Когда украинскому бизнесу нужен GDPR аудит?

Даже если ваш бизнес в Украине, вам нужно выполнять требования европейского законодательства по обработке персональных данных. Но есть нюансы, о которых нашей редакции рассказали GDPR адвокаты Stalirov&Co.

Почему компаниям из Украины нужно внедрять правила GDPR?

Регламент GDPR устанавливает правила по обработке персональных данных граждан ЕС. Если компания получает доступ к таким данным, ей нужно соответствовать европейским стандартам, несмотря на то, где она зарегистрирована и фактически находиться. Вот несколько примеров, когда бизнесу нужно провести GDPR анализ и разработать документы по обработке персональных данных.

• Интернет-магазин продает товары в страны Европейского Союза.
• Мобильное приложение доступно пользователям из ЕС.
• IT-компания оказывает услуги по разработке IT-продукта европейским заказчикам.

Какие документы нужны, чтобы выполнить требования GDPR?

Интернет-магазину нужно разработать политику конфиденциальности. Документ нужен, чтобы подключить платежную систему для интернет-платежей, использовать инструменты ремаркетинга и аналитики.

Мобильным приложениям нужна политика конфиденциальности, чтобы паблишить продукт в AppStore и Google Play.

Политика конфиденциальности должна включать:

• исчерпывающий список персональных данных, которые собираются и обрабатываются;
• описание целей сбора и обработки;
• список третьих лиц и сервисов, которым предоставляется доступ к данных;
• предупреждение об использовании Cookie;
• предупреждение о рассылке и рекламных кампаниях;
• описание мер безопасности;
• место и время хранения данных;
• права суб’єктов данных на доступ, исправление, дополнение и удаление личной информации.

Компания, которая публикует документ с неполной информацией по всем вышеперечисленным пунктам, может не пройти комплаенс с паблишером или получить штраф. Например, WhatsApp пришлось заплатить 225 млн евро за нарушения принципа прозрачности. После этого WhatsApp опубликовали новую политику, которая включает более подробную информацию о том, как компания собирает, хранит и использует данные клиентов, и когда удаляются.

Сервисным IT-компаниям нужно подписать Data protection agreement. Это GDPR договор по обработке персональных данных, заключение которого требуется статьей 28 регламента. Прежде чем начинать работу с украинской IT-компанией заказчик из ЕС должен убедиться и получить гарантии, что процессы обработки персональных данных безопасны. DPA является гарантией для заказчика. 

Приведем пример. Киевская IT-компания планирует взять в работу проект по техническому обслуживаю ПО заказчика, который сдает в аренду электросамокаты в Париже. Чтобы отслеживать местоположение транспортного средства, ПО получает доступ к геоданным человека, который арендует самокат. Так как разработчики из Украины будут обрабатывать такие данные, заказчик и IT-компания должны подписать DPA. Поэтому задача GDPR юристов в Киеве проанализировать сможет ли IT-компания выполнить инструкции заказчика, которые описаны в DPA, внедрить организационные и технические меры, чтобы избежать нарушений и штрафов.

Контролирующие органы в Европе часто накладывают штрафы за отсутствие DPA или ошибки в его составлении. Например, в начале мая 2023 года хорватское коллекторское агентство получило штраф в 2 265 000 евро за то, что не подписало соглашение с одним из своих субподрядчиков. В марте 2023 года французская компания CITYSCOOT заплатили 125 000 евро за ошибки в составлении DPA. 

Внимание контролирующих органов даже к минимальным нарушениям GDPR растет, а вместе с этим растут и штрафы. Поэтому каждому бизнесу, который выходит на рынок ЕС, важно провести GDPR аудит и убедиться, что обработка данных будет безопасной.

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co