Защита персональных данных и GDPR в Украине
Команда Legal Nodes
21.08.20
информация
Эта статья ответит на 4 основных вопроса, которые рано или поздно задает себе каждый владелец tech-бизнеса:
-
На кого распространяется GDPR в Украине;
-
Зачем защищать персональные данные;
-
Каким законам о защите персональных данных необходимо соответствовать;
-
Как защищать персональные данные.
На кого распространяются требования о защите персональных данных?"
Практически любая компания собирает персональные данные.
Персональные данные — это любая информация о личности, которая является идентифицированной или может быть идентифицированной. К персональным данным можно отнести, например, имя, адрес, дату рождения, место проживания, IP-адрес и другие уникальные сведения о человеке. К персональным данным также включаются информация о трафике, записи о времени и дате посещения сайта или cookie-файлы, а также регистрации на мероприятия и контактные формы.
Если ваша компания собирает какие-то данные о личности, то ее деятельность будет регулироваться нормами законодательства о защите персональных данных.
Примеры, на которые распространяются требования законов о защите персональных данных:
-
SaaS-проекты, которые либо собирают информацию от своих пользователей напрямую, либо получают базу уже собранных данных от своих клиентов;
-
eCommerce-проекты, в которых есть веб-сайт с регистрацией, возможностью онлайн-заказа или контактной формой;
-
Работодатели, которые собирают информацию о своих работниках.
Зачем защищать персональные данные
Убытки, связанные с уровнем защиты данных могут вдвое превышать ресурсы, потраченные на подготовку. Среди наиболее распространенных проблем, связанных с недостаточным уровнем защиты данных:
-
Низкая инвестиционная привлекательность: инвесторы проверяют соответствие стартапа законам о защите персональных данных перед любыми инвестициями. Выявление проблем может существенно снизить размер инвестиций (до 25%);
-
Невозможность размещения в Google Play Market или в Apple Store. Эти платформы требуют, чтобы приложение имело разработанную Политику Приватности (Privacy Policy), а данные были защищены;
-
Риск санкций. ЕС и США могут налагать значительные штрафы (до 4% от годового дохода), временный или постоянный запрет на обработку данных пользователей, если компания не предоставляет нужные гарантии защиты данных. Это может привести к потере основного источника прибыли компании.
Illustrations by Freepik Stories
Каким законам о защите персональных данных необходимо соответствовать
Для того, чтобы понять, законам какой страны необходимо соответствовать вашему бизнесу, необходимо учитывать три фактора.
Фактор 1 — Фактическое место ведения бизнеса
Законы о защите данных применяются в зависимости от фактического ведения бизнеса. Ключевую роль играет местоположение офиса, сотрудников, банковского счета и лиц, принимающих решения.
Фактор 2 — Целевой рынок
Законы о защите данных некоторых стран могут применяться к вашему бизнесу даже в том случае, если вы находитесь за их пределами. Например, GDPR (законодательство ЕС о защите персональных данных) применяется:
-
Если вы используете целевую рекламу, переводите интерфейс на один из языков ЕС или показываете отзывы клиентов с ЕС в целях продажи товаров и услуг европейцам;
-
Когда вы анализируете поведение людей, живущих в одной из стран Европейского Cоюза. Например, исследования рынка или анализ данных о гражданах с публичных реестров одной или нескольких стран ЕС.
Фактор 3 — Законы, применяемые к бизнесу вашего клиента
Кроме того, вам необходимо соблюдать требования страны, в которой находятся ваши корпоративные клиенты или партнеры, которые передают вам персональные данные. B2B-компании, которые хотят обрабатывать данные от имени своих клиентов, должны соответствовать требованиям законодательства о защите персональных данных в стране, где находится компания клиента.
Designed by katemangostar and freepik / Freepik
Как защищать персональные данные
Вам понадобится четкий план действий, включающий такие шаги:
-
Оценка движения данных в компании (Аудит защиты персональных данных). Определите все виды деятельности, которые затрагивают обработку персональных данных, и создайте карту движения данных (англ. — Records of processing activities). После составления карты движения данных вам будет легче оценить риски и принять меры для их минимизации.
-
Внутренние политики, соглашения, техническая и организационная защита. На основе первой оценки (аудита) вы можете приступить к разработке политик защиты данных (англ. — Data Protection Policy), политики безопасности (англ. — Information Security Policy) и разработать процедуру ответа на запросы от ваших пользователей. Защитите отношения с партнерскими компаниями, которые получают от вас данные ваших пользователей, путем заключения соглашений о защите персональных данных. С технической точки зрения, каждую операцию по обработке персональных данных необходимо защитить мерами по кибербезопасности от возможных утечек.
-
Документы для сайта / мобильного приложения: ваш интерфейс и публичные политики. Важно то, как вы взаимодействуете с пользователями на сайте или в приложении. Для этого вам понадобятся Privacy Policy и Cookie Policy. Для В2В-стартапов необходимым документом является также соглашение об обработке данных (англ. — Data Processing Agreement).
-
Тренинги по защите данных. Ознакомьте своих сотрудников с основными концепциями приватности и научите их выполнять свои обязанности с соблюдением защиты данных;
-
Ответственный сотрудник по защите данных. В случаях создания профилей пользователей с оценкой их интересов и личных качеств, или обработки чувствительных данных, вам понадобится Data Protection Officer - эксперт в области защиты данных, который следит за соблюдением правил по защите персональных данных в компании.
Соблюдение защиты персональных данных — это не только активные меры защиты, но и ваш образ мышления. Если вы рассматриваете уважение к приватности как ценность компании, защита данных становится вашим конкурентным преимуществом.
Мы же, в свою очередь, поможем подобрать вам экспертов в области защиты данных, которые лучше всего подойдут под Ваш запрос.