Быстро, по делу и с подлинным привлечением. Помогли нам структурировать бизнес и избежать рисков на старте.
GDPR для бизнеса
Настраиваем процессы компании в соответствии с требованиями защиты персональных данных в ЕС.
Содержание
Стремительное развитие технологий позволило предпринимателям значительно расширить географию своих бизнес-интересов: открывать компании и оказывать услуги клиентам за границей. В то же время, возникла необходимость защитить персональные данные клиентов от несанкционированного сбора, обработки, использования и сохранения бизнесами и третьими сторонами. Именно для этого Европейским Союзом был принят GDPR (General Data Protection Regulation). Что это за закон и как он влияет на бизнес в Украине?
Что такое GDPR и почему это важно для бизнеса
Общий регламент о защите данных, или GDPR, вступил в силу в ЕС еще в 2018 году. Он был принят взамен европейской директиве. Особенностью этого закона является то, что он унифицированный и обязателен для всех стран-членов ЕС, а следовательно не требует дополнительного внедрения в национальное законодательство.
Основной целью GDPR является предотвращение случаев несанкционированного использования личных данных пользователей, но в то же время этот закон может существенно усложнять защиту персональных данных для бизнеса.
Действие GDPR напрямую распространяется на 27 стран Европейского Союза и 3 страны Европейской экономической зоны. Однако важно помнить, что бизнес может попасть под действие этого закона даже если он зарегистрирован не в ЕС. В целом, GDPR для бизнеса обязателен, если:
- Ваша компания зарегистрирована в ЕС;
- Вы обрабатываете данные европейских пользователей независимо от того, в какой стране зарегистрирована ваша компания;
- Целевой аудиторией вашего бизнеса являются пользователи из ЕС.
GDPR употребляет понятие обработки данных в широком смысле. Базово оно означает любое взаимодействие с данными пользователей — их сбор, хранение, оценку, обработку, передачу третьим сторонам, выделение части информации из общего пула данных и т.п. То есть, если в рамках своего проекта вы собираете данные пользователей для регистрации аккаунта или для доставки товаров — ваш бизнес обрабатывает персональные данные.
Что же касается целевой аудитории, то определить ее поможет ответ на вопрос «Предлагаете ли вы свои товары и услуги людям, находящимся в ЕС?» Если да, то ваша компания подпадает под требования общего регламента о защите данных.
Также GDPR следует соблюдать, если вы занимаетесь мониторингом поведения людей, находящихся на территории ЕС. Например, если ваш сайт доступен на одном из языков Европейского Союза, есть доставка в Европу, а расчет возможен в евро, это свидетельствует о том, что целевой аудиторией вашего бизнеса являются пользователи из стран ЕС. Следовательно, соблюдение требований GDPR для вас обязательно.
Должна ли подчиняться правилам GDPR Украина и местные предприниматели? Да, если они:
- Предоставляют услуги и товары клиентам в Европе;
- Занимаются мониторингом поведения людей, которые находятся в ЕС;
- Решили зарегистрировать компанию на территории ЕС;
- Работают с компаниями из ЕС и желают продолжить сотрудничество.
Дело в том, что GDPR запрещает передачу данных из ЕС в третьи страны, если не соблюден надлежащий уровень защиты данных.
Кроме всего вышеперечисленного, Украина стала кандидатом на членство в ЕС, а значит, в ближайшее время соблюдение GDPR станет обязательным и в нашей стране.
Основные принципы и требования GDPR
GDPR устанавливает принципы которых должны придерживаться компании при обработке персональных данных пользователей, а именно:
- Минимизация данных (не собирать больше личных данных пользователей, чем это необходимо для работы компании);
- Точность (данные пользователя должны быть точными и актуальными);
- Ограничение хранения (собранные данные разрешено хранить только в течение времени необходимого для достижения цели, с которой они были собраны);
- Конфиденциальность.
Кроме вышеуказанных принципов, GDPR определяет, на каком основании можно собирать и обрабатывать персональные данные. Наиболее распространенным является согласие субъекта персональных данных (т.е. пользователя). При этом следует помнить, что недостаточно просто получить согласие; оно должно отвечать требованиям, определенным в регламенте. В частности, согласие считается действительным, если оно добровольное, четкое, конкретное, информированное и выражает разрешение и желание субъекта данных на обработку его персональной информации.
Права субъектов данных и обязанности компаний
Особенностью общего регламента о защите данных является то, что субъекты данных имеют широкий круг прав, а именно:
- Право на доступ — пользователь может спросить, какие его персональные данные обрабатываются, с какой целью и кто их получает.
- Право на исправление — пользователь может потребовать исправления неточных или неполных данных.
- Право на удаление («право быть забытым») — пользователь может попросить удалить его персональные данные, если нет законных оснований для их обработки.
- Право на ограничение обработки — пользователь может потребовать временного ограничения обработки данных (например, при проверке их точности).
- Право на перенос данных — пользователь может получить свои данные в структурированном формате и передать их другому контроллеру.
- Право на возражение — пользователь может возразить против обработки его данных, например, для маркетинговых целей.
- Право на неподчинение автоматизированному решению — защита от решений принимаемых автоматически (например, определение кредитного рейтинга) без человеческого вмешательства.
- Право на жалобу — пользователь может обратиться в контрольный орган, если считает, что его права нарушены.
Шаги к соответствию GDPR для вашего бизнеса
Все предоставленные пользователям права реализуются через определенные требования к защите персональных данных для бизнеса. В частности:
- Ваш сайт должен иметь определенный функционал;
- Ваш персонал должен знать, как обращаться с данными, а также правильно и профессионально отвечать на запросы пользователей;
- Должны быть настроены технические элементы защиты данных;
- Должен быть подготовлен пакет соответствующих документов.
Настройка бизнеса в соответствии с требованиями GDPR — это сложный процесс, который требует привлечения специалистов и постоянного улучшения. Но реальность такова, что иначе ваш бизнес просто не может работать в ЕС. Поэтому прежде всего следует проанализировать ситуацию и понять, требуется ли соблюдение GDPR в вашем конкретном случае. Если да, то ваши следующие шаги могут быть такими:
- Создание карты движения персональных данных (Data flow mapping). Эта техника используется для отслеживания потока данных — личной информации клиентов, работников и других привлеченных третьих сторон — внутри компании. С помощью Data flow mapping вы увидите ваши слабые стороны и сможете оценить, какие именно процессы вам нужно привести в соответствие с GDPR и какие меры безопасности необходимы.
- Следующий важный этап — приведение документации в соответствие с регламентом. В частности, GDPR в своих статьях ссылается на следующие документы:
- Personal Data Protection Policy;
- Privacy Notice;
- Employee Privacy Notice;
- Data Retention Policy;
- Data Retention Schedule;
- Data Subject Consent Form;
- Parental Consent Form;
- DPIA Register;
- Supplier Data Processing Agreement;
- Data Breach Response and Notification Procedure;
- Data Breach Register;
- Data Breach Notification Form to Supervisory Authority;
- Data Breach Notification Form to Data Subjects.
Наши услуги по внедрению GDPR
Защита персональных данных для бизнеса — достаточно сложный процесс, но команда Flex Partners может помочь вам внедрить изменения для полного соответствий требованиям регламента. Мы предоставляем широкий спектр услуг защиты персональных данных, в частности:
- Внедрение GDPR для бизнеса;
- Аудит бизнеса на соответствие требованиям GDPR;
- Подготовка Terms of Use, Privacy Policy и Cookie Policy;
- Приведение документации в соответствие с нормами американского законодательства о защите персональных данных (CCPA и CPRA, PIPL, LGPD, CPA, VCDPA, UCPA, CDPA, COPPA, FERPA);
- Разработка Cookie banner;
- Проведение аудита веб-сайта компании и внутренних процессов;
- Подготовка внутренних политик и Data Processing Agreement;
- Подготовка AdTeach компании для соответствия требованиям TCF framework;
- Разработка и проведение data mapping и data assessment;
- Проведение тренинга по защите данных для персонала;
- Услуги DPO (Data Protection Officer).
Наши сертифицированные специалисты по защите данных сделают все возможное, чтобы ваш бизнес функционировал в ЕС в соответствии с требованиями регламента.
Запланируйте консультацию уже сейчас
Оставьте заявку — наши эксперты свяжутся с вами и ответят на все ваши вопросы.
Последствия несоблюдения GDPR: Штрафы и репутационные риски
Несоблюдение требований GDPR грозит бизнесам значительными штрафами: до €20 млн. или до 4% годового оборота компании за прошлый бюджетный год. Только за 2023 год регуляторные органы ЕС взыскали рекордные €2,92 млрд штрафов за нарушение GDPR, что на 168% больше, чем в предыдущие годы. Большая часть штрафных санкций пришлась на корпорацию Meta.
Наиболее распространенные нарушения GDPR:
- Недостаток или отсутствие технических и организационных мер безопасности;
- Нарушение основных принципов обработки персональных данных;
- Отсутствие юридического основания для обработки данных и невыполнение информационных обязательств в полном объеме.
Учитывая, что суммы штрафов существенные, важно соблюдать требования регламента и следить за их надлежащим исполнением.