GDPR Україна: необхідність застосування в Україні

24 Лютого 2025

Україна, як держава, що завжди прагнула до європейського світосприйняття, вже найближчими роками може стати повноцінним членом Європейського Союзу, що в свою чергу, неодмінно призведе до необхідності адаптації українського законодавства до вимог General Data Protection Regulation (GDPR). Наразі, в комітетах Верховної Ради України вже лежить законопроєкт, який по своїй формі та суті майже повністю відображає вимоги GDPR. Його прийняття, на нашу думку, це питання найближчих років. Інформацію про новий законопроєкт ви можете знайти в нашій статті: Новий закон про захист персональних даних в Україні: що очікувати.

Регулювання GDPR в Україні

Окрім того, що український бізнес вже найближчим часом буде адаптуватися до нового законодавства України в сфері захисту даних, вимоги GDPR можуть покладатися на українські компанії вже зараз. В цьому випадку мова йде про той бізнес, який зареєстрований в Україні та орієнтований на ринки Європи. Перш за все, мова йде про компанії, що провадять свою діяльність в сфері інформаційних технологій.

Ознаки того, що компанії підпадають під вимоги GDPR

Отже, компаніям, які не мають своїх офісів в Європейському Союзі, варто звернути увагу на те, чи підпадають вони під вимоги GDPR у наступних випадках:

  • компанії пропонують свої товари або послуги особам, що знаходяться на території ЄС, не залежно від того, чи стягується плата за такі послуги або товари;
  • у випадку моніторингу поведінки осіб, які знаходяться на території ЄС, в силу того, що реалізація такої поведінки відбувається на території Європейського Союзу.

Якщо компанія, підпадає під один із цих критеріїв, виникає необхідність адаптувати діяльність бізнесу під вимоги GDPR. Слід зауважити, що питання визначення застосовності перелічених вище критеріїв теж є не найпростішою задачею, тому в цьому випадку краще керуватися офіційними рекомендаціями компетентних європейських органів. Наприклад, для таких цілей, можна використати наступний документ: Guidelines 3/2018 on the territorial scope of the GDPR (Article 3).

Відповідальність

Не варто нагадувати про жорсткість заходів відповідальності, яка застосовується у відповідності з GDPR, однак варто наголосити на тому, що в контексті штрафів, які варіюються від десяти до двадцяти мільйонів євро, згідно з GDPR, проєкт ново українського закону, який має бути прийнятим вже найближчим часом, передбачає штрафи від тридцяти тисяч до ста п’ятдесяти мільйонів гривень. Це повинно стати каталізатором для українських компаній діяти вже зараз та вживати всі необхідні заходи для адаптації свого бізнесу вимогам щодо захисту даних.

Самостійна адаптація до GDPR або залучення експертів

Звісно це питання можливо розібрати самостійно та спробувати адаптувати внутрішні процеси компанії та документацію до вимог GDPR, однак може виникнути декілька труднощів, з якими може зіштовхнутися бізнес.

  • Адаптація до GDPR передбачає не лише аналіз цього регулювання, а також і низки інших регулювань, наприклад Директива 2002/58/EC (e-Privacy Directive), а також низка інших пов’язаних регламентуючих документів та рекомендацій.
  • Постійний моніторинг змін до законодавства, що стосується захисту персональних даних. В цьому випадку мова йде як про перспективу прийняття нового закону в Україні, так і про прийняття інших нормативних актів в Європейському Союзі.

В цьому випадку, найефективнішим варіантом буде залучення спеціалістів, які розуміються на впровадження ефективних програм управління даними, у відповідності з вимогами GDPR, іншими законодавчими актами, а також перспективами та небезпеками для бізнесу, що можуть нести потенційні зміни в українському законодавстві.