Відповідність вимогам GDPR: що робити українським компаніям

Відповідність вимогам GDPR: що робити українським компаніям

Тенденція спрямованості українського бізнесу на європейський ринок продовжує зростати з кожним роком. Все більше українських компаній починають орієнтувати свою діяльність на споживачів з Європейського Союзу, хоча, разом з тим, не всі такі компанії усвідомлюють, що нові правила обробки персональних даних, які були запроваджені разом з прийняттям General Data Protection Regulation (GDPR), тепер застосовуються і до них.

Що таке GDPR та особливості застосування документу

General Data Protection Regulation – це документ, який став революційним в контексті питань захисту персональних даних, як для компаній, що зареєстровані на території Європейського Союзу, так і для компаній, що зареєстровані в третіх країнах та прагнуть провадити бізнес на території Європи. Однією із ключових особливостей GDPR є та вимога, що компанії, які зареєстровані за межами Європейської Економічної Зони (ЄЕЗ), повинні дотримуватися вимог європейського законодавства у сфері захисту персональних даних, якщо вони збирають, зберігають або будь-яким іншим способом використовують персональні дані осіб, які знаходяться на території
ЄЕЗ. В цьому випадку українські компанії, що орієнтовані на ринок Європи, не є виключенням, а тому зобов’язані забезпечити відповідність вимогам GDPR в повній мірі.

Варто зауважити, що основними ідентифікаторами того, чи компанія повинна дотримуватися вимог GDPR, залишається факт того, що така компанія пропонує товари або послуги фізичним особам на території ЄЕЗ, не залежно від того, чи стягується за це плата чи ні, а також факт здійснення компанією моніторингу поведінки фізичних осіб на території Європейської Економічної Зони.

Що потрібно врахувати українським компаніям?

Забезпечення компаніям відповідності вимогам GDPR є питанням, що має багаторівневий підхід та включає в себе безліч етапів, які на перший погляд є абсолютно різними, хоча насправді, пов’язані однією спільною метою – забезпечення дотримання вимог GDPR (GDPR compliance).

Насамперед, необхідно оцінити стан компанії на предмет вжиття заходів безпеки щодо оброблюваних персональних даних. Цей етап може включати, в цілому, як аудит персональних даних, так і оцінювання технічних та організаційних заходів, вжитих для забезпечення максимального рівня безпеки обробки персональних даних. Окрім цього, потрібно також провести так званий Gap assessment, що полягає у визначенні прогалин між поточним станом компанії та станом, коли компанія буде діяти у відповідності з вимогами нового європейського законодавства щодо захисту персональних даних. Це надасть можливість визначити майбутні напрямками та часові рамки підготовки компанії, а також зафіксувати необхідні проміжні та фінальні результати в процесі досягнення GDPR compliance.

Визначення прогалин в системі інформаційної безпеки та адаптація такої системи до вимог сучасного технологічного розвитку, є фундаментальним елементом підготовки компанії до забезпечення відповідності вимогам GDPR. Окрім іншого, удосконалення інформаційної безпеки, передбачає розробку відповідних документів, які регламентують захист інформації та призначення осіб, відповідальних за інформаційну безпеку.

Окрім цього, компанії необхідно забезпечити належний рівень обізнаності свого персоналу та/або осіб, які залучаються компанією в рамках питань, пов’язаних із захистом персональних даних, призначити особу, відповідальну за впровадження вимог GDPR в компанії, а також розподілити ролі та обов’язки осіб, які прямо чи опоседковано приймають участь в обробці персональних даних.

У компанії, зокрема, за певних регламентованих законом умов, може виникнути обов’язок призначити Data Protection Officer (DPO), що також є однією із ключових вимог GDPR. Варто зауважити, що роль DPO може виконувати і незалежний підрядник або відповідна компанія, з якою необхідно укласти відповідну комерційну угоду.

Насамкінець, компанія повинна розробити та імплементувати цілий ряд документів, які повинні регламентувати всі відповідні процеси в середині компанії, що пов’язані з обробкою та захистом персональних даних. Такі документи можуть мати як публічний характер (Privacy Policy та Cookie Policy), так і бути розробленими виключно для внутрішнього використання та регламентувати реалізацію внутрішніх процесів, пов’язаних з обробкою інформації, включаю персональні дані.

Відповідальність та штрафи за невідповідність GDPR

Власникам українських компаній варто зауважити, що європейські контролюючі органи доволі прискіпливо та скрупульозно ставляться до питань дотримання вимог, пов’язаних із захистом персональних даних. Таку прискіпливість можливо спостерігати через призму десятків кейсів, в рамках яких, до компаній, як з території Європейської Економічної Зони, так і до тих, що зареєстровані за її межами, були застосовані різноманітні міри відповідальності, зокрема і штрафні санкції.

Розмір відповідальності за невідповідність GDPR варіюється в залежності від тяжкості порушення, однак, максимальний розмір може сягати суми від 10 до 20 мільйонів євро або ж 2-4 % від річного обороту компанії. Разом з тим, контролюючими органами можуть бути застосовані інші заходи впливу на компанію, наприклад, обмеження діяльності веб-ресурсу на території однієї з країн-членів ЄС.

Будь-яким санкціям може передувати аудит діяльності компанії, а тому всім підприємствам, що підпадають під дію вимог GDPR, зокрема і тим, що зареєстровані в Україні, необхідно бути готовими до комунікації з контролюючими органами та незалежними аудиторами, які представляють такі органи.

Хоча деякі представники українського бізнесу вважають, що застосування штрафних санкцій за порушення відповідності вимогам GDPR є доволі примарним, все ж не варто забувати, що існують міжнародні механізми, які все можуть змусити українську компанію, яка порушила певні європейські норми, відповідати за вчинене нею порушення. Один з таких механізмів, зокрема, передбачається в рамках двосторонніх угод про виконання судових рішень, в яких Україна є стороною.

Відповідність вимогам GDPR – запорука успішного бізнесу

Підсумовуючи все викладене вище, варто пам’ятати, що відповідність вимогам GDPR повинна гарантуватися всіма компаніями, що так чи інакше працюють з європейським ринком та здійснюють обробку персональних даних осіб з території ЄЕЗ.

Заходи, спрямовані на забезпечення GDPR compliance, повинні здійснюватися тільки висококваліфікованими особами, які мають достатній рівень знань для вжиття відповідних технічних та організаційних заходів, а також для розробки та імплементації необхідних документів. Спеціалісти компанія BSO Privacy Group мають достатній рівень кваліфікації для вирішення будь-яких питань, пов’язаних з обробкою персональних даних компаніями, які в силу спрямованості своєї діяльності на європейський ринок, підпадають під вимоги GDPR.

Автор: Сергій Богарада

Certified Information Privacy Professional/Europe (CIPP/E), BSO Privacy Group