Як тільки бізнес виходить на європейський ринок, на нього поширюється регламент GDPR. Це правила збору та обробки персональних даних громадян Європейського Союзу, дотримання яких підвищує рівень захисту таких відомостей. Про що цей закон, слід розуміти не лише європейським компаніям, але і тим, хто продає товари та надає послуги для резидентів Євросоюзу. Наприклад, інтернет-магазинам, які продають товари в європейських державах, українським банкам, що відкривають рахунки громадянам ЄС та розробникам мобільних додатків, які доступні в європейських державах. Детальніше про те, як діє GDPR в Україні та як виконати вимоги GDPR, IT-юристи розповіли у цій статі.
Які дані захищає GDPR?
GDPR (General Data Protection Regulation) — це 99 статей, які гарантують захист даних громадян Євросоюзу та призначені для компаній та організацій, що займаються збором та обробкою персональної інформації.
Під терміном персональні дані GDPR має на увазі відомості, які ідентифікують особистість, такі як ПІП, електронна пошта, номер телефону, паспортні дані, а також відомості, зібрані автоматично: геолокація, IP-адреса, веб-браузер та тип пристрою. До них належать пошукові запити, відомості про відвідування сайтів та публікації у соцмережах.
Які компанії повинні запровадити GDPR?
GDPR поширюються на всі компанії, інтернет-сайти, комерційні та некомерційні організації, що обробляють особисту інформацію громадян Євросоюзу, незалежно від місцезнаходження та проживання. Навіть якщо у компанії немає представництва або філії в Європі, вона повинна запровадити юридичні, організаційні та технічні заходи для захисту персональних даних.
В Україні до таких організацій належать:
- Софтверні компанії, що продають програмні продукти замовникам з Європи.
- Компанії-субпідрядники у сфері обслуговування європейських комп’ютерних систем та баз даних.
- Продуктові IT-компанії, зокрема, розробники мобільних додатків та ігор.
- Комерційні організації, що обслуговують громадян ЄС: готелі, ресторанні комплекси та туристичні компанії.
- Фінансові організації, які обслуговують громадян ЄС: банки, венчурні фонди, валютні біржі.
- Клініки, медцентри та лабораторії.
- Логістичні та транспортні компанії, що надають послуги резидентам ЄС та інші типи компаній.
Пунктом 24 Преамбули GDPR визначені ознаки, за якими можна встановити існування наміру надавати послуги громадянам ЄС, серед них:
- Використання мови (для замовлення) та грошової одиниці держави-члена ЄС.
- Згадування споживачів, які перебувають в ЄС (стаття 23 Преамбули GDPR).
- Обробка конфіденційної інформації осіб, що перебувають в ЄС, якщо це пов’язано з моніторингом користувачів, що діють в ЄС.
У статті 13 Преамбули Регламенту GDPR закріплено пункт, який зобов’язує компанії наймати Data Protection Officer. Це внутрішній співробітник, який відповідає за запровадження заходів безпеки та моніторинг діяльності компанії на предмет відповідності вимогам регламенту. Компанія зобов’язана найняти DPO, якщо проводить регулярний, систематичний моніторинг даних у великому об’ємі або збирає особливі категорії персональних даних.
Наведемо приклад. Українська E-commerce компанія продає товари покупцям з держав колишнього СНД та Європи. Інтернет-магазин здійснює міжнародну доставку, інформація на вебресурсі розміщена 4 мовами, товар можна оплатити карткою у обраній користувачем валюті. Фактично компанія розміщена за межами території ЄС, але її клієнти мають європейське громадянство, тому такий бізнес потрапляє під дію GDPR та зобов’язаний дотримуватися правил збору та обробки інформації. Крім цього, така компанія проводить систематичний моніторинг даних у великому об’ємі, а отже, повинна найняти DPO.
Принципи GDPR
Регламент із захисту персональних даних GDPR ґрунтується на 6 принципах, закріплених в статті 5 Регламенту.
1. Законність та прозорість
Бізнес збирає особисту інформацію клієнтів на законних підставах та публічно повідомляє про це за допомогою Політики Конфіденційності (Privacy Policy). Інформація про процеси збору, обробки та зберігання даних повинна бути повною та легкодоступною.
2. Конкретні цілі
Організація пояснює з якою метою збирається інформація, як зібрані дані будуть використовуватися в подальшому. Цілі повинні бути конкретними та пов’язаними з наданням послуг або продажем товарів.
3. Мінімум відомостей
Збір та обробка персональних даних проводиться тільки для комерційної діяльності та заявлених цілей компанії. Бізнес повинен збирати мінімум необхідних даних.
4. Точні та оновлені дані
Принцип гарантує правдивість даних. Компанія забезпечує видалення та виправлення некоректної інформації.
5. Обмежені строки зберігання
Тривалість зберігання інформації відповідає часу виконання задачі. Як тільки мета досягнута, інформація підлягає видаленню.
6. Конфіденційність та безпека
Компанія захищає дані від незаконної обробки та випадкової втрати. Якщо відбувся витік, клієнта повідомляють про це у 3-денний строк.
Як реалізувати принципи, які юридичні, організаційні та технічні заходи безпеки для цього слід запровадити, IT-юристи розповіли у статті про GDPR Compliance.
Порядок передачі даних до третіх держав
Україна не входить до Європейської економічної зони, а отже вважається третьою державою, передача даних до якої здійснюється за особливими правилами з підвищеним рівнем вимог. Для передачі даних за межі ЄС потрібно:
- Забезпечити законні підстави для передачі. Передача персональних даних в Україну повинна ґрунтуватися на законних підставах, як вказано у статті 6 GDPR, наприклад для виконання зобов’язань або договору.
- Забезпечити ефективні заходи безпеки. При передачі персональних даних в державу за межами ЄС/ЄЕЗ, наприклад, в Україну, європейська компанія повинна забезпечити наявність відповідних заходів безпеки для захисту даних. Для цього підписують Data protection agreement з кінцевими отримувачами інформації.
- Компанія з ЄС, яка передає дані в Україну, повинна отримати чітку та однозначну згоду суб’єкта даних та забезпечити дотримання його прав, таких як право доступу до своїх особистих даних та право на їх видалення.
Що буде, якщо порушити правила GDPR?
За недотримання GDPR компанія може отримати штраф, сума якого залежить від завданих збитків, кількості потерпілих, ступеню винуватості компанії. Окремо розглядається питання умислу або необережності. Так, максимальний штраф розміром 746 млн євро було накладено на найбільшу у світі платформу електронної комерції Amazon за використання персональних даних користувачів для проведення рекламних кампаній без їх згоди.
Рекомендації IT-юристів
Щоб дотримуватися правил використання персональних даних громадян Євросоюзу, компанія повинна виконати наступні умови GDPR для України.
1. Відкрито заявляйте про інформацію, яку збираєте та обробляєте.
2. Збирайте дані з особистої згоди користувачів. Якщо мета або способи збору інформації змінюються, повідомляйте користувачів про це.
3. Збирайте відомості лише з метою взаємодії та надання запитуваних послуг.
4. Не запитуйте додаткової інформації, яку не потребуєте для ідентифікації.
5. Зберігайте інформацію протягом певного строку, наприклад протягом використання клієнтом сервісів компанії.
6. Не влаштовуйте «холодних» розсилок та не купуйте бази e-mail адрес.
7. Надавайте можливість відписатися від розсилок та інших типів сповіщень.
8. Гарантуйте збереження інформації.
9. Не передавайте відомості третім особам без дозволу або повідомлення про це суб’єктів даних.
10. Забезпечте юридичну базу для збору та обробки персональних даних: Політика конфіденційності, Data protection agreement, внутрішні політики та інструкції компанії з обробки персональних даних. Регулярно оновлюйте документи, щоб у користувачів була актуальна інформація.
11. Найміть Data protection officer, щоб запровадити ефективні організаційні та технічні заходи безпеки.
Виконання цих вимог забезпечить дотримання принципів GDPR, законну та чесну роботу, гарантує конфіденційність та безпеку клієнту, а також відсутність штрафів для компанії.