GDPR для бізнесу

Стрімкий розвиток технологій дозволив підприємцям значно розширити географію своїх бізнес-інтересів: відкривати компанії та надавати послуги клієнтам за кордоном. Водночас постала необхідність захистити персональні дані клієнтів від несанкціонованого збору, обробки, використання та збереження бізнесами та третіми сторонами. Саме для цього Європейським Союзом був прийнятий GDPR (General Data Protection Regulation). Що це за закон та як він впливає на ведення бізнесу в Україні?

Що таке GDPR і чому це важливо для бізнесу

Загальний регламент про захист даних або GDPR набрав чинності в Європі ще у 2018 році. Він був впроваджений на заміну європейській директиві. Особливістю є те, що цей закон є уніфікованим і обов’язковим для всіх країн-членів ЄС, а отже не вимагає додаткового впровадження в національне законодавство.

Основною метою GDPR є запобігати випадкам несанкціонованого використання особистих даних людей, але водночас цей закон може суттєво ускладнювати захист персональних даних для бізнесу.

Дія GDPR прямо розповсюджується на 27 країн Європейського Союзу та 3 країни Європейської економічної зони. Проте, важливо пам’ятати, що бізнес може потрапити під дію цього закону навіть якщо він зареєстрований не в ЄС. Загалом, GDPR для бізнесу обов’язковий, якщо:

• Ваша компанія зареєстрована в ЄС;
• Ви обробляєте дані європейських користувачів, незалежно від країни реєстрації вашої компанії;
• Цільовою аудиторією вашого бізнесу є користувачі з ЄС.

GDPR використовує поняття обробки даних в широкому сенсі. Базово воно означає будь-яку взаємодію із даними користувачів — їх збір, збереження, оцінку, обробку, передачу третім сторонам, виокремлення частини інформації із загального пулу даних тощо. Тобто, якщо в рамках свого проєкту ви збираєте дані користувачів для реєстрації акаунту чи для здійснення доставки товарів — ваш бізнес обробляє персональні дані.

Щодо цільової аудиторії, то визначити її допоможе відповідь на питання “Чи пропонуєте ви свої товари та послуги людям, що знаходяться в ЄС?” Якщо так, ваша компанія підпадає під вимоги загального регламенту про захист даних.

Також GDPR слід дотримуватись, якщо ви займаєтесь моніторингом поведінки людей, які знаходяться на території ЄС. Наприклад, якщо ваш сайт доступний однією з мов Європейського Союзу, у вас є доставка в Європу і розрахунок можливий у євро, все це свідчить про те, що цільовою аудиторією вашого бізнесу є користувачі з країн ЄС, а отже дотримання вимог GDPR для вашого бізнесу є обов’язковим.

Чи має підпорядковуватись правилам GDPR Україна та місцеві підприємці? Так, якщо вони:

• Надають послуги та товари клієнтам в Європі;
• Займаються моніторингом поведінки людей, що знаходяться в ЄС;
• Вирішили зареєструвати компанію на території ЄС;
• Співпрацюють з компаніями з ЄС і бажають продовжити співпрацю.

Чому так? Тому що GDPR забороняє передачу даних з ЄС в треті країни, якщо не дотримано належного рівня захисту для даних.

Крім всього переліченого вище, Україна стала кандидатом на членство в ЄС, а отже, найближчим часом дотримання GDPR стане обов’язковим і в нашій країні.

Основні принципи та вимоги GDPR

GDPR для бізнесу встановлює принципи, згідно з якими компанії мають обробляти персональні дані користувачів, а саме:

• Мінімізація даних (не збирати більше особистих даних користувача, ніж це необхідно для роботи компанії);
• Точність (дані користувача повинні бути точними й актуальними);
• Обмеження зберігання (зібрані дані дозволено зберігати лише протягом часу, потрібного на досягнення мети, з якою їх було зібрано);
•  Конфіденційність.

Крім вищевказаних принципів, GDPR визначає, на якій підставі ви можете збирати та обробляти персональні дані. Найрозповсюдженішою є згода суб’єкта персональних даних (тобто користувача). При цьому варто пам’ятати, що недостатньо просто отримати згоду; вона повинна відповідати вимогам, визначеним в регламенті. Зокрема, згода вважається дійсною, якщо вона надана вільно, є чіткою, конкретною, поінформованою і висловлює дозвіл та бажання суб’єкта даних на обробку його персональної інформації.

Права суб’єктів даних та обов’язки компаній

Особливістю загального регламенту про захист даних є те, що суб’єкти даних мають широке коло прав, а саме:

• Право на доступ — користувач може запитати, які його персональні дані обробляються, з якою метою та хто їх отримує.
• Право на виправлення — користувач може вимагати виправлення неточних або неповних даних.
• Право на видалення (“право бути забутим”) — користувач може попросити видалити його персональні дані, якщо немає законних підстав для їх обробки.
• Право на обмеження обробки — користувач може вимагати тимчасового обмеження обробки його даних (наприклад, під час перевірки їхньої точності).
• Право на перенесення даних — користувач може отримати свої дані у структурованому форматі та передати їх іншому контролеру.
• Право на заперечення — користувач може заперечити проти обробки його даних, наприклад, для маркетингових цілей.
• Право не підлягати автоматизованому рішенню — захист від рішень, що приймаються автоматично (наприклад, визначення кредитного рейтингу), без людського втручання.
• Право подати скаргу — користувач може звернутися до наглядового органу, якщо вважає, що його права порушені.

Кроки до відповідності GDPR для вашого бізнесу

Усі надані користувачам права реалізуються через певні вимоги до захисту персональних даних для бізнесу. Зокрема:

• Ваш сайт має мати певний функціонал;
• Ваш персонал повинен знати, як поводитись із даними, а також правильно і професійно відповідати на запити користувачів;
• Повинні бути налаштовані технічні елементи захисту даних;
• Має бути підготовлений пакет відповідних документів.

Налаштування бізнесу відповідно до вимог GDPR — це складний процес, що вимагає залучення спеціалістів та постійного покращення. Але реальність така, що без цього ваш бізнес просто не може працювати в ЄС. Тож, перш за все, варто проаналізувати ситуацію та зрозуміти, чи вимагається дотримання GDPR для вашого бізнесу. Якщо так, ось ваші можливі наступні кроки:

1. Створити карту руху персональних даних (Data flow mapping). Ця техніка використовується, щоб відстежувати потік даних — особисту інформацію клієнтів, працівників та інших залучених третіх сторін — всередині компанії. За допомогою Data flow mapping, ви побачите ваші слабкі сторони й зможете оцінити, які саме процеси вам потрібно провести у відповідність до GDPR та які заходи безпеки будуть необхідні.
2. Наступний важливий етап — приведення документації у відповідність до регламенту. Зокрема, GDPR у своїх статтях посилається на наступні документи:

• Personal Data Protection Policy;
• Privacy Notice;
• Employee Privacy Notice;
• Data Retention Policy;
• Data Retention Schedule;
• Data Subject Consent Form;
• Parental Consent Form;
• DPIA Register;
• Supplier Data Processing Agreement;
• Data Breach Response and Notification Procedure;
• Data Breach Register;
• Data Breach Notification Form to the Supervisory Authority;
• Data Breach Notification Form to Data Subjects.

Наші послуги з впровадження GDPR

Захист персональних даних для бізнесу — досить складний процес, але команда Flex Partners може допомогти вам впровадити всі вимоги регламенту. Ми надаємо широкий спектр послуг із захисту персональних даних, зокрема:

• Імплементація GDPR для бізнесу;
• Аудит бізнесу на відповідність вимогам GDPR;
• Підготовка Terms of Use, Privacy Policy та Cookie Policy;
• Приведення документації у відповідність до норм американського законодавства про захист персональних даних (CCPA and CPRA, PIPL, LGPD, CPA, VCDPA, UCPA, CDPA, COPPA, FERPA);
• Розробка Cookie banner;
• Проведення аудиту вебсайту компанії та внутрішніх процесів;
• Підготовка внутрішніх політик та Data Processing Agreement;
• Підготовка AdTeach компанії для відповідності вимогам TCF framework;
• Розробка та проведення data mapping та data assessment ;
• Проведення тренінгу із захисту даних для персоналу;
• Послуги DPO (Data Protection Officer).

Наші сертифіковані спеціалісти з захисту даних зроблять все можливе, щоб ваш бізнес функціонував в ЄС відповідно до вимог регламенту.

Наслідки недотримання GDPR: Штрафи та репутаційні ризики

Недотримання вимог GDPR загрожує бізнесам значними штрафами: до €20 млн або до 4 % річного обороту компанії за минулий бюджетний рік. Лише за 2023 рік регуляторні органи ЄС стягнули рекордні €2,92 млрд штрафів за порушення GDPR, що на 168% більше, ніж у попередні роки. Найбільша частина штрафних санкцій припала на корпорацію Meta.

Найпоширеніші порушення GDPR:

• Недостатні або відсутні технічні та організаційні заходи безпеки;
• Порушення основних принципів обробки персональних даних;
• Відсутність юридичної підстави для обробки даних та невиконання інформаційних зобов’язань у повному обсязі.

Враховуючи, що суми є суттєвими, важливо дотримуватись вимог регламенту і слідкувати за їх належним виконанням.