Бізнес по правилах GDPR: досвід ЄС та кейси для України

Український бізнес, орієнтований на Європейські ринки, все частіше приймає нові виклики в площині застосування сучасного Європейського законодавства.

БІЗНЕС ПО ПРАВИЛАХ GDPR: ДОСВІД ЄС ТА КЕЙСИ ДЛЯ УКРАЇНИ

Український бізнес, орієнтований на Європейські ринки, все частіше приймає нові виклики в площині застосування сучасного Європейського законодавства. Не винятком стала і сфера захисту персональних даних, де ключову роль відіграє, прийнятий в 2016 році, Загальний Регламент Захисту Даних або іншими словами General Data Protection Regulation (GDPR).

Нові правила «гри»: як реагувати бізнесу?

До прийняття GDPR, європейські компанії, так само як і компанії з України, які працювали з європейськими ринками, особливо не переймалися питаннями захисту персональних даних своїх клієнтів та інших осіб, які вони збирали та використовували для власних цілей, та звісно ж і не було на те вагомих причин, адже застаріла європейська нормативна база не встигала за розвитком сучасних інформаційних технологій, а також за новими тенденціями які проявлялися як в бізнес середовищі в цілому, так і в окремих його сферах. Так, наприклад, здійснюючи свою діяльність через веб-сайт, компанії не обов’язково приділяли велику увагу питанням інформування користувачів про те, які персональні дані збираються, де вони використовуються та кому передаються. Разом з тим, у компаній не виникало жодних обов’язків щодо отримання однозначної згоди (у вигляді проставленої «галочки» або іншої однозначної дії) на оброку файлів cookie, як для цілей маркетингу, так і для аналізу поведінкової інформації.

Наразі ж, з набранням чинності GDPR в травні 2018 року, все змінилося і компанії, які збирають та оброблюють персональні дані фізичних осіб, що знаходяться на території ЄС, тепер повинні левову частину своєї уваги приділяти питанням організації так контролю за отриманням, використанням, зберіганням або будь-якою іншою обробкою персональних даних.

Новий регламент передбачає, що кожна компанія, якої це стосується, повинна максимально тісно взаємодіяти з фізичними особами, чиї персональні дані оброблюються. Наприклад, питання реалізації такими фізичними особами своїх прав відносно своїх персональних даних, тепер знаходяться на новому рівні, що потребує від компаній негайного реагування на запити фізичних осіб, як з технічної, так і з організаційної точки зору. Інформування фізичних осіб тепер стало обов’язковою вимогою, яка закріплюється в принципах GDPR, а отже не може бути проігнорована, як це робилося компаніями раніше.

Зовсім на іншому рівні потрібно розглядати і питання забезпечення безпеки персональних даних. Якщо, наприклад, в Директиві 95/46/ЕС, яка діяла до набрання чинності GDPR, не було згадок про сучасні методи захисту інформації, то в тексті General Data Protection Regulation, вже можемо знайти вимоги щодо обов’язкового застосування таких інструментів як псевдонімізація та шифрування. Вводяться нові поняття, такі як «Privacy by design» та «Privacy by default», що чітко вказують на те, що компанії, вже на стадії планування будь-яких операцій з обробки персональних даних, повинні забезпечити технічні можливості збирання тільки тих даних, які необхідні для цілей, що встановлюються компаніями, а також на те, що зберігання персональних даних повинно здійснюватися в безпечному середовищі з обмеженим до них доступ.

Окрім всього іншого, компанії, які підпадають під вимоги General Data Protection Regulation, повинні розробити та впровадити й інші організаційні та технічні заходи, про які ви можете знайти додаткову інформацію за наступним посиланням: BSO Privacy Group . Вжиття таких заходів є обов’язковим для уникнення можливості стати суб’єктами відповідальності, застосування якої передбачає накладення значних штрафів, що можуть досягати 20 (двадцяти) мільйонів євро або 4 (чотирьох) відсотків від річного фінансового обороту компанії.

Наразі, в Європейському Союзі є вже досить велика та сформована практика притягнення компаній за недобросовісне виконання вимог GDPR. Як один із останніх прикладів, можна навести іспанську авіакомпанію Vueling, яка не забезпечила на своєму веб-сайті належне інформування користувачів про файли cookie, які вона використовувала, а також не отримувала відповідну згоду на використання файлів cookie, як це передбачається GDPR. Результатом такого порушення стало накладення іспанським контролюючим органом штрафу в розмірі 30 000 євро.

Український бізнес та General Data Protection Regulation

Хоча деякі скептики запевняють, що GDPR недосяжний для українського бізнесу, не варто забувати про те, що:

По-перше, текст Регламенту має силу прямої дії по відношенню до компаній, які здійснюють обробку персональних даних фізичних осіб, що перебувають на території ЄС, в тому числі і громадян Європейського Союзу, а тому прямо застосовується до відповідних українських компаній.

По-друге, існують механізми міжнародного права, які дозволяють виконувати судові рішення, в тому числі заочні, винесені європейськими судами, по відношенню до українських компаній. Саме тому, всі компанії, які вважають себе представниками євроінтеграційної хвилі, повинні вже зараз перейнятися питанням підготовки свого бізнесу до можливості відповідності GDPR та вимогам іншого європейського законодавства по питанням захисту персональних даних.

Оперуючи веб-сайтом, орієнтованим на користувачів з ЄС, або ж продаючи товари чи надаючи послугами європейцям, компанії з України повинні вжити відповідні технічні та організаційні заходи, а також розробити низку документів, що регламентуватимуть обробку персональних даних, як в середині компанії, так і при передачі таких даних іншим компаніям підрядникам, які діють за інструкціями компанії.

Окрім цього, особливістю, яка стосується компаній не з території Європейського Союзу, залишається необхідність призначити представника на території ЄС, через якого компанія буде комунікувати з європейськими контролюючими органами та, при необхідності, з фізичними особами, чиї персональні дані оброблюються. Особливості призначення такого представника необхідно розглядати індивідуально в кожному окремому випадку, так як призначивши представника не там де це потрібно, є вірогідність того, що вся пророблена робота піде нанівець.

Чи варто підготуватися вже зараз?

Загалом же українським компаніям, яких це стосується, варто забезпечити так званий GDPR compliance вже зараз, адже увага контролюючих органів з ЄС вже незабаром може бути спрямована на компанії з інших держав, в тому числі і з України.

В будь-якому випадку, українські компанії, які все ж підпадають під вимоги GDPR, повинні адаптувати свою діяльність до вимог європейського законодавства і це факт. Це також допоможе компаніям підготуватися і до викликів, що буде нести нове модернізоване українське законодавство щодо захисту персональних даних, яке планується бути прийнятим вже найближчим часом.

Забезпечившись підтримкою та супроводом спеціалістів компанії BSO Privacy Group, ваш бізнес завжди буде готовий до нових кликів у сфері захисту приватності та персональних даних. Завжди раді вам допомогти, забезпечивши вас послугами, перелік яких ви можете знайти на нашому сайті: BSO Privacy Group.

Автор: Сергій Богарада

International privacy lawyer, BSO Privacy Group