конференція з бізнес-аналізу

GDPR для українського бізнесу: вимога майбутнього чи реальність сьогодення?

Що таке GDPR

Коли у 2018 році в Європейському Союзі набрав чинності Загальний регламент про захист даних (GDPR), його сприймали як суто «європейську» історію. Та вже зараз зрозуміло: цей документ працює далеко за межами ЄС і впливає навіть на ті компанії, які жодного офісу в Брюсселі чи Берліні не мають. А сьогодні, GDPR для українського бізнесу має величезне значення.

Захист персональних даних у Європі обговорювався ще з 90-х років, але до 2018 року правила були розмитими. Кожна країна мала власні механізми, і це створювало хаос: те, що працювало в Німеччині, не підходило у Франції. Європейський Союз вирішив встановити єдині правила гри, і так народився General Data Protection Regulation (GDPR).

Його головна особливість у тому, що це регламент, а не директива. Тобто він діє напряму у всіх країнах ЄС, без потреби додатково «проштовхувати» його через національні парламенти.

Де діє GDPR і як він стосується українського бізнесу

Здавалося б, регламент має діяти тільки у межах ЄС. Але ні – він має так звану екстериторіальну дію. Це означає, що ви можете підпасти під його вимоги навіть тоді, коли ваша компанія зареєстрована в Україні. Так буде, якщо Ви:

  • Пропонуєте товари чи послуги людям у ЄС;
  • Моніторите поведінку користувачів із Європейського Союзу.

Наприклад: український онлайн-магазин, який приймає оплату в євро та доставляє товари в Польщу, вже потрапляє під GDPR. Або ж стартап, який аналізує активність користувачів із Німеччини, теж у зоні регламенту.

Хто є хто: контролери та процесори даних

Щоб розібратись у регламенті, важливо знати дві ключові ролі. Ними є:

  • Контролер даних – компанія, яка визначає цілі та засоби обробки даних (наприклад, онлайн-магазин, який збирає дані для доставки).
  • Процесор даних – компанія, яка обробляє дані від імені контролера (наприклад, хмарний сервіс, де зберігаються ці дані).

І тут головне: контролер відповідає за все, навіть якщо технічно дані обробляє процесор.

Принципи GDPR

Регламент вимагає, щоб компанії дотримувались кількох принципів. Загально їх можна описати наступним чином:“збирати точні дані, але не більше, ніж потрібно; непотрібне – видаляти, і дбати про конфіденційність”. Більш розширено ці принципи виглядають так:

  • Мінімізація – не збирайте більше, ніж треба. Якщо вам потрібен email для доставки, не просіть дату народження.
  • Точність – дані повинні бути актуальними.
  • Обмеження зберігання – інформацію потрібно видаляти, коли вона вже не потрібна.
  • Конфіденційність і безпека – від паролів до шифрування, усе має бути під контролем.

На чому базується обробка даних?

Компанія повинна мати юридичну підставу для обробки даних. Найчастіше це згода користувача. Але важливо:

  • Вона має бути добровільною і чіткою;
  • Користувач повинен знати, на що саме погоджується;
  • «Мовчазна згода» чи приховані галочки не підходять.

Окрім цього, ви маєте повідомити користувача:

  • Хто ви і навіщо обробляєте дані;
  • Чи передаєте їх третім сторонам;
  • Чи плануєте вивозити їх за межі ЄС;
  • Як довго зберігатимете інформацію.

Зазвичай усе це пишуть у Privacy Policy. Проблема лише в тому, що мало хто читає політики конфіденційності на 20 сторінок. 

Права користувачів: що змінює GDPR для українського бізнесу

Раніше пересічний користувач не мав особливих інструментів контролю над своїми даними. GDPR усе змінив. Тепер користувач може:

  • Дізнатися, які саме її дані зберігаються і навіщо;
  • Вимагати виправлення або видалення;
  • Обмежити використання даних;
  • Отримати їх у зручному форматі і передати іншому сервісу;
  • Заперечити проти використання, наприклад, у рекламі;
  • Оскаржити рішення, ухвалене алгоритмом без людського втручання;
  • Подати скаргу до наглядового органу.

Як бізнесу підготуватись?

В першу чергу оцініть чи повинні ви відповідати вимогам GDPR. Якщо так, то ви можете створити карту руху персональних даних (Data flow mapping) – це техніка, яка використовується, щоб відстежувати потік даних усередині компанії, включаючи особисту інформацію клієнтів, працівників та інших залучених третіх сторін. За допомогою Data flow mapping ви побачите де у вас слабкі сторони і оціните які процеси вам потрібно провести у відповідність до GDPR та які заходи безпеки вам будуть необхідні. 

Наступним важливим етапом є підготовка документації у відповідності до регламенту. Зокрема, GDPR в своїх статтях посилається на наступні документи: 

  • Personal Data Protection Policy
  • Privacy Notice
  • Employee Privacy Notice
  • Data Retention Policy
  • Data Retention Schedule
  • Data Subject Consent Form
  • Parental Consent Form
  • DPIA Register
  • Supplier Data Processing Agreement
  • Data Breach Response and Notification Procedure
  • Data Breach Register
  • Data Breach Notification Form to the Supervisory Authority
  • Data Breach Notification Form to Data Subjects.

Штрафи і ризики

Особливістю GDPR є запровадження значних сум штрафів: до 20 млн. євро або до 4 % річного обороту компанії за минулий фінансовий рік. Найбільш поширені порушення GDPR: недостатні або відсутні технічні та організаційні заходи безпеки; порушення основних принципів обробки персональних даних; відсутність юридичної підстави для обробки даних.

Лише у 2023 році сума штрафів сягнула майже 3 мільярди євро, а серед порушників опинились і світові корпорації, і менші компанії.

Україна і GDPR: що нас чекає

Україна вже офіційно – кандидат на членство в ЄС. Це означає, що нам доведеться гармонізувати своє законодавство з європейським. Уже зараз готуються зміни до закону про захист персональних даних, а у бізнесу з’являється шанс заздалегідь «звикнути» до нових правил, зауважує Карина Пуканюк – юрист, спеціаліст із захисту інтелектуальної власності та засновниця Flex Partners. То ж виходить, що GDPR для українського бізнесу – вже не просто щось нове, проте надзвичайно важливе.

Чому варто діяти вже зараз

GDPR – це глобальний стандарт, який визначає, як бізнес має працювати з персональними даними.

Для українських компаній він є водночас і викликом, і можливістю. Викликом, бо доведеться перебудовувати процеси; Можливістю, бо це відкриє двері на ринки ЄС і підвищить довіру клієнтів.

Питання лише в тому: ви чекаєте, поки GDPR стане для нас обов’язковим, чи починаєте підготовку вже сьогодні?

Канали конференції:
LinkedIn: https://www.linkedin.com/company/uabaconf/
Facebook: https://www.facebook.com/profile.php?id=61570837274215
Instagram: https://www.instagram.com/uabaconf/
Telegram: https://t.me/uabaconf
YouTube: https://www.youtube.com/@uabaconf

Хочете розмістити у нас вашу статтю? Пішіть нам на articles@uabaconf.info