м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Практика обробки персональних даних в Європі та Україні

Практика обробки персональних даних в Європі та Україні
07.11.19

GDPR - регламент захисту персональних даних, який залучений у 28 країнах Європейського союзу. Система введена у 2018 році та є стандартом на ринку IT-індустрії. У GDPR увага приділяється екстериторіальності, тобто правила поширюються не тільки на території ЄС, а й за його межами, для міжнародних компаній, які обслуговують споживачів в ЄС.

З прийняттям GDPR таким компаніям як Facebook, Instagram, Apple, Amazon, WhatsApp і Google довелося оновити політику використання даних користувачів. Конфіденційність і свобода вибору — основа GDPR, яка скасувала примусову згоду. За 12 місяців дії GDPR застосовано 91 штраф, отримано 60 000 повідомлень про порушення обробки персональних даних.

 

Хвиля штрафних санкцій

Не всі світові компанії зуміли вчасно відреагувати на зміни законодавства і отримали штрафи в десятки мільйонів євро. За інформацією новинного сайту, Google News, наведемо приклади найбільш резонансних випадків за 2019 рік.

  • Google, порушення законодавства ЄС, не донесення до користувачів інформації про збір та обробку персональних даних. Винесено штраф в розмірі 50 млн євро.
  • British Airways, авіакомпанія, витік даних 500 тисяч клієнтів, штраф 204 млн євро.
  • Marriott, мережа готелів у Великобританії, витік даних 339 млн гостей, виставлений штраф 110 млн євро.
  • Facebook, порушення приватності у справі Cambridge Analytics, штраф 5 млрд євро.

 

Що змінилося після впровадження GDPR:

1. Права користувачів

Європейські користувачі можуть безперешкодно отримувати інформацію про факт обробки даних, місце та цілі проведення операції. Можуть вимагати інформацію про те, кому буде передана персональна інформація, в який термін оброблена, а також попросити внести зміни або припинити обробку даних. Право на видалення інформації дається кожному користувачеві, для недопущення передачі її третім особам.

2. Політика соціальних мереж

Нова політика спрямована на отримання дозволу користувачів соціальної мережі. Перевірка і збір інформації з особистих сторінок, а також рекламодавців, проводиться тільки з дозволу. Технологія розпізнавання осіб у Facebook буде добровільною. Facebook мотивував цю функцію як захист від несанкціонованого доступу інших осіб.

3. Сервіси аналітики

Сервіси аналітики відвідування веб-сайтів, будуть обмежувати період зберігання інформації. Google Analytics почне видаляти дані, яким понад 26 місяців. При цьому, користувач може самостійно змінити терміни зберігання інформації на 14/26/38/50 місяців.

 

Ситуація в Україні

За 18 місяців дії GDPR українські компанії не отримували штрафів за недотримання європейського регламенту. Але не варто сприймати це поверхнево, компанії які планують розширюватися і працювати на європейському ринку, потребують аудитів, щоб зрозуміти, чи підпадає їх бізнес під вимоги GDPR. Які ризики існують якщо порушити регламент і хто повинен контролювати дотримання норм.

 

Розглянемо, як впливає регламент GDPR на діяльність української компанії:

Компанія спеціалізується на продажу товарів в онлайн-режимі, для покупців з Європи. Користувачеві, наприклад, з Німеччини доступні товари на українському сайті через домен верхнього рівня країни «.de». Інтернет-ресурс переведений на національну мову користувача із зазначенням національної валюти. Важливо врахувати, що українська компанія не виконує ніяких дій на території ЄС.

  • З прикладу вище випливає висновок, що компанія з України зобов'язується виконувати правила GDPR, тому, що її діяльність спрямована на користувачів з ЄС. У разі порушення обробки персональних даних компанія зобов'язується повідомити уповноважені органи про даний факт протягом 3 днів.

 

Перелік основних документів для регламенту GDPR

  • Privacy Policy - політика нерозголошення, повідомляє користувача про факт обробки даних. Компанія запрошує право на подальше використання необхідної інформації.
  • Terms of Use - публічна оферта, угода між сервісом/сайтом/додатком і користувачем. Врегулює питання авторських прав, прав і обов'язків сторін, подачі скарг.
  • Cookies - договір згоди, отримання дозволу на обробку персональних даних користувача: ім'я, прізвище, IP адреса, номер телефону, електронна пошта.
  • Controller/Processor Agreement Policy - договір між компанією і суб'єктами, які здійснюють обробку персональних даних.
Останні статті
Захист доменного імені. 3 основних способи | STALIROV&CO‎
Нова стаття
18.11.20
Захист доменного імені. 3 основних способи | STALIROV&CO‎
Питання - як захистити права на домен? Вибір стратегії залежить від виду спору і способу захисту. Важливо, які вимоги пред'явлені і яка інституція розгляне спір. З цими питаннями розберемося далі.
Читати статтю
Політика конфіденційності - MustHave для Вашого сайту або непотрібна формальність
Нова стаття
27.09.20
Політика конфіденційності - MustHave для Вашого сайту або непотрібна формальність
Політика конфіденційності. Як скласти політику конфіденційності для сайту
Читати статтю
Договір про надання ІТ-послуг - MSA, NDA, NCA
Нова стаття
14.08.20
Договір про надання ІТ-послуг - MSA, NDA, NCA
Часто в процесі роботи виникають питання, про які замовнику та виконавцю варто домовитися перед початком співпраці.
Читати статтю
Слідкуйте за останніми новинами
Передзвоніть мені
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK