Защита персональных данных и GDPR в Украине

Эта статья ответит на 4 основных вопроса, которые рано или поздно задает себе каждый владелец tech-бизнеса:

1. На кого распространяется GDPR в Украине;

2. Зачем защищать персональные данные;

3. Каким законам о защите персональных данных необходимо соответствовать;

4. Как защищать персональные данные.

На кого распространяются требования о защите персональных данных?"

Практически любая компания собирает персональные данные.

Персональные данные — это любая информация о личности, которая является идентифицированной или может быть идентифицированной. К персональным данным можно отнести, например, имя, адрес, дату рождения, место проживания, IP-адрес и другие уникальные сведения о человеке. К персональным данным также включаются информация о трафике, записи о времени и дате посещения сайта или cookie-файлы, а также регистрации на мероприятия и контактные формы.

Если ваша компания собирает какие-то данные о личности, то ее деятельность будет регулироваться нормами законодательства о защите персональных данных.

Примеры, на которые распространяются требования законов о защите персональных данных:

1. SaaS-проекты, которые либо собирают информацию от своих пользователей напрямую, либо получают базу уже собранных данных от своих клиентов;

2. eCommerce-проекты, в которых есть веб-сайт с регистрацией, возможностью онлайн-заказа или контактной формой;

3. Работодатели, которые собирают информацию о своих работниках.

Зачем защищать персональные данные

Убытки, связанные с уровнем защиты данных могут вдвое превышать ресурсы, потраченные на подготовку. Среди наиболее распространенных проблем, связанных с недостаточным уровнем защиты данных:

1. Низкая инвестиционная привлекательность: инвесторы проверяют соответствие стартапа законам о защите персональных данных перед любыми инвестициями. Выявление проблем может существенно снизить размер инвестиций (до 25%);

2. Невозможность размещения в Google Play Market или в Apple Store. Эти платформы требуют, чтобы приложение имело разработанную Политику Приватности (Privacy Policy), а данные были защищены;

3. Риск санкций. ЕС и США могут налагать значительные штрафы (до 4% от годового дохода), временный или постоянный запрет на обработку данных пользователей, если компания не предоставляет нужные гарантии защиты данных. Это может привести к потере основного источника прибыли компании.

Illustrations by Freepik Stories

Каким законам о защите персональных данных необходимо соответствовать

Для того, чтобы понять, законам какой страны необходимо соответствовать вашему бизнесу, необходимо учитывать три фактора.

Фактор 1 — Фактическое место ведения бизнеса

Законы о защите данных применяются в зависимости от фактического ведения бизнеса. Ключевую роль играет местоположение офиса, сотрудников, банковского счета и лиц, принимающих решения.

Фактор 2 — Целевой рынок

Законы о защите данных некоторых стран могут применяться к вашему бизнесу даже в том случае, если вы находитесь за их пределами. Например, GDPR (законодательство ЕС о защите персональных данных) применяется:

1. Если вы используете целевую рекламу, переводите интерфейс на один из языков ЕС или показываете отзывы клиентов с ЕС в целях продажи товаров и услуг европейцам;

2. Когда вы анализируете поведение людей, живущих в одной из стран Европейского Cоюза. Например, исследования рынка или анализ данных о гражданах с публичных реестров одной или нескольких стран ЕС.

Фактор 3 — Законы, применяемые к бизнесу вашего клиента

Кроме того, вам необходимо соблюдать требования страны, в которой находятся ваши корпоративные клиенты или партнеры, которые передают вам персональные данные. B2B-компании, которые хотят обрабатывать данные от имени своих клиентов, должны соответствовать требованиям законодательства о защите персональных данных в стране, где находится компания клиента.

Designed by katemangostar and freepik / Freepik

Как защищать персональные данные

Вам понадобится четкий план действий, включающий такие шаги:

1. Оценка движения данных в компании (Аудит защиты персональных данных). Определите все виды деятельности, которые затрагивают обработку персональных данных, и создайте карту движения данных (англ. — Records of processing activities). После составления карты движения данных вам будет легче оценить риски и принять меры для их минимизации.

2. Внутренние политики, соглашения, техническая и организационная защита. На основе первой оценки (аудита) вы можете приступить к разработке политик защиты данных (англ. — Data Protection Policy), политики безопасности (англ. — Information Security Policy) и разработать процедуру ответа на запросы от ваших пользователей. Защитите отношения с партнерскими компаниями, которые получают от вас данные ваших пользователей, путем заключения соглашений о защите персональных данных. С технической точки зрения, каждую операцию по обработке персональных данных необходимо защитить мерами по кибербезопасности от возможных утечек.

3. Документы для сайта / мобильного приложения: ваш интерфейс и публичные политики. Важно то, как вы взаимодействуете с пользователями на сайте или в приложении. Для этого вам понадобятся Privacy Policy и Cookie Policy. Для В2В-стартапов необходимым документом является также соглашение об обработке данных (англ. — Data Processing Agreement).

4. Тренинги по защите данных. Ознакомьте своих сотрудников с основными концепциями приватности и научите их выполнять свои обязанности с соблюдением защиты данных;

5. Ответственный сотрудник по защите данных. В случаях создания профилей пользователей с оценкой их интересов и личных качеств, или обработки чувствительных данных, вам понадобится Data Protection Officer - эксперт в области защиты данных, который следит за соблюдением правил по защите персональных данных в компании.

Соблюдение защиты персональных данных — это не только активные меры защиты, но и ваш образ мышления. Если вы рассматриваете уважение к приватности как ценность компании, защита данных становится вашим конкурентным преимуществом.

Мы же, в свою очередь, поможем подобрать вам экспертов в области защиты данных, которые лучше всего подойдут под Ваш запрос.