Чому ІТ компаніям потрібно думати про GDPR

06 Серпня 2020

Не дивлячись на те, що влада в Україні всіляко намагається розбудовувати ІТ індустрію в Україні, все одно більшість фаундерів намагаються зареєструвати свої компанії за її межами, зокрема в країнах – членах Європейського Союзу та Сполучених Штатах Америки, хоча і вимоги щодо захисту персональних даних там доволі жорсткі.

Юрисдикції та їхні вимоги щодо захисту даних

Якщо говорити про реєстрацію компанії в Європі, то в цьому випадку власникам бізнесу варто звернути увагу на General Data Protection Regulation або скорочено GDPR, який діє в ЄС з 2018 року. Цей документ значно посилює відповідальність за недотримання вимог щодо обробки персональних даних осіб, що знаходяться на території ЄС. В результаті цього, всі компанії, як діючі на момент набрання законної сили GDPR, так і ті, що були зареєстровані після 25 травня 2018 року, повинні адаптувати свій бізнес до нових реалій європейського законодавства в сфері захисту даних.

Якщо говорити про Сполучені Штати Америки, то тут ситуація більш проста, однак, в залежності від конкретного штату, вона може ставати жорсткішою, в контексті вимог до компаній, які бажають працювати з персональними даними фізичних осіб.

Так в січні 2020 році, набрав законної сили California Consumer Privacy Act або коротко CCPA, який регулює питання захисту приватності всіх споживачів на території штату Каліфорнія. Це значить, що всі компанії, які були створені в Каліфорнії до 2020 року повинні негайно адаптувати свій бізнес до вимог CCPA, а компаній, що мають намір там реєструватися, повинні вжити всіх необхідних організаційних та технічних заходів, які б забезпечили відповідність вимогам CCPA.

Разом з тим, ходять слухи про те, що в США планують розробити федеральний закон про захист персональних даних, який покриватиме всю територію США.

Яких ІТ компаній стосуються вимоги щодо захисту даних

Розглядаючи компанії в сфері ІТ, як зареєстровані за межами України, наприклад на території ЄС, потрібно розібратися в тому, чи взагалі оперують вони, в рамках своєї діяльності, персональними даними чи ні. В цьому випадку, мова йде не тільки про персональні дані клієнтів або кінцевих споживачів програмного забезпечення, яке компанія розробляє або обслуговує, а і про персональні дані своїх працівників.

Важливо: деякі компанії помилково вважають, що збираючи лише персональні дані своїх працівників та представників компаній-партнерів, вони не підпадають під вимоги GDPR, тому що ризик виявлення такого порушення мінімальний. Побутує думка, що «Всі ж свої». Однак, таке твердження є помилковим, адже в ЄС, контролюючому органу достатньо заяви будь-якої особи про порушення її даних, для можливості ініціювати перевірку в компанії, яка здійснює обробку таких даних. В цьому випадку не важливо, чи це буде ображений працівник чи обурений клієнт.  

У результаті такого висновку, варто зазначити, що під вимоги GDPR потрапляють наступні види компаній:

  • ІТ компанії, які здійснюють свою діяльність через веб-ресурси, зокрема через веб-сайти, адже вони збирають персональні дані користувачів веб-ресурсом;
  • ІТ компанії, що надають outsource або out staff послуги з розробки програмного забезпечення чи підтримки програмного забезпечення, адже вони можуть отримувати доступ до баз даних як клієнтів замовника, так і до інших баз даних замовника;
  • Продуктові ІТ компанії, які продають розроблене програмне забезпечення у вигляді всіляких програм тощо;
  • ІТ компанії, які розробляють комп’ютерні та мобільні онлайн ігри;
  • Інші компанії, які так чи інакше пов’язані з ІТ індустрією та здійснюють обробку персональних даних.

Беручи до уваги роз’яснення компетентних європейських органів, GDPR може не застосовуватися до компанії тільки тоді, коли обробка персональних даних здійснюється не регулярно та в невеликих розмірах. Частіше це компанії, які відносяться до малого бізнесу, які не оперують і сфері ІТ.

На що потрібно звернути увагу в першу чергу

Найголовніше, на що компанії потрібно звернути увагу, це основні заходи безпеки, а також загальні організаційні заходи щодо можливості демонстрації своєї відповідності вимогам GDPR. До організаційних заходів, в першу чергу, потрібно віднести публічні документи компанії, які вона розміщує публічно або надає для ознайомлення всім зацікавленим особам, в тому числі і фізичним особам, чиї персональні дані будуть оброблятися або вже обробляються. До цих документів відносяться Privacy Policy та Cookie Policy, які є кореневими документами, що інформують громадськість про умови та порядок обробки персональних даних компанією. Зазвичай такі документи повинні бути розміщені на веб-сайтах компанії або у фізичному вигляді, якщо свою діяльність компанія здійснює не в онлайн просторі.

Важливо: розробка згаданих вище документів повинна бути максимально ретельною, адже від цього залежить, як буде побудована подальша ієрархія документів та заходів в рамках діяльності компанії по питанням обробки та захисту персональних даних. Якщо у вас немає в штаті кваліфікованого спеціаліста по захисту даних, варто залучати зовнішніх спеціалістів, які мають практичний досвід розробки таких документів, для досягнення максимального ефекту.

Щодо заходів безпеки, то вони повинні полягати не лише в технічному забезпеченні безпеки обробки персональних даних (наприклад токенізація, інкриптування та псевдонімізація), але і в організаційних заходах, на які компанії варто звернути свою увагу.

Одним із основних таких заходів, як показує практика, є організація навчання та підвищення обізнаності працівників компанії та всіх зацікавлених осіб щодо вимог європейського законодавства в сфері захисту персональних даних. Таке навчання повинно бути регламентоване відповідними внутрішніми політиками, графічними матеріалами та таблицями ознайомлення/погодження, що повинні використовуватися компанією на постійній основі.

Важливо: для можливості ефективно підвищити рівень обізнаності персоналу, варто звернутися до спеціалістів, які мають практичний досвід в реалізації норм GDPR в рамках тих чи інших сферах бізнесу, зокрема і в сфері ІТ.

Висновок

Плануючи організувати та запустити власний ІТ бізнес закордоном, зокрема в ЄС, будьте готові до того, що до вас будуть застосовуватися норми GDPR та інших нормативних актів у сфері захисту персональних даних. Будьте завжди готові надати відповідь відповідним компетентним контролюючим органам щодо того, як та які персональні дані ви обробляєте, та чи захищені при цьому інтереси фізичних осіб, а також фізичним особам, чиї персональні дані компанія оброблює.