GDPR compliance для українського IT бізнесу: хто підпадає і з чого почати?

13 Травня 2024

General Data Protection Regulation (GDPR, Регламент) — це правовий акт Європейського Союзу (ЄС), який почав застосовуватись із 2018 року та встановлює загальнообов’язкові правила щодо збору та обробки персональних інформації (ПІ) фізичних осіб на території ЄС.

На перший погляд може здатись, що українському ІТ бізнесу не потрібно дотримуватись вимог GDPR, оскільки станом на сьогодні Україна не є членом ЄС. Однак, таке твердження є хибним, адже якщо ваша ІТ компанія відповідає вимогам статті 3 GDPR, то ви зобов’язані дотримуватися норм Регламенту, у зворотному випадку недотримання вимог може призвести не лише до великих штрафів, але й завдати шкоду репутації вашій компанії, довірі ваших клієнтів та партнерів. Про штрафи ви можете детальніше почитати в інших статтях нашого блогу.

Для українських IT компаній, зокрема стартапів, навігація GDPR може бути складною. Тому в цій статті окреслюється, хто має дотримуватися вимог Регламенту та практичні початкові кроки в досягненні відповідності вимогам GDPR.

Які українські ІТ компанії мають дотримуватись GDPR?

Суб’єкти в межах ЄС.

Відповідно до статті 3(1) GDPR, Регламенту мають дотримуватись компанії, які мають осідки (eng.: establishment) в ЄС. Ідентифікувати осідку можна за наступними критеріями:

(і) ваша компанія контролер (eng.: controller) або оператор (eng.: processor) (дивіться про це детальніше в наших інших статтях) здійснює в ЄС реальну та ефективну діяльність, навіть мінімальну, та ту, яка здійснюється через стабільні домовленості, не залежно від правової форми такої діяльності (чи то дочірнє підприємство, офіційне представництво, або навіть через вашого одного представника та ін.). Доказом цього є те, що у справі Weltimmo v. NAIH, що є джерелом права в ЄС, наголошується на привалювання функціональності осідки над її формою.

(іі) обробка ПІ здійснюється у межах діяльності такої осідки, де визначальними  критеріями буде чи генерує така осідка прибуток для вашої компанії і чи є між осідкою та вашою компанією (контролером чи оператором) нерозривний зв’язок. При цьому, важливо, щоб така осідка діяла на території ЄС, а де саме будуть оброблятись (не території ЄС чи поза) не має значення.

Отже, осідка має займатись реальною та ефективною діяльністю — комерційною чи іншою — налаштованою через стабільні домовленості в ЄС, незалежно від юридичної форми, тобто: офіційні представництва вашої ІТ компанії, дочірні підприємства, або один представник тощо. Так Weltimmo, незважаючи на те, що компанія була зареєстрована в Словаччині, для цілей GDPR вважалася заснованою в Угорщині, зокрема завдяки своїй цілеспрямованій діяльності щодо угорської нерухомості та жителів Угорщини. Відповідно і українська ІТ компанія може вважатися такою, що має осідку в ЄС, якщо така осідка через призначення в ЄС свого одного представника або через проведення нею операцій активно та ефективно бере участь в економічній діяльності такої української ІТ компанії в ЄС.

Суб’єкти за межами ЄС.

Відповідно до статті 3(2) GDPR, Регламенту мають дотримуватись українська ІТ компанія за межами ЄС, якщо вона обробляє ПІ про суб’єктів даних (не залежно від їх громадянства, раси тощо) на території ЄС, здійснюючи наступну діяльність:  (і) надання пропозиції товарів чи послуг або (іі) моніторинг поведінки.

(і) Надання пропозиції товарів чи послуг. Доказом такої діяльності може бути використання мови чи валюти, поширеної в одній чи кількох державах-членах ЄС, націлювання реклами на клієнтів із ЄС або згадування клієнтів із ЄС як поточних користувачів, згадки про країни-члени ЄС у рекламних матеріалах, розробка маркетингових кампаній, націлених на аудиторію ЄС, та здійснення транзакцій мовами ЄС. До інших індикаторів належать згадування інструкцій для подорожей до ЄС, оплата за послуги пошукової оптимізації, націленої на ЄС, наявність місцевих контактних даних і використання доменних імен, специфічних для ЄС. Наприклад, ваш сайт в Україні націлений на клієнтів із ЄС за допомогою мови, валюти чи варіантів доставки, характерних для ЄС, підпадає під дію GDPR.

Важливо, доступність веб-сайту в ЄС чи використання мови, що є поширеною як в країні походження компанії, так і в ЄС, самі по собі не свідчать про намір обслуговувати європейські ринки. Європейська рада із захисту даних (EDPB) підкреслила, що при визначенні цільового наміру слід враховувати комбінацію вказаних факторів.

(іі) моніторинг поведінки. Доказом такої діяльності може бути відстеження людей в Інтернеті для поведінкової реклами, геолокалізації, онлайн-відстеження за допомогою файлів cookie або інших методів, а також інші форми профілювання для аналізу або прогнозування особистих уподобань, поведінки та ставлення. Наприклад, фітнес-додаток, розроблений в Україні, який використовує датчики для моніторингу показників здоров’я користувачів у ЄС, де обробка даних пов’язана з наданням персоналізованих порад щодо здоров’я, підпадає під дію GDPR. 

Початкові кроки по GDPR compliance.

З огляду на вищевикладене, ми рекомендуємо вам наступні практичні кроки, які допоможуть визначити, чи підпадає ваш бізнес під критерії статті 3 Регламенту GDPR і якщо «так», то які найближчі кроки вам потрібно зробити щоб запустити процес GDPR compliance.

По-перше, ми рекомендуємо вам проаналізувати чи підпадає діяльність вашої компанії під дію GDPR? Дайте відповідь на наступні запитання: ваша компанія пропонує товари і послуги на території ЄС чи проводить моніторинг поведінки суб’єктів даних із ЄС? Чи ваша компанія має осідку на території ЄС? Якщо відповідь хоча б на одне запитання «так», ви маєте дотримуватись вимог GDPR, тому пункти нижче вам стануть у пригоді.

По-друге, розробіть стратегію відповідності вимогам Регламенту, а саме:

  • Для отримання надали кваліфікованої допомогу в питанні GDPR compliance, призначте privacy pawer або DPO (якщо діяльність вашої компанії забезпечує регулярний та систематичний моніторинг суб’єктів даних за великою шкалою).
  • проаналізувати яку роль ви відіграєте в обробці ПІ (контролера чи оператора)?
  • Розробіть та регулярно оновлюйте вашу privacy policy для веб-сайту, політику конфіденційності, договори і вашими співробітниками/фопами, політики про доступ до ПІ вашими співробітниками, плани реагування на інциденти, пов’язані з порушенням захисту ПІ тощо.
  • Проаналізуйте та розробіть практики обробки ПІ відповідно до статті GDPR, зокрема: забезпечте, що обробка ПІ здійснювалась законно, правомірно і в прозорий спосіб, з цільовим обмеженням тощо.
  • Перевірте, щоб суб’єкти даних надавали згоду на обробку ПІ, коли це потрібно, та гарантуйте, що суб’єкти даних могли легко реалізувати свої права, такі як доступ, виправлення та видалення своїх ПІ.
  • Проводьте систематичні навчання та підвищення обізнаності ваших працівників щодо дотримання вимог GDPR.
  • Перевірте своїх постачальників послуг, які обробляють ПІ від вашого імені. Переконайтеся, що вони також відповідають вимогам GDPR, оскільки будь-які порушення даних або невідповідність з їхнього боку вплинуть на ваш бізнес. 

Важливо зауважити, що вищевикладений перелік не є вичерпний. Однак, увага хоча б мінімально до цих аспектів стане для вас первинним планом дій, що в подальшому може посприяє вашому бізнесу відповідати міжнародним стандартам захисту персональних даних.

Отже, якщо ви українська ІТ компанія, яка має осідку в ЄС, та/або надає товари чи послуг жителям ЄС, або проводить моніторинг їх поведінки, є висока ймовірність того, що ваша компанія повинна бути GDPR compliance. Відповідність вимогам Регламенту є не лише запобіжником накладення штрафів, а й стане запорукою довіри ваших клієнтів, надасть стратегічну перевагу на європейському ринку та покращить репутацію вашої компанії як надійного партнера в глобальній цифровій економіці.