GDPR compliance для украинского IT бизнеса: кто попадает и с чего начать?

13 мая 2024

General Data Protection Regulation (GDPR, Регламент) – это правовой акт Европейского Союза (ЕС), который начал применяться с 2018 года и устанавливает общеобязательные правила сбора и обработки персональной информации (ПИ) физических лиц на территории ЕС.

На первый взгляд может показаться, что украинскому IТ бизнесу не нужно соблюдать требования GDPR, поскольку на сегодняшний день Украина не является членом ЕС. Однако, такое утверждение ошибочно, ведь если ваша ІТ компания отвечает требованиям статьи 3 GDPR, то вы обязаны придерживаться норм Регламента, в противном случае несоблюдение требований может привести не только к большим штрафам, но и нанести вред репутации вашей компании, доверию ваших клиентов и партнеров. О штрафах вы можете подробнее почитать в других статьях нашего блога.

Для украинских IT компаний, включая стартапов, навигация GDPR может быть сложной. Поэтому в этой статье указывается, кто должен соблюдать требования Регламента и практические начальные шаги в достижении соответствия требованиям GDPR.

Какие украинские ІТ компании должны соблюдать GDPR?

Субъекты внутри ЕС

Согласно статье 3(1) GDPR, Регламенту должны придерживаться компании, имеющие организационную единицу (eng.: establishment) в ЕС. Идентифицировать организационную единицу можно по следующим критериям:

(i) ваша компания контролер или процессор (см. об этом подробнее в наших других статьях) осуществляет в ЕС реальную и эффективную деятельность, даже минимальную, и ту, которая осуществляется через стабильные договоренности, не зависимо от правовой формы такой деятельности (будь то дочернее предприятие, официальное представительство, или даже через вашего единого представителя и др.). Доказательством тому является то, что в деле Weltimmo v. NAIH отмечается то, что функционал организационной единицы привалирует над ее формой.

(ii) обработка ПИ осуществляется в рамках деятельности такой организационной единицы, где определяющими критериями будет генерирует ли такая организационная единица прибыль для вашей компании и есть ли между ней и вашей компанией (контролером или процессором) неразрывная связь. При этом важно, чтобы такая организационная единица действовала на территории ЕС, а где именно будет проводится обработка ПИ (не территории ЕС или вне) не имеет значения.

Следовательно, организационная единица должна заниматься реальной и эффективной деятельностью — коммерческой или другой — настроенной через стабильные договоренности в ЕС, независимо от юридической формы, то есть: официальное представительство вашей ІТ компании, дочерние предприятия или один представитель. Так, Weltimmo, несмотря на то, что компания была зарегистрирована в Словакии, для целей GDPR считалась основанной в Венгрии, в частности, благодаря своей целенаправленной деятельности по венгерской недвижимости и жителям Венгрии. Соответственно и украинская ІТ компания может считаться такой, что имеет организационную единицу в ЕС, если такая организационная единица из-за назначения в ЕС одного представителя или через проведение ею операций активно и эффективно участвует в экономической деятельности такой украинской ІТ компании в ЕС.

Субъекты вне ЕС.

Согласно статье 3(2) GDPR, Регламент должна соблюдать украинская ІТ компания за пределами ЕС, если она обрабатывает ПИ о субъектах данных (не зависимо от их гражданства, расы и пр.) на территории ЕС, осуществляя следующую деятельность: (i) предоставление предложения товаров или услуг или (ii) мониторинг поведения.

(i) Предоставление предложения товаров или услуг. Доказательством такой деятельности может быть использование языка или валюты, распространенной в одном или нескольких государствах-членах ЕС, таргетинг рекламы на клиентов из ЕС или упоминание клиентов из ЕС в качестве текущих пользователей, упоминания о странах-членах ЕС в рекламных материалах, разработка маркетинговых кампаний, нацеленных на аудиторию ЕС и осуществление транзакций на языках ЕС. Другие индикаторы включают упоминание инструкций для путешествий в ЕС, оплату услуг поисковой оптимизации, нацеленной на ЕС, наличие местных контактных данных и использование доменных имен, специфичных для ЕС. Например, ваш сайт в Украине нацелен на клиентов из ЕС с помощью языка, валюты или вариантов доставки, характерных для ЕС, подпадает под действие GDPR.

Важно, что доступность веб-сайта в ЕС или использование языка, распространенного как в стране происхождения компании, так и в ЕС, сами по себе не свидетельствуют о намерении обслуживать европейские рынки. Европейский совет по защите данных (EDPB) подчеркнул, что при определении целевого намерения следует учитывать комбинацию указанных факторов. 

(ii) мониторинг поведения. Доказательством такой деятельности может быть отслеживание людей в Интернете для рекламы поведения, геолокализации, онлайн-отслеживания с помощью файлов cookie или других методов, а также другие формы профилирования для анализа или прогнозирования личных предпочтений, поведения и отношения. Например, фитнес-приложение, разработанное в Украине, использующее датчики для мониторинга показателей здоровья пользователей в ЕС, где обработка данных связана с предоставлением персонализированных советов по здоровью, подпадает под действие GDPR.

Начальные шаги по GDPR compliance.

Учитывая вышеизложенное, мы рекомендуем вам следующие начальные практические шаги, которые помогут определить, подпадает ли ваш бизнес под критерии статьи 3 Регламента GDPR и если да, то какие ближайшие действия вам нужно предпринять, чтобы запустить процесс GDPR compliance.

Во-первых, мы рекомендуем проанализировать подпадает ли деятельность вашей компании под действие GDPR. Ответьте на следующие вопросы: предлагает ли ваша компания товары и услуги на территории ЕС или проводит мониторинг поведения субъектов данных из ЕС? Имеет ли ваша компания организационную единицу на территории ЕС? Если ответ хотя бы на один вопрос «да», вы должны соблюдать требования GDPR, поэтому информация из пунктов ниже вам будет полезна.

Во-вторых, разработайте стратегию соответствия требованиям Регламента, а именно:

  • Для получения оказанной квалифицированной помощи по вопросу GDPR compliance, назначьте privacy lawyer или DPO (если деятельность вашей компании обеспечивает регулярный и систематический мониторинг субъектов данных по большой шкале).
  • Разработайте и регулярно обновляйте вашу privacy policy для веб-сайта, политику конфиденциальности, договоры c вашими сотрудниками/флп, политики о доступе к ПИ вашими сотрудниками, планы реагирования на инциденты, связанные с нарушением защиты ПИ и т.д.
  • Проанализируйте и разработайте практики обработки ПИ в соответствии со статьей GDPR, в частности: обеспечьте, что обработка ПИ осуществлялась законно, справедливо и прозрачно, и с ограниченной целью и т.п.
  • Проверьте, чтобы субъекты данных предоставляли согласие на обработку ПИ, если это нужно, и гарантируйте, что субъекты данных могли легко реализовать свои права, такие как доступ, исправление и удаление своих ПИ.
  • Проводите систематические учения и повышения осведомленности ваших работников о соблюдении требований GDPR.
  • Проверьте своих поставщиков услуг, которые обрабатывают ПИ от вашего имени. Убедитесь, что они также отвечают требованиям GDPR, поскольку любые нарушения данных или несоответствие с их стороны повлияют на ваш бизнес.

Важно заметить, что вышеизложенный перечень не исчерпывающий. Однако внимание хотя бы минимально к этим аспектам станет для вас первоначальным планом действий, что в дальнейшем может помочь вашему бизнесу соответствовать международным стандартам защиты персональных данных.

Итак, если вы украинская ІТ-компания, которая имеет организационную единицу в ЕС, и/или предоставляет товары или услуги жителям ЕС, или проводит мониторинг их поведения, ваша компания должна быть GDPR compliance, которая станет не только предохранителем наложения штрафов, но и станет залогом доверия ваших клиентов, предоставит стратегическое преимущество на европейском рынке и улучшит репутацию вашей компании как надежного партнера в глобальной цифровой экономике.