м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

GDPR: що це та кому доведеться впровадити

З 25 травня 2018 року в ЄС діє General Data Protection Regulation – документ з обробки персональних даних фізичних осіб. Компаніям, які займаються збором та обробкою персональної інформації, слід запровадити вимоги GDPR. Що це таке та які особливості – розповідаємо у матеріалі.

 

Що таке GDPR?

GDPR – це збірник правил щодо збору та обробки особистої інформації користувачів інтернету – фізичних осіб. Регламент називає їх суб'єктами даних.

  • Ціль GDPR – повернути контроль громадянам над персональними даними/
  • Регламент GDPR передбачає роботу з інформацією, яку користувачі надали веб-ресурсу:

- ПІБ, e-mail, телефон, підлога

- IP-адреса, з якої здійснено вхід на ресурс, місцезнаходження

 

Регламент передбачає запровадження нових понять:

  • контролери - організації, які збирають особисту інформацію;
  • процесори – організації, які проводять обробку даних.

 

Персональні дані використовуються лише з метою, про яку спочатку повідомляють, і не передаються третім особам. Час зберігання інформації зводиться до мінімуму. Користувач попереджений про збирання та погоджується з наданням інформації.

 

Що таке персональні дані?

Персональні дані – це відомості, які ідентифікують особу. До них відносяться ПІБ, електронна пошта, номер телефону, паспортні дані, сімейний стан, професія, банківські реквізити, а також дані про геолокацію користувача, пристрій, ОС, Cookies (метадані).

Також пошукові запити, відомості про відвідувані сайти та публікації у соцмережах.

 

Кому потрібно впроваджувати GDPR?

Впровадження GDPR знадобиться:

  • компаніям, у яких відкриті постійні чи тимчасові представництва у ЄС;
  • компаніям, які отримують та зберігають особисту інформацію користувачів з ЄС;
  • компаніям, які працюють з організаціями, які вже запровадили GDPR.

Навіть якщо ви ведете бізнес в Україні, але збираєте та обробляєте дані громадян ЄС, вам доведеться запровадити GDPR. Це і є специфіка регламенту.

 

Наприклад, наш клієнт створив онлайн-платформу для нетворкінгу фрілансерів по всьому світу. Щоб збирати та зберігати інформацію про користувачів, налаштувати таргетовану рекламу та підключати сервіси аналітики, юристи розробили політику конфіденційності.

 

Власник бізнесу бере на себе відповідальність за безпеку даних, коли:

  • веде бізнес у ЄС: продає товари чи надає послуги;
  • наймає співробітників із ЄС;
  • отримує доступ до даних замовника із ЄС. Наприклад, банки, медичні установи та страхові компанії надають доступ IT-фахівцям до персональної інформації своїх клієнтів на час розробки IT-продуктів.
  • збирає дані користувачів з ЄС через ПЗ: мобільні програми, ігри, SaaS рішення, інтернет-магазини та маркетплейси.

 

Принципи застосування GDPR

  1. Законність та прозорість – персональна інформація може бути отримана лише законним шляхом.
  2. Обмеження мети – користувачеві повідомляють про збирання інформації, і вона не може бути використана для інших цілей.
  3. Мінімізація – не допускається збирання більшого масиву інформації, ніж цього потребує мета.
  4. Точність – некоректні дані видаляються чи виправляються.
  5. Обмеження терміну зберігання – інформацію заборонено зберігати довше, ніж потрібно для обробки.
  6. Конфіденційність та цілісність – захист особистих даних користувачів від витоку, втрати, передачі третім особам, розкриття.
  7. Підзвітність – контролер відповідає за дотримання норм GDPR.

 

Права користувача

Відповідно до GDPR, користувач має право знати, з якою метою збирають его особисті дані. Він може виправити, очистити, заблокувати обробку персональної інформації. Наприклад, корпорація Google заплатила штраф у 7 000 000 USD за те, що не видалила особисту інформацію з результатів пошуку на вимогу користувачів. Таке рішення ухвалив Шведський орган із захисту даних.

 

Як обробляти дані згідно GDPR

Компанії, які впроваджують правила GDPR, зобов'язані скоригувати політику збору та обробки персональних даних. На сайти впроваджується форма згоди користувача зі збиранням інформації. Якщо він не надає згоди – використовувати її заборонено. Умови та мета збору прописується в угоді з користувачем. Отримана інформація та платіжні дані зберігаються в особистому обліковому записі та шифруються платіжним сервісом.

 

Наслідки невиконання регламенту

Невиконання норм GDPR спричиняє серйозні штрафи для компаній – до 20 млн євро або 4% річного обороту бізнесу.

Міжнародна юридична фірма DLA Piper опублікувала дослідження за період з 26 січня 2020 року до 27 січня 2021 року. Штрафи по GDPR зросли на 40% і за рік склали 158,5 млн USD. Органи захисту даних зареєстрували 121 165 повідомлень про злам даних. Це на 19% більше, ніж за попередній рік.

 

Gdpr compliance

Перш ніж виводити продукт на ринок ЄС, необхідно провести аудит алгоритмів роботи з даними та розробити документи за вимогами GDPR.

 

Якщо ваша компанія розробляє програмне забезпечення для іноземного замовника, перед початком роботи він може надіслати GDPR-опитувальник. Це стандартна процедура, за допомогою якої клієнт переконається, чи виконуєте ви регламент. У вас буде час, щоб упорядкувати документи або розробити відсутні. Наприклад, інструкції та політики для працівників щодо поводження з персональними даними. Також Data Processing Agreement, де сторони договору беруть на себе відповідальність за безпеку даних.

 

Замість висновку

Після скандалів з Cambridge Analytica, поява регламенту GDPR очікуване та логічне явище. Про приклади застосування санкцій GDPR до європейських компаній ми розповімо у наступних матеріалах. Для IT-компаній, які працюють зі споживачами в ЄС, правила регламенту є обов'язковими. GDPR комплаєнс підніме рівень довіри до вашої компанії та дозволить працювати з європейськими партнерами у їхньому правовому полі.

 

 

 

Останні статті
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
Нова стаття
16.06.22
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
Если вы также собираетесь организовать релокейт в Польшу, статья для вас. IT-юристы рассказывают как выйти на европейский рынок, зарегистрировать компанию, перевести и оформить команду.
Читати статтю
Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co
Нова стаття
01.06.22
Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co
Політика конфіденційності. Як скласти політику конфіденційності для сайту
Читати статтю
Інструкція для IT-компаній зі складання гіг-контрактів
Нова стаття
31.05.22
Інструкція для IT-компаній зі складання гіг-контрактів
Розповідаємо про плюси і мінуси гіг-контракту, і чим він відрізняється від договору з ФОП.
Читати статтю
Слідкуйте за останніми новинами
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK