GDPR УКРАЇНА

Українському бізнесу варто брати до уваги вимоги GDPR

Українські компанії, які планують або вже здійснюють свою діяльність, яка орієнтована на європейський ринок, повинні бути готові до того, що до них може прийти запит від громадянина Європейського Союзу щодо реалізації ним своїх прав у відповідності до GDPR. Якщо ж українська компанія, у цьому випадку, не зможе належним чином надати відповідь або забезпечити реалізацію права суб’єкта даних, такої фізична особа може звернутися до відповідного контролюючого європейського органу, і як наслідок, до компанії можуть бути застосовані штрафні санкції.

Вам варто знати, що застосування штрафних санкцій не обмежується лише територією ЄС, тому що норми GDPR розповсюджуються на всі компанії, які працюють з європейським ринком та оброблюють персональні дані фізичних осіб з ЄС, не зважаючи на місце їхньої реєстрації. Не виключенням залишається і Україна. Такі особливості, зокрема, визначаються у відповідності до принципу територіального застосування GDPR.

Так, в частині 2 статті 3 General Data Protection Regulation вказується, що GDPR застосовується до компаній, які не зареєстровані в ЄС у тому випадку, коли:

  • такі компанії пропонують свої товари або послуги особам, що знаходяться на території ЄС, не залежно від того, чи стягується плата за такі послуги або товари;
  • а також у випадку моніторингу поведінки осіб, які знаходяться на території ЄС, в силу того, що реалізація такої поведінки відбувається на території Європейського Союзу.

Наприклад. Українська компанія розробила веб-платформу для комунікації розробників програмного забезпечення зі всього світу. Користуючись такою платформою, користувачі, в тому числі і з території ЄС, залишають персональні дані про себе або про інших осіб. В цьому випадку, компанія з України підпадає під вимоги GDPR та повинна імплементувати відповідні заходи для безпеки обробки персональних даних користувачів веб-платформи, у відповідності з європейським законодавством у сфері захисту персональних даних, в тому числі General Data Protection Regulation.

Коли мова йде про компанії, які зареєстровані на території Європейського Союзу, але мають засновників – громадян України, то такі компанії, також у відповідності до принципу територіального застосування GDPR, автоматично підпадають під вимоги General Data Protection Regulation. В цьому випадку мова йде про компанії, які зареєстровані зокрема в Естонії, Ірландії, Латвії, Кіпрі та інших країнах – членах ЄС.

В контексті частини 1 статті 3 General Data Protection Regulation слід розуміти, що GDPR автоматично застосовується до компаній, головний осідок яких зареєстрований на території Європейського Союзу.

Наприклад. Естонська компанія, засновником якої є два українських громадянина, здійснює розробку комп’ютерних ігор та продає ці ігри в Сполучені Штати Америки. В цьому випадку, не зважаючи на те, що продукція буде орієнтована на ринок США, естонська компанія по замовчуванню повинна відповідати вимогам GDPR.

Українські ФОП.

Як не дивно, але GDPR не забезпечує градацію між суб’єктами, які виступають у якості контролерів або обробників по відношенню до обробки персональних даних, адже самі визначення «Контролер» та «Процесор», є доволі специфічними. Так стаття 4 GDPR передбачає, що контролером може бути як фізична так і юридична особа, орган публічної влади та інший орган, що визначає способи та цілі обробки персональних даних, в той час як процесором також може бути фізична або юридична особа, орган публічно влади та інший орган, який діє від імені контролера.

Отже, виходячи з цього варто зробити висновок, що українські фізичні особи – суб’єкти господарської діяльності, які здійснюють обробку персональних даних осіб з території ЄС, повинні також відповідати вимогам GDPR. І хоча застосування штрафних санкцій до таких суб’єктів може бути доволі непростим, між Україною та Європейським Союзом все ж існують інструменти, з допомогою яких штрафні санкції можуть бути застосовані в повній мірі. Мова наприклад йде офіційні домовленості між окремою країною – членом ЄС та Україною, про виконання судових рішень.

Готуючи свою компанію до вимог GDPR, не зважаючи на те, чи зареєстрована вона в Україні чи в Естонії, ви повинні враховувати вимоги внутрішніх законодавчих актів та специфіку практичного застосування норм європейського законодавства.

Адаптація вашого бізнесу до вимог General Data Protection Regulation повинна бути одним з ключових етапів реалізації ваших стратегічних бізнес планів, орієнтованих на ринок ЄС. Компанія BSO Privacy Group, допоможе вам реалізувати цей етап значно ефективніше та швидше, так як наші спеціалісти є експертами в цій сфері захисту приватності персональних даних.