poster
Для стартапів

Персональні дані та GDPR в Україні

Ця стаття відповість на 4 основні запитання, що рано чи пізно ставить собі кожен власник тек-бізнесу:

  1. На кого поширюється GDPR в Україні;
  2. Навіщо захищати персональні дані;
  3. Яким законам про захист персональних даних необхідно відповідати;
  4. Як захищати персональні дані.

На кого поширюється GDPR в Україні

Практично будь-яка компанія збирає персональні дані. 

Персональні дані - це будь яка інформація про особу, яка є ідентифікованою або може бути ідентифікованою. До персональних даних можна віднести, наприклад, ім’я, електронну адресу, дату народження, місце проживання, IP-адресу та інші унікальні відомості про людину. До персональних даних також включаються інформація про трафік, записи про час та дату відвідування веб-сайту або cookie-файли, а також реєстрації на заходи та контактні форми. 

Якщо ваша компанія збирає якісь дані про особу, то її діяльність буде регулюватися нормами законодавства про захист персональних даних.

Приклади, на які поширюються вимоги законів про захист персональних даних:

  1. SaaS-проекти, які або збирають інформацію від своїх користувачів безпосередньо, або отримують базу вже зібраних даних від своїх клієнтів;
  2. eCommerce-проекти, у яких є веб-сайт з реєстрацією, можливістю онлайн-замовлення або контактною формою;
  3. Роботодавці, що збирають інформацію про своїх працівників.

Навіщо захищати персональні дані

Збитки, пов’язані з недостатнім рівнем захисту даних можуть вдвічі перевищувати  ресурси, витрачені на підготовку. Серед найбільш поширених проблем, що пов’язані з недостатнім рівнем захисту даних:

  1. Низька інвестиційна привабливість: інвестори перевіряють відповідність стартапу законам про захист персональних даних перед будь-якими інвестиціями. Виявлення проблем може суттєво знизити розмір інвестицій (до 25%);
  2. Неможливість розміщення в Google Play Market або в Apple Store. Ці платформи вимагають, щоб додаток мав розроблену Політику Приватності (Privacy Policy), а дані були захищеними;
  3. Ризик санкцій. ЄС і США можуть накладати значні штрафи (до 4% від річного доходу), тимчасову або постійну заборону на обробку даних користувачів, якщо компанія не надає потрібні гарантії захисту даних. Це може призвести до втрати основного джерела прибутку компанії.

Яким законам про захист персональних даних необхідно відповідати

Для того, щоб зрозуміти, законам якої країни необхідно відповідати вашому бізнесу, необхідно враховувати три фактори.

Фактор 1 - Фактичне місце ведення бізнесу

Закони про захист даних застосовуються залежно від фактичного місця ведення бізнесу. Ключову роль відіграє місце розташування офісу, співробітників, банківського рахунку і осіб, що приймають рішення.

Фактор 2 - Цільовий ринок

Закони про захист даних деяких країн можуть застосовуватися до вашого бізнесу навіть в тому випадку якщо ви перебуваєте за їхніми межами. Наприклад, GDPR (законодавство ЄС про захист персональних даних) застосовується:

  1. Якщо ви використовуєте цільову рекламу, перекладаєте інтерфейс однією з мов ЄС або показуєте відгуки клієнтів з ЄС, маючи на меті продаж товарів та послуг європейцям;
  2. Коли ви аналізуєте поведінку людей, які живуть в одній з країн Європейського Союзу. Наприклад, дослідження ринку або аналіз даних про громадян з публічних реєстрів однієї чи кількох країн ЄС.

Фактор 3 - Закони, що застосовуються до бізнесу вашого клієнта

Крім того, вам необхідно дотримуватися вимог країни, у якій знаходяться ваші корпоративні клієнти або партнери, які передають вам персональні дані. B2B-компанії, які хочуть обробляти дані від імені своїх клієнтів, повинні відповідати вимогам законодавства про захист персональних даних в країні, де знаходиться компанія клієнта.

Як захищати персональні дані

Вам знадобиться чіткий план дій, що включає такі кроки:

  1. Оцінка руху даних в компанії (Аудит захисту персональних даних). Визначте всі види діяльності, які зачіпають обробку персональних даних, і створіть карту руху даних (англ. - Records of processing activities). Після складання карти руху даних вам буде легше оцінити ризики і вжити заходів для їх мінімізації.
  2. Внутрішні політики, угоди, технічний та організаційний захист. На основі першої оцінки (аудиту) ви можете приступити до розробки політик захисту даних (англ. - Data Protection Policy), політики безпеки (англ. - Information Security Policy) і розробити процедуру відповіді на запити від ваших користувачів. Захистіть відносини з партнерськими компаніями, які отримують від вас дані ваших користувачів, шляхом укладення угод про захист персональних даних. З технічної точки зору, кожну операцію з обробки персональних даних необхідно захистити заходами з кібербезпеки від можливих витоків.
  3. Документи для сайту / мобільного додатку: ваш інтерфейс і публічні політики. Важливим є те, як ви взаємодієте з користувачами на веб-сайті або в додатку. Для цього вам знадобляться Privacy Policy та Cookie Policy. Для В2В-стартапів необхідним документом є також Угода про обробку даних (англ. - Data Processing Agreement);
  4. Тренінги із захисту даних. Ознайомте своїх співробітників з основними концепціями приватності і навчіть їх виконувати свої обов'язки з дотримання захисту даних;
  5. Відповідальний співробітник щодо захисту даних. У випадках створення профілів користувачів з оцінкою їхніх інтересів або особистих якостей, або обробки чутливих даних, вам знадобиться Data Protection Officer - експерт в сфері захисту даних, який стежить за дотриманням правил щодо захисту персональних даних в компанії.

Дотримання захисту персональних даних - це не тільки активні заходи захисту, але і ваш спосіб мислення. Якщо ви розглядаєте повагу приватності як цінність компанії, захист даних стає вашою конкурентною перевагою.

Ми ж, у свою чергу, допоможемо підібрати вам експертів в сфері захисту даних, які найкраще підійдуть під ваш запит.

 

Команда Legal Nodes

Блог Legal Nodes

Для Стартапів
Як стартапу юридично правильно запустити виробництво hardware-продукту?

Зважитися на створення свого бізнесу у сфері hardware може бути складно, розуміючи весь масив майбутньої роботи. У цій статті ти знайдеш юридичний чек-ліст того, про що потрібно подбати при запуску свого hardware виробництва....

Команда Legal Nodes
Персональні дані(GDPR)
Data Protection Officer (DPO) по підписці: як компаніям, що працюють з персональними даними, відповідати вимогам GDPR без проблем

Місячна підписка дозволяє закривати потребу у захисті персональних даних, відповідати вимогам GDPR та легко прогнозувати свої витрати на legal. Концепція "DPO по підписці" дозволяє фаундерам у першу чергу вкладати гроші в розвиток свого продукту...

Команда Legal Nodes
Для Стартапів
Юрисконсульт по підписці: як сучасному стартапу полегшити юридичну рутину

Концепція lawyer-as-a-service (юрист по підписці) дозволяє фаундеру займатися розвитком стартапу, а не юридичною рутиною, забути про дорогі юрфірми, тривалі комунікації з юристами або про необхідність наймати штатного юриста. У цій статті ми зіб...

Команда Legal Nodes
Персональні дані(GDPR)
Cookie Policy: як відстежувати роботу вашого веб-сайту, не порушуючи вимог GDPR? + шаблон Cookie Policy

Ця стаття допоможе розібратися у типових помилках при збиранні файлів cookie та заходах, які потрібні, щоб дотримуватися законів Європейського Союзу про захист даних. В кінці статті ви безкоштовно зможете отримати шаблон Cookie policy для вашого...

Команда Legal Nodes
Для Стартапів
Які юридичні документи необхідно зібрати стартапу, щоб успішно звітувати перед USF (Ukrainian Startup Fund)?

Якщо ваш стартап уже розпочав роботу із USF або лише планує брати участь у грантовій програмі, команда Legal Nodes рада поділитися з Вами кроками та шаблонами юридичних документів для успішної подачі звітності у USF. ...

Команда Legal Nodes
Загальна
Legal Nodes у 2020 році: підсумки

Незважаючи на те, що для багатьох 2020 рік тепер асоціюється лише з пандемією коронавірусу та локдауном, було б помилкою забути все хороше, що сталося у цьому році. Особливо зараз, напередодні Нового Року, коли у повітрі відчувається атмосфера п...

Команда Legal Nodes
Захист Інт. Власності
Як бізнесу захистити інтелектуальну власність: 4 рекомендації від юристів

Команда Legal Nodes вирішила розібратися в тому, які кроки потрібно обов'язково зробити бізнесу для захисту інтелектуальної власності, та підготувала 4 рекомендації підприємцям з урахуванням гучних скандалів у цій сфері...

Команда Legal Nodes
Загальна
5 кроків для відкриття фірми у Литві

Литва — це найбільша країна Балтії та країна-член ЄС, яка займає 11 позицію у світі за рейтингом легкості ведення бізнесу від Світового банку, 4 місце за простотою реєстрації нерухомості та 7 — за механізмами забезпечення виконання договірних зо...

Команда Legal Nodes
Загальна
5 кроків для реєстрації компанії у Польщі

Польща вважається однією з найперспективніших для інвестицій країн Європи на рівні з Естонією, Литвою та Грузією, а її ринок є найбільшим серед країн, що долучились до Європейського Союзу за останні 25 років....

Команда Legal Nodes