м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Правила GDPR: як українським компаніям обробляти персональні дані громадян ЄС

Як тільки бізнес виходить на європейський ринок, на нього поширюється регламент GDPR. Це правила збору та обробки персональних даних громадян Європейського Союзу, дотримання яких підвищує рівень захисту таких відомостей. Про що цей закон, слід розуміти не лише європейським компаніям, але і тим, хто продає товари та надає послуги для резидентів Євросоюзу. Наприклад, інтернет-магазинам, які продають товари в європейських державах, українським банкам, що відкривають рахунки громадянам ЄС та розробникам мобільних додатків, які доступні в європейських державах. Детальніше про те, як діє GDPR в Україні та як виконати вимоги GDPR, IT-юристи розповіли у цій статі.

 

Які дані захищає GDPR?

GDPR (General Data Protection Regulation) — це 99 статей, які гарантують захист даних громадян Євросоюзу та призначені для компаній та організацій, що займаються збором та обробкою персональної інформації.

Під терміном персональні дані GDPR має на увазі відомості, які ідентифікують особистість, такі як ПІП, електронна пошта, номер телефону, паспортні дані, а також відомості, зібрані автоматично: геолокація, IP-адреса, веб-браузер та тип пристрою. До них належать пошукові запити, відомості про відвідування сайтів та публікації у соцмережах. 

 

Які компанії повинні запровадити GDPR?

GDPR поширюються на всі компанії, інтернет-сайти, комерційні та некомерційні організації, що обробляють особисту інформацію громадян Євросоюзу, незалежно від місцезнаходження та проживання. Навіть якщо у компанії немає представництва або філії  в Європі, вона повинна запровадити юридичні, організаційні та технічні заходи для захисту персональних даних.

В Україні до таких організацій належать:

  • Софтверні компанії, що продають програмні продукти замовникам з Європи.
  • Компанії-субпідрядники у сфері обслуговування європейських комп’ютерних систем та баз даних.
  • Продуктові IT-компанії, зокрема, розробники мобільних додатків та ігор.
  • Комерційні організації, що обслуговують громадян ЄС: готелі, ресторанні комплекси та туристичні компанії.
  • Фінансові організації, які обслуговують громадян ЄС: банки, венчурні фонди, валютні біржі.
  • Клініки, медцентри та лабораторії.
  • Логістичні та транспортні компанії, що надають послуги резидентам ЄС та інші типи компаній. 

 

Пунктом 24 Преамбули GDPR визначені ознаки, за якими можна встановити існування наміру надавати послуги громадянам ЄС, серед них:

  1. Використання мови (для замовлення) та грошової одиниці держави-члена ЄС.
  2. Згадування споживачів, які перебувають в ЄС (стаття 23 Преамбули GDPR). 
  3. Обробка конфіденційної інформації осіб, що перебувають в ЄС, якщо це пов’язано з моніторингом користувачів, що діють в ЄС. 

 

У статті 13 Преамбули Регламенту GDPR закріплено пункт, який зобов’язує компанії наймати Data Protection Officer. Це внутрішній співробітник, який відповідає за запровадження заходів безпеки та моніторинг діяльності компанії на предмет відповідності вимогам регламенту. Компанія зобов’язана найняти DPO, якщо проводить регулярний, систематичний моніторинг даних у великому об’ємі або збирає особливі категорії персональних даних. 

Наведемо приклад. Українська E-commerce компанія продає товари покупцям з держав колишнього СНД та Європи. Інтернет-магазин здійснює міжнародну доставку, інформація на вебресурсі розміщена 4 мовами, товар можна оплатити карткою у обраній користувачем валюті.  Фактично компанія розміщена за межами території ЄС, але її клієнти мають європейське громадянство, тому такий бізнес потрапляє під дію GDPR та зобов’язаний дотримуватися правил збору та обробки інформації. Крім цього, така компанія проводить систематичний моніторинг даних у великому об’ємі, а отже, повинна найняти DPO.

 

Принципи GDPR

Регламент із захисту персональних даних GDPR ґрунтується на 6 принципах, закріплених в статті 5 Регламенту. 

1. Законність та прозорість

Бізнес збирає особисту інформацію клієнтів на законних підставах та публічно повідомляє про це за допомогою Політики Конфіденційності (Privacy Policy). Інформація про процеси збору, обробки та зберігання даних повинна бути повною та легкодоступною.

2. Конкретні цілі 

Організація пояснює з якою метою збирається інформація, як зібрані дані будуть використовуватися в подальшому. Цілі повинні бути конкретними та пов’язаними з наданням послуг або продажем товарів. 

3. Мінімум відомостей 

Збір та обробка персональних даних проводиться тільки для комерційної діяльності та заявлених цілей компанії. Бізнес повинен збирати мінімум необхідних даних.

4. Точні та оновлені дані

Принцип гарантує правдивість даних. Компанія забезпечує видалення та виправлення некоректної інформації.

5. Обмежені строки зберігання

Тривалість зберігання інформації відповідає часу виконання задачі. Як тільки мета досягнута, інформація підлягає видаленню.

6. Конфіденційність та безпека

Компанія захищає дані від незаконної обробки та випадкової втрати. Якщо відбувся витік, клієнта повідомляють про це у 3-денний строк.

Як реалізувати принципи, які юридичні, організаційні та технічні заходи безпеки для цього слід запровадити, IT-юристи розповіли у статті про GDPR Compliance.  

 

Порядок передачі даних до третіх держав

Україна не входить до Європейської економічної зони, а отже вважається третьою державою, передача даних до якої здійснюється за особливими правилами з підвищеним рівнем вимог. Для передачі даних за межі ЄС потрібно:

  1. Забезпечити законні підстави для передачі. Передача персональних даних в Україну повинна ґрунтуватися на законних підставах, як вказано у статті 6 GDPR, наприклад для виконання зобов’язань або договору. 
  2. Забезпечити ефективні заходи безпеки. При передачі персональних даних в державу за межами ЄС/ЄЕЗ, наприклад, в Україну, європейська компанія повинна забезпечити наявність відповідних заходів безпеки для захисту даних. Для цього підписують Data protection agreement з кінцевими отримувачами інформації.
  3. Компанія з ЄС, яка передає дані в Україну, повинна отримати чітку та однозначну згоду суб’єкта даних та забезпечити дотримання його прав, таких як право доступу до своїх особистих даних та право на їх видалення.  

 

Що буде, якщо порушити правила GDPR?

За недотримання GDPR компанія може отримати штраф, сума якого залежить від завданих збитків, кількості потерпілих, ступеню винуватості компанії. Окремо розглядається питання умислу або необережності. Так, максимальний штраф розміром 746 млн євро було накладено на найбільшу у світі платформу електронної комерції Amazon за використання персональних даних користувачів для проведення рекламних кампаній без їх згоди. 

 

Рекомендації IT-юристів

Щоб дотримуватися правил використання персональних даних громадян Євросоюзу, компанія повинна виконати наступні умови GDPR для України.

1. Відкрито заявляйте про інформацію, яку збираєте та обробляєте.

2. Збирайте дані з особистої згоди користувачів. Якщо мета або способи збору інформації змінюються, повідомляйте користувачів про це.

3. Збирайте відомості лише з метою взаємодії та надання запитуваних послуг.

4. Не запитуйте додаткової інформації, яку не потребуєте для ідентифікації.

5. Зберігайте інформацію протягом певного строку, наприклад протягом використання клієнтом сервісів компанії.

6. Не влаштовуйте «холодних» розсилок та не купуйте бази e-mail адрес.

7. Надавайте можливість відписатися від розсилок та інших типів сповіщень.

8. Гарантуйте збереження інформації.

9. Не передавайте відомості третім особам без дозволу або повідомлення про це суб’єктів даних.

10. Забезпечте юридичну базу для збору та обробки персональних даних: Політика конфіденційності, Data protection agreement, внутрішні політики та інструкції компанії з обробки персональних даних. Регулярно оновлюйте документи, щоб у користувачів була актуальна інформація.

11. Найміть Data protection officer, щоб запровадити ефективні організаційні та технічні заходи безпеки.

Виконання цих вимог забезпечить дотримання принципів GDPR, законну та чесну роботу, гарантує конфіденційність та безпеку клієнту, а також відсутність штрафів для компанії.

Меню статті
Cтатті зі схожою тематикою

Публікації в ЗМІ зі схожою тематикою

31.08.2023
Чому перш ніж паблішити гру, важливо здійснити GDPR-аудит?
IT-юристи розповіли як скласти Політику конфіденційності, щоб уникнути штрафів
Перейти до джерела
04.04.2023
Коли IT-компанії потрібен GDPR аудит?
IT-юристи пояснили у чому полягає GDPR аудит, коли він потрібен і як провести GDPR аналіз
Перейти до джерела
23.02.2023
Аудит GDPR для вебсервісів: досвід GDPR адвоката
GDPR адвокат розповів про пункти, котрі повинні бути в Політиці конфіденційності вебсервісів
Перейти до джерела
22.06.2022
GDPR Compliance від Zoom: історія факапів
З якими проблемами безпеки мали справу Zoom, та як виправляли помилки
Перейти до джерела
24.12.2021
Коли діє GDPR в Україні?
Дія правил регламенту із захисту персональних даних поширюється на українські компанії у 3-х випадках. Про них розповідаємо у статті.
Перейти до джерела

Останні статті

Про контрольовані іноземні компанії (КІК) для IT-бізнесу простими словами
Про контрольовані іноземні компанії (КІК) для IT-бізнесу простими словами
18.09.23
Що таке КІК, яку звітність слід подавати та які податки сплачувати - розповідаємо у статті
Читати статтю

Кейси на тему статті

Всі кейси
Для повноцінної роботи вебсайту та покращення надання послуг ми використовуємо анонімні дані, надані файлами Cookies!
ОК
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Запит на розрахунок послуги IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK