Украинскому бизнесу стоит принимать во внимание требования GDPR
Украинские компании, которые планируют или уже осуществляют свою деятельность, ориентированная на европейский рынок, должны быть готовы к тому, что к ним может прийти запрос от гражданина Европейского Союза по реализации им своих прав в соответствии с GDPR. Если же украинская компания, в этом случае, не сможет должным образом дать ответ или обеспечить реализацию права субъекта данных, такой физическое лицо может обратиться в соответствующий европейского органа, и как следствие, к компании могут быть применены штрафные санкции.
Вам следует знать, что применение штрафных санкций не ограничивается территорией ЕС, потому что нормы GDPR распространяются на все компании, работающие с европейским рынком и обрабатывают персональные данные физических лиц с ЕС, несмотря на место их регистрации. Не исключением остается и Украины. Такие особенности, в частности, определяются в соответствии с принципом территориального применения GDPR.
Так, в части 2 статьи 3 General Data Protection Regulation указывается, что GDPR применяется к компаниям, которые не зарегистрированы в ЕС в том случае, если:
- такие компании предлагают свои товары или услуги лицам, находящимся на территории ЕС, независимо от того, взимается плата за такие услуги или товары;
- а также в случае мониторинга поведения лиц, находящихся на территории ЕС, в силу того, что реализация такого поведения происходит на территории Европейского Союза.
Например. Украинская компания разработала веб-платформу для коммуникации разработчиков программного обеспечения со всего мира. Пользуясь такой платформой, пользователи, в том числе и с территории ЕС оставляют персональные данные о себе или о других лиц. В этом случае, компания из Украины подпадает под требования GDPR и должна имплементировать соответствующие меры безопасности обработки персональных данных пользователей веб-платформы, в соответствии с европейским законодательством в сфере защиты персональных данных, в том числе General Data Protection Regulation.
Когда речь идет о компании, зарегистрированные на территории Европейского Союза, но имеют учредителей — граждан Украины, то такие компании, также в соответствии с принципом территориального применения GDPR, автоматически подпадают под требования General Data Protection Regulation. В этом случае речь идет о компании, зарегистрированные в частности в Эстонии, Ирландии, Латвии, Кипре и других странах — членах ЕС.
В контексте части 1 статьи 3 General Data Protection Regulation следует понимать, что GDPR автоматически применяется к компаниям, главный двор которых зарегистрирован на территории Европейского Союза.
Например. Эстонская компания, учредителем которой является два украинских гражданина, осуществляет разработку компьютерных игр и продает эти игры в Соединенные Штаты Америки. В этом случае, несмотря на то, что продукция будет ориентирована на рынок США, эстонская компания по умолчанию должна соответствовать требованиям GDPR.
Украинские ФЛП.
Как ни странно, но GDPR не обеспечивает градацию между субъектами, выступающими в качестве контролеров или обработчиков по отношению к обработке персональных данных, ведь сами определения «Контролер» и «Процессор», довольно специфичны. Так статья 4 GDPR предусматривает, что контроллером может быть как физическое так и юридическое лицо, орган публичной власти и другой орган, определяющий способы и цели обработки персональных данных, в то время как процессор также может быть физическое или юридическое лицо, орган публичной власти и другой орган, действующий от имени контроллера.
Итак, исходя из этого следует сделать вывод, что украинские физические лица — субъекты хозяйственной деятельности, которые осуществляют обработку персональных данных лиц с территории ЕС, должны также соответствовать требованиям GDPR. И хотя применение штрафных санкций к таким субъектам может быть довольно непростым, между Украиной и Европейским Союзом все же существуют инструменты, с помощью которых штрафные санкции могут быть применены в полной мере. Язык например идет официальные договоренности между отдельной страной — членом ЕС и Украиной, об исполнении судебных решений.
Подготавливая свою компанию с требованиями GDPR, несмотря на то, зарегистрирована она в Украине или в Эстонии, вы должны учитывать требования внутренних законодательных актов и специфику практического применения норм европейского законодательства.
Адаптация вашего бизнеса с требованиями General Data Protection Regulation должна быть одним из ключевых этапов реализации ваших стратегических бизнес планов, ориентированных на рынок ЕС. Компания BSO Privacy Group, поможет вам реализовать этот этап значительно эффективнее и быстрее, так как наши специалисты являются экспертами в этой сфере защиты приватности персональных данных.
