poster
Для стартапів

Персональні дані та GDPR в Україні

Ця стаття відповість на 4 основні запитання, що рано чи пізно ставить собі кожен власник тек-бізнесу:

  1. На кого поширюється GDPR в Україні;
  2. Навіщо захищати персональні дані;
  3. Яким законам про захист персональних даних необхідно відповідати;
  4. Як захищати персональні дані.

На кого поширюється GDPR в Україні

Практично будь-яка компанія збирає персональні дані. 

Персональні дані - це будь яка інформація про особу, яка є ідентифікованою або може бути ідентифікованою. До персональних даних можна віднести, наприклад, ім’я, електронну адресу, дату народження, місце проживання, IP-адресу та інші унікальні відомості про людину. До персональних даних також включаються інформація про трафік, записи про час та дату відвідування веб-сайту або cookie-файли, а також реєстрації на заходи та контактні форми. 

Якщо ваша компанія збирає якісь дані про особу, то її діяльність буде регулюватися нормами законодавства про захист персональних даних.

Приклади, на які поширюються вимоги законів про захист персональних даних:

  1. SaaS-проекти, які або збирають інформацію від своїх користувачів безпосередньо, або отримують базу вже зібраних даних від своїх клієнтів;
  2. eCommerce-проекти, у яких є веб-сайт з реєстрацією, можливістю онлайн-замовлення або контактною формою;
  3. Роботодавці, що збирають інформацію про своїх працівників.

Навіщо захищати персональні дані

Збитки, пов’язані з недостатнім рівнем захисту даних можуть вдвічі перевищувати  ресурси, витрачені на підготовку. Серед найбільш поширених проблем, що пов’язані з недостатнім рівнем захисту даних:

  1. Низька інвестиційна привабливість: інвестори перевіряють відповідність стартапу законам про захист персональних даних перед будь-якими інвестиціями. Виявлення проблем може суттєво знизити розмір інвестицій (до 25%);
  2. Неможливість розміщення в Google Play Market або в Apple Store. Ці платформи вимагають, щоб додаток мав розроблену Політику Приватності (Privacy Policy), а дані були захищеними;
  3. Ризик санкцій. ЄС і США можуть накладати значні штрафи (до 4% від річного доходу), тимчасову або постійну заборону на обробку даних користувачів, якщо компанія не надає потрібні гарантії захисту даних. Це може призвести до втрати основного джерела прибутку компанії.

Яким законам про захист персональних даних необхідно відповідати

Для того, щоб зрозуміти, законам якої країни необхідно відповідати вашому бізнесу, необхідно враховувати три фактори.

Фактор 1 - Фактичне місце ведення бізнесу

Закони про захист даних застосовуються залежно від фактичного місця ведення бізнесу. Ключову роль відіграє місце розташування офісу, співробітників, банківського рахунку і осіб, що приймають рішення.

Фактор 2 - Цільовий ринок

Закони про захист даних деяких країн можуть застосовуватися до вашого бізнесу навіть в тому випадку якщо ви перебуваєте за їхніми межами. Наприклад, GDPR (законодавство ЄС про захист персональних даних) застосовується:

  1. Якщо ви використовуєте цільову рекламу, перекладаєте інтерфейс однією з мов ЄС або показуєте відгуки клієнтів з ЄС, маючи на меті продаж товарів та послуг європейцям;
  2. Коли ви аналізуєте поведінку людей, які живуть в одній з країн Європейського Союзу. Наприклад, дослідження ринку або аналіз даних про громадян з публічних реєстрів однієї чи кількох країн ЄС.

Фактор 3 - Закони, що застосовуються до бізнесу вашого клієнта

Крім того, вам необхідно дотримуватися вимог країни, у якій знаходяться ваші корпоративні клієнти або партнери, які передають вам персональні дані. B2B-компанії, які хочуть обробляти дані від імені своїх клієнтів, повинні відповідати вимогам законодавства про захист персональних даних в країні, де знаходиться компанія клієнта.

Як захищати персональні дані

Вам знадобиться чіткий план дій, що включає такі кроки:

  1. Оцінка руху даних в компанії (Аудит захисту персональних даних). Визначте всі види діяльності, які зачіпають обробку персональних даних, і створіть карту руху даних (англ. - Records of processing activities). Після складання карти руху даних вам буде легше оцінити ризики і вжити заходів для їх мінімізації.
  2. Внутрішні політики, угоди, технічний та організаційний захист. На основі першої оцінки (аудиту) ви можете приступити до розробки політик захисту даних (англ. - Data Protection Policy), політики безпеки (англ. - Information Security Policy) і розробити процедуру відповіді на запити від ваших користувачів. Захистіть відносини з партнерськими компаніями, які отримують від вас дані ваших користувачів, шляхом укладення угод про захист персональних даних. З технічної точки зору, кожну операцію з обробки персональних даних необхідно захистити заходами з кібербезпеки від можливих витоків.
  3. Документи для сайту / мобільного додатку: ваш інтерфейс і публічні політики. Важливим є те, як ви взаємодієте з користувачами на веб-сайті або в додатку. Для цього вам знадобляться Privacy Policy та Cookie Policy. Для В2В-стартапів необхідним документом є також Угода про обробку даних (англ. - Data Processing Agreement);
  4. Тренінги із захисту даних. Ознайомте своїх співробітників з основними концепціями приватності і навчіть їх виконувати свої обов'язки з дотримання захисту даних;
  5. Відповідальний співробітник щодо захисту даних. У випадках створення профілів користувачів з оцінкою їхніх інтересів або особистих якостей, або обробки чутливих даних, вам знадобиться Data Protection Officer - експерт в сфері захисту даних, який стежить за дотриманням правил щодо захисту персональних даних в компанії.

Дотримання захисту персональних даних - це не тільки активні заходи захисту, але і ваш спосіб мислення. Якщо ви розглядаєте повагу приватності як цінність компанії, захист даних стає вашою конкурентною перевагою.

Ми ж, у свою чергу, допоможемо підібрати вам експертів в сфері захисту даних, які найкраще підійдуть під ваш запит.

 

Команда Legal Nodes

Блог Legal Nodes

КІК
Рік після КІК: податкові апдейти для ІТ бізнесу та до чого готуватись у 2022

За результатами третьої панельної дискусії з податковими експертами мережі Legal Nodes, підготували для вас ключові тези з датами, про які дати варто пам’ятати власникам ІТ компаній, зареєстрованих за кордоном, та що очікує на ІТ бізнес найближч...

Команда Legal Nodes
Для Стартапів
Навіщо потрібен Founders Agreement (Договір між засновниками стартапу) і що в ньому треба передбачити + шаблон 2021

Цього разу ми підготували статтю про Founders Agreement (Договір між засновниками стартапу), де розповідаємо більш детально про те, навіщо він потрібен, а також даємо 5 практичних порад про те, що варто в ньому вказати + безкоштовний шаблон Foun...

Команда Legal Nodes
Загальна
Навіщо потрібні Правила користування сайтом (Terms of Use) і що у них потрібно передбачити? + шаблон 2021

Якщо компанія правильно підготує власні Terms of Use, то зможе попередити негативні наслідки та не нести юридичну відповідальність у складних ситуаціях. Цього разу ми підготували для вас статтю з рекомендаціями та БЕЗКОШТОВНИЙ шаблон Terms of Us...

Команда Legal Nodes
Загальна
Публікація додатків в App Store та Google Play: чек-ліст

Щоб без проблем опублікувати додаток в App Store та Google Play, ми підготували для вас цю статтю та чек-ліст із необхідними кроками (у кінці статті ти знайдеш форму для скачування чек-ліста з більш докладною інформацією!)...

Команда Legal Nodes
Персональні дані(GDPR)
Legal Nodes запускає сервіс Data Protection Officer по підписці на Product Hunt

Ми пропонуємо новий продукт з послугами DPO, який щонаймеше у 5 разів ефективніший та дешевший, аніж наймати власного DPO у штат. Підтримайте нашу сторінку "DPO по підписці" на Product Hunt!...

Команда Legal Nodes
КІК
10 тез про податкові ризики 2021 року для українських IT компаній, зареєстрованих за кордоном

Зі вступом закону 466-IX у чинність у зоні податкового ризику опинився ІТ бізнес та стартапи, що мають зареєстровані іноземні компанії. У цій статті ти знайдеш витяг із ключових тез панельної дискусії по цій темі....

Команда Legal Nodes
Для Стартапів
Як стартапу юридично правильно запустити виробництво hardware-продукту?

Зважитися на створення свого бізнесу у сфері hardware може бути складно, розуміючи весь масив майбутньої роботи. У цій статті ти знайдеш юридичний чек-ліст того, про що потрібно подбати при запуску свого hardware виробництва....

Команда Legal Nodes
Персональні дані(GDPR)
Data Protection Officer (DPO) по підписці: як компаніям, що працюють з персональними даними, відповідати вимогам GDPR без проблем

Місячна підписка дозволяє закривати потребу у захисті персональних даних, відповідати вимогам GDPR та легко прогнозувати свої витрати на legal. Концепція "DPO по підписці" дозволяє фаундерам у першу чергу вкладати гроші в розвиток свого продукту...

Команда Legal Nodes
Для Стартапів
Юрисконсульт по підписці: як сучасному стартапу полегшити юридичну рутину

Концепція lawyer-as-a-service (юрист по підписці) дозволяє фаундеру займатися розвитком стартапу, а не юридичною рутиною, забути про дорогі юрфірми, тривалі комунікації з юристами або про необхідність наймати штатного юриста. У цій статті ми зіб...

Команда Legal Nodes