она должна внедрить юридические, организационные и технические меры по защите персональных данных. 

В Украине к таким организациям относятся:

  • Софтверные компании, продающие программные продукты заказчикам из Европы.
  • Компании-субподрядчики в обслуживании европейских компьютерных систем и баз данных.
  • Продуктовые IT-компании, в том числе разработчики мобильных приложений и игр.
  • Маркетплейсы и интернет-магазины.
  • Коммерческие организации, обслуживающие граждан ЕС: гостиницы, ресторанные комплексы и туристические компании. 
  • Финансовые организации, обслуживающие граждан ЕС: банки, венчурные фонды, валютные биржи.
  • Клиники, медцентры и лаборатории. 
  • Логистические и транспортные компании оказывающие услуги резидентам ЕС и другие типы компаний. 

 

Пунктом 24 Преамбулы GDPR определены признаки, по которым можно установить намерение предоставлять услуги гражданам ЕС, среди них:

  1. Использование языка (для заказа) и денежной единицы государства-члена ЕС.
  2. Упоминание потребителей, которые находятся в ЕС (статья 23 Преамбулы GDPR). 
  3. Обработка конфиденциальной информации лиц, пребывающих в ЕС, если это связано с мониторингом пользователей, совершающих действия в ЕС. 

 

В статье 13 Преамбулы Регламента GDPR закреплен пункт, который обязывает компании нанимать Data Protection Officer. Это внутренний сотрудник, который отвечает за внедрение мер безопасности и мониторинг деятельности компании на предмет соответствия требованиям регламента. Компания обязана нанять DPO, если проводит регулярный, систематический мониторинг данных в большом объеме или собирает особые категории персональных данных.

Приведем пример. Украинская E-commerce компания продает товары покупателям из стран бывшего СНГ и Европы. Интернет-магазин осуществляет международную доставку, информация на веб-ресурсе размещена на 4 языках, товар можно оплатить картой в выбранной пользователем валюте. Фактически компания находится за пределами территории ЕС, но ее клиенты имеют европейское гражданство, поэтому, такой бизнес подпадает под действие GDPR и обязан придерживаться правил сбора и обработки информации. Кроме этого, такая компания проводит систематический мониторинг данных в большом объеме, а значит должна нанять DPO.

 

Принципы GDPR

Регламент по защите персональных данных GDPR основан на 6 принципах, закрепленных в статье 5 Регламента.

1. Законность и прозрачность

Бизнес собирает личную информацию клиентов на законных основаниях и публично уведомляет об этом с помощью Политики конфиденциальности (Privacy Policy). Информация о процессах сбора, обработки и хранения данных должна быть полной и легкодоступной.

2. Конкретные цели 

Организация объясняет с какой целью собирается информация, как собранные сведения будут использоваться в дальнейшем.  Цели должны быть конкретными и связанными с предоставлением услуг или продажей товаров.

3. Минимум сведений 

Сбор и обработка персональных данных производится только для коммерческой деятельности и заявленных целей компании. Бизнес должен собирать минимум необходимых данных. 

4. Точные и обновленные данные

Принцип гарантирует правдивость данных. Компания обеспечивает удаление и исправление некорректной информации. 

5. Ограниченные сроки хранения

Продолжительность хранения информации соответствует времени выполнения задачи. Как только цель достигнута, информация удаляется. 

6. Конфиденциальность и безопасность

Компания защищает данные от незаконной обработки и случайной потери. Если произошла утечка, клиент уведомляется об этом в 3-дневный срок.

Как реализовать принципы, какие юридические, организационные и технические меры безопасности для этого нужно внедрить, IT-юристы рассказали в статье о GDPR Compliance.  

 

Порядок передачи данных в третьи страны

Украина не входит в Европейскую экономическую зону, а значит считается третьей страной, передача данных в которую проводится по особенным правилам с повышенным уровнем требований.  Для передачи данных за пределы ЕС нужно:

  1. Обеспечить законное основание для передачи. Передача персональных данных в Украину должна основываться на законном основании, как указано в статье 6 GDPR, например для выполнения обязательств или договора.
  2. Обеспечить эффективные меры безопасности. При передаче персональных данных в страну за пределами ЕС/ЕЭЗ, например, в Украину, европейская компания должна обеспечить наличие соответствующих мер безопасности для защиты данных. Для этого подписывают Data protection agreement с конечными получателями информации.
  3. Компания из ЕС, которая передает данные в Украину, должна получить четкое и недвусмысленное согласие субъекта данных и обеспечить соблюдение его прав, таких как право  доступа к своим личным данным и право на их удаление. 

 

Что будет, если нарушить правила GDPR?

За несоблюдение GDPR компания может получить штраф, сумма которого зависит от нанесенного ущерба, числа пострадавших, степени виновности компании. Отдельно рассматривается вопрос умышленности или неосторожности. Так, самый большой штраф в 746 млн евро был наложен на крупнейшую в мире платформу электронной коммерции Amazon за использование персональных данных пользователей для проведения рекламных кампаний без их согласия. 

 

Рекомендации IT-юристов

Чтобы соблюдать правила использования персональных данных граждан Евросоюза, компания должна выполнить следующие условия GDPR для Украины.

1. Открыто заявляйте об информации, которую собираете и обрабатываете.

2. Собирайте сведения по личному согласию пользователей. Если цели или способы сбора информации меняются, уведомляйте пользователей об этом.

3. Собирайте данные только с целью взаимодействия и предоставления запрашиваемых услуг.

4. Не запрашивайте дополнительную информацию, которая не требуется для идентификации.

5. Храните информацию определенный срок, например на протяжении использования клиентом сервисов компании.

6. Не устраивайте «холодных» рассылок и не приобретайте базы e-mail адресов.

7. Предоставляйте возможность отписаться от рассылок и других типов оповещений.

8. Гарантируйте сохранность информации. 

9. Не передавайте сведения третьим лицам без разрешения или уведомления об этом субъектов данных.

10. Обеспечьте юридическую базу для сбора и обработки персональных данных: Политика конфиденциальности, Data protection agreement, внутренние политики и инструкции компании по обработке персональных данных. Регулярно обновляйте документы, чтобы у пользователей была актуальная информация.

11. Наймите Data protection officer, чтобы внедрить эффективные организационные и технические меры безопасности.

Выполнение этих требований обеспечивает соблюдение принципов GDPR, законную и честную работу, гарантирует конфиденциальность и безопасность клиенту, а также обеспечит отсутствие штрафов для компании.

Меню статьи
Статьи со схожей тематикой

Публикации в СМИ со схожей тематикой

31.08.2023
Почему прежде чем паблишить игру важно провести GDPR аудит?
IT-юристы рассказали как составить Политику конфиденциальности, чтобы избежать штрафов
Перейти к источнику
04.04.2023
Когда IT-компании нужен GDPR аудит?
IT-юристы объяснили в чем заключается GDPR аудит, когда он нужен и как провести GDPR анализ
Перейти к источнику
23.02.2023
Аудит GDPR для веб-сервисов: опыт GDPR адвоката
GDPR адвоката рассказал о пунктах, которые должны быть в Политике конфиденциальности веб-сервисов
Перейти к источнику
22.06.2022
GDPR Compliance от Zoom: история факапов
С какими проблемами безопасности столкнулись Zoom, и как исправляли ошибки
Перейти к источнику
24.12.2021
Когда действует GDPR в Украине?
Действие правил регламента по защите персональных данных распространяется на украинские компании в 3-х случаях. О них рассказываем в статье.
Перейти к источнику

Последние статьи

Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
18.09.23
Что такое КИК, какую отчетность нужно подавать и какие налоги платить - рассказываем в статье
Читать статью

Кейсы по теме статьи

Все кейсы
Для полноценной работы веб-сайта и улучшения предоставления услуг мы используем анонимные данные, предоставленные файлами Cookies!
ОК
Перезвоните мне IT-юрист свяжется с вами
для обсуждения деталей
Запрос на расчет услуги IT-юрист свяжется с вами
для обсуждения деталей
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK