poster
Персональные данные (GDPR)

Защита персональных данных и GDPR в Украине

Эта статья ответит на 4 основных вопроса, которые рано или поздно задает себе каждый владелец tech-бизнеса:

  1. На кого распространяется GDPR в Украине;

  2. Зачем защищать персональные данные;

  3. Каким законам о защите персональных данных необходимо соответствовать;

  4. Как защищать персональные данные.

На кого распространяются требования о защите персональных данных?"

Практически любая компания собирает персональные данные.

Персональные данные это любая информация о личности, которая является идентифицированной или может быть идентифицированной. К персональным данным можно отнести, например, имя, адрес, дату рождения, место проживания, IP-адрес и другие уникальные сведения о человеке. К персональным данным также включаются информация о трафике, записи о времени и дате посещения сайта или cookie-файлы, а также регистрации на мероприятия и контактные формы.

Если ваша компания собирает какие-то данные о личности, то ее деятельность будет регулироваться нормами законодательства о защите персональных данных.

Примеры, на которые распространяются требования законов о защите персональных данных:

  1. SaaS-проекты, которые либо собирают информацию от своих пользователей напрямую, либо получают базу уже собранных данных от своих клиентов;

  2. eCommerce-проекты, в которых есть веб-сайт с регистрацией, возможностью онлайн-заказа или контактной формой;

  3. Работодатели, которые собирают информацию о своих работниках.

Зачем защищать персональные данные

Убытки, связанные с уровнем защиты данных могут вдвое превышать ресурсы, потраченные на подготовку. Среди наиболее распространенных проблем, связанных с недостаточным уровнем защиты данных:

  1. Низкая инвестиционная привлекательность: инвесторы проверяют соответствие стартапа законам о защите персональных данных перед любыми инвестициями. Выявление проблем может существенно снизить размер инвестиций (до 25%);

  2. Невозможность размещения в Google Play Market или в Apple Store. Эти платформы требуют, чтобы приложение имело разработанную Политику Приватности (Privacy Policy), а данные были защищены;

  3. Риск санкций. ЕС и США могут налагать значительные штрафы (до 4% от годового дохода), временный или постоянный запрет на обработку данных пользователей, если компания не предоставляет нужные гарантии защиты данных. Это может привести к потере основного источника прибыли компании.

8K1YzhaJ8hAhm681jeuR2T46bxgoVYYcdAMIEUN0sTls70cDr6McC-k2vqLPCBeD-Vi7__UVFC976OFNgJkrI7cy8Iv6axzeFSq76NBRaBYRpDk3rmjaZeiUBsxSd5um7tMvLnN7Illustrations by Freepik Stories

Каким законам о защите персональных данных необходимо соответствовать

Для того, чтобы понять, законам какой страны необходимо соответствовать вашему бизнесу, необходимо учитывать три фактора.

Фактор 1 Фактическое место ведения бизнеса

Законы о защите данных применяются в зависимости от фактического ведения бизнеса. Ключевую роль играет местоположение офиса, сотрудников, банковского счета и лиц, принимающих решения.

Фактор 2 Целевой рынок

Законы о защите данных некоторых стран могут применяться к вашему бизнесу даже в том случае, если вы находитесь за их пределами. Например, GDPR (законодательство ЕС о защите персональных данных) применяется:

  1. Если вы используете целевую рекламу, переводите интерфейс на один из языков ЕС или показываете отзывы клиентов с ЕС в целях продажи товаров и услуг европейцам;

  1. Когда вы анализируете поведение людей, живущих в одной из стран Европейского Cоюза. Например, исследования рынка или анализ данных о гражданах с публичных реестров одной или нескольких стран ЕС.

Фактор 3 Законы, применяемые к бизнесу вашего клиента

Кроме того, вам необходимо соблюдать требования страны, в которой находятся ваши корпоративные клиенты или партнеры, которые передают вам персональные данные. B2B-компании, которые хотят обрабатывать данные от имени своих клиентов, должны соответствовать требованиям законодательства о защите персональных данных в стране, где находится компания клиента.

DbckV2VOR1hgWCsKQoD4gzK_5M3wsjziLT7zx6kJ-QgkDs0xMo6FaCHwFk0CQ8GSUxgQwqv0KnYnJlnEnx8axu_vqKl8F7Egpd3vSFBgybMsk7fonD90JjsfZloOXAtU9QJBN_ha

Designed by katemangostar and freepik / Freepik

Как защищать персональные данные

Вам понадобится четкий план действий, включающий такие шаги:

  1. Оценка движения данных в компании (Аудит защиты персональных данных). Определите все виды деятельности, которые затрагивают обработку персональных данных, и создайте карту движения данных (англ. Records of processing activities). После составления карты движения данных вам будет легче оценить риски и принять меры для их минимизации.

  1. Внутренние политики, соглашения, техническая и организационная защита. На основе первой оценки (аудита) вы можете приступить к разработке политик защиты данных (англ. Data Protection Policy), политики безопасности (англ. Information Security Policy) и разработать процедуру ответа на запросы от ваших пользователей. Защитите отношения с партнерскими компаниями, которые получают от вас данные ваших пользователей, путем заключения соглашений о защите персональных данных. С технической точки зрения, каждую операцию по обработке персональных данных необходимо защитить мерами по кибербезопасности от возможных утечек.

  1. Документы для сайта / мобильного приложения: ваш интерфейс и публичные политики. Важно то, как вы взаимодействуете с пользователями на сайте или в приложении. Для этого вам понадобятся Privacy Policy и Cookie Policy. Для В2В-стартапов необходимым документом является также соглашение об обработке данных (англ. Data Processing Agreement).

  1. Тренинги по защите данных. Ознакомьте своих сотрудников с основными концепциями приватности и научите их выполнять свои обязанности с соблюдением защиты данных;

  1. Ответственный сотрудник по защите данных. В случаях создания профилей пользователей с оценкой их интересов и личных качеств, или обработки чувствительных данных, вам понадобится Data Protection Officer - эксперт в области защиты данных, который следит за соблюдением правил по защите персональных данных в компании.

Соблюдение защиты персональных данных это не только активные меры защиты, но и ваш образ мышления. Если вы рассматриваете уважение к приватности как ценность компании, защита данных становится вашим конкурентным преимуществом.

Мы же, в свою очередь, поможем подобрать вам экспертов в области защиты данных, которые лучше всего подойдут под Ваш запрос.

Блог Legal Nodes

Для Стартапов
Зачем нужен Founders Agreement (Договор между основателями стартапа) и что в нем нужно предусмотреть? + шаблон 2021

В этот раз мы подготовили статью про Founders Agreement (Договоро между основателями стартапа), где рассказываем более детально про то, зачем он нужен, примеры использования, а также даем 5 практических советов о том, что стоит в нем указать + б...

Команда Legal Nodes
Общее
Зачем нужны Правила пользования сайтом (Terms of Use) и что в них нужно предусмотреть? + шаблон 2021

Если компания правильно пропишет свои Terms of Use, то сможет предупредить негативные последствия и не нести юридическую ответственность в сложных ситуациях. В этот раз мы подготовили для вас статью с рекомендациями и БЕСПЛАТНЫЙ шаблон Terms of ...

Команда Legal Nodes
Общее
Публикация приложений в App Store и Google Play: чек-лист

Чтобы без проблем опубликовать приложение в App Store и Google Play, мы подготовили для вас эту статью и чек-лист необходимых шагов (в конце статьи ты найдешь форму для скачивания чек-листа с более подробной информацией!)...

Команда Legal Nodes
Персональные данные(GDPR)
Legal Nodes запускает сервис Data Protection Officer по подписке на Product Hunt!

Мы предлагаем новый продукт с услугами DPO, который как минимум в 5 раз эффективнее и дешевле, чем нанимать своего DPO в штат. Поддержите нашу страницу "DPO по подписке" на Product Hunt!...

Команда Legal Nodes
Для Стартапов
Как стартапу юридически правильно запустить производство hardware-продукта?

Решиться на создание своего бизнеса в сфере hardware может быть сложно, понимания весь массив предстоящей работы. В этой статье ты найдешь юридический чек-лист того, о чем нужно позаботиться при запуске своего hardware производства....

Команда Legal Nodes
Персональные данные(GDPR)
Data Protection Officer (DPO) по подписке: как компаниям, работающим с персональными данными, соответствовать GDPR без проблем

Месячная подписка позволяет закрывать потребность в защите персональных данных, соответствовать GDPR и легко прогнозировать свои траты на legal. Концепция "DPO по подписке” позволяет фаундерам в первую очередь вкладывать деньги в развитие своего...

Команда Legal Nodes
Для Стартапов
Юрисконсульт по подписке: как современному стартапу облегчить юридическую рутину

Концепция lawyer-as-a-service (юрист по подписке) позволяет фаундерам заниматься развитием стартапа, а не юридической рутиной, забыть о дорогостоящих юрфирмах, длительных коммуникациях с юристами или о необходимости нанимать собственного юриста....

Команда Legal Nodes
Персональные данные(GDPR)
Cookie Policy: как отслеживать работу вашего сайта, не нарушая требований GDPR? + шаблон Cookie Policy

Эта статья поможет разобраться в типичных ошибках при сборе файлов cookie и необходимых мерах для соблюдения законов Европейского Союза о защите данных. В конце статьи вы бесплатно сможете получить шаблон Cookie Policy для вашего сайта....

Команда Legal Nodes
Для Стартапов
Какие юридические документы необходимо собрать стартапу, чтобы успешно отчитываться перед USF (Ukrainian Startup Fund)?

Если ваш стартап уже начал работу с USF или только планирует участвовать в грантовой программе, команда Legal Nodes будет рада поделиться с Вами шаблонами юридических документов для успешной подачи отчетности в USF....

Команда Legal Nodes