GDPR Аудит

gdpr аудит - юридична допомога і консультація online

GDPR Аудит

Юридична допомога, консультація, а також GDPR аудит у форматі Онлайн. Перевірте Ваші контракти, веб-сайти, клієнт-системи і програмні додатки на відповідність правилам ЄС. Відповідальний бізнес вже на шляху до GDPR compliance.

gdpr аудит - юридична допомога і консультація online
GDPR аудит – надійний помічник Вашого бізнесу та запорука його розвитку

GDPR аудит і ризики його відсутності

Навіть досвідчені юристи загального профілю, зазвичай, залишають поза увагою чимало важливих нюансів правової організації роботи з персональними даними. Такі помилки в роботі юриста стають причиною суттєвих правових загроз для бізнесу. Як уникнути цих помилок?

Відповідь є у GDPR-спеціалістів. Єдине ефективне рішення – це комплексний або модульний GDPR аудит, а також правові інструменти розроблені за його результатами.

Проведення GDPR аудиту допоможе будь-якій компанії, у тому числі зі штатним юристом, ефективно упередити можливі проблеми в сфері обробки персональних даних. Нижче наведені приклади того, як GDPR аудит та побудовані за його результатами правові рішення допомогли в розв’язанні конкретних питань.

Приклади правових рішень, направлених на GDPR compliance.

Про вкрай важливу роль GDPR-спеціалістів ми писали у нашому блозі. А зараз, без зайвої теорії, поговоримо про ефективні правові інструменти і корисні рішення перевірені практикою. Розглянемо 2 таких інструменти, по-перше, це – публічні оферти, по-друге – правовий аналіз контрактів з контрагентами.

Обов’язковою умовою ефективної реалізації кожного з наведених рішень є проведення попереднього GDPR аудиту і правильна правова оцінка отриманих результатів. Отже, приклади.

1. Робота з контрагентом резидентом ЄС. Модель “Business to Business”.

Вимоги Регламенту передбачають наявність гарантій прав фізичних осіб на кожному етапі роботи з їх персональними даними. Гарантії мають бути на рівні не нижче того, який гарантується первинним суб’єктом їх обробки і власне приписами GDPR. Цілком логічно, що кожен підприємець або компанія прагне переконатися у законному отриманні персональних даних своїм контрагентом, а також забезпечити належне поводження з такими даними у подальшому.

Отже, всім потрібні відповідні гарантії. І якщо Ваш персонал підпорядковується локальним наказам, іншим розпорядчим документам, а також виконує вимоги інструктажів з обробки персональних даних, то Ваші бізнес партнери можуть взяти на себе зобов’язання перед Вами виключно на підставі договору.

Саме окремі положення договорів, що забезпечують належний GDPR compliance, допомагають отримати бажані гарантії. Є практика укладення повноцінних самостійних угод щодо забезпечення дотримання правил GDPR у відносинах між бізнесом. Наприклад, такі угоди можуть оформлюватись додатками до основних контрактів, зокрема у формі “Data Processing Addendum”.

Разом з тим, європейські компанії, переслідуючи перш за все власні інтереси, намагаються нав’язати українським контрагентам надмірні обов’язки. Саме такий випадок стався з мережею українських компаній (бізнес в сфері туризму), які звернулися за допомогою до наших юристів.

Вихід з даної ситуації – детальне вивчення положень запропонованої угоди щодо забезпечення GDPR compliance, формування пропозицій щодо зміни окремих положень договору та їх узгодження з контрагентом.

За результатами правового аналізу угоди виявилось, що 80% її положень продиктовані приписами GDPR. Однак решта – це саме ті надмірні обов’язки, які без достатніх на те підстав могли бути покладені на українську компанію.

2. Проведення ICO – як ми допомогли узгодити KYC та GDPR між собою.

А це саме той випадок, коли є безпосередня робота з фізичними особами та їх даними. Оскільки окремі члени нашої команди допомагають в питаннях правової організації проведення ICO (в частині комплексної розробки публічних оферт), то ще до набуття чинності правилами Регламенту GDPR наші спеціалісти отримали прохання – узгодити в тексті публічної оферти нові правила GDPR з необхідністю проведення процедури KYC.

KYC або Know Your Customer – це процес верифікації (ідентифікації) клієнтів (інвесторів, користувачів тощо) за для виявлення і попередження потенційних ризиків. Процес ідентифікації передбачає роботу з широким переліком персональних даних про особу.

Законодавство різних юрисдикцій та ЄС в цілому, з одного боку – вимагає протидіяти відмиванню доходів, отриманих злочинним шляхом, а з іншого – вимагає мінімізувати збір персональних даних фізичних осіб та надати суттєві гарантії “безпечного поводження” із ними.

Як ми знайшли необхідний баланс? Виходячи з особливостей ICO-проекту був складений перелік персональних даних, мінімально необхідний для належної верифікації ICO-інвесторів. Далі, в тексті Політики Конфіденційності був виписаний чіткий механізм отримання і подальшої обробки персональних даних, а також вказані обов’язкові гарантії.

Таким чином, заздалегідь обдуманий, прозорий і оптимальний спосіб роботи з персональними даними знайшов своє утілення в тексті публічної угоди з інвесторами і користувачами веб-сайту ICO-проекту. Як результат, проведена робота узгодила між собою необхідність дотримання процедури KYC та правил GDPR.

GDPR аудит та інші ефективні рішення для бізнесу:

В обох наведених випадках було знайдено необхідне рішення. В першому випадку – українською компанією запропоновано, а європейським контрагентом прийнято нашу редакцію положень контракту, що стосуються обробки персональних даних.

У другому випадку – складено Політику Конфіденційності з урахуванням всіх особливостей ICO-проекту та дійсних законодавчих вимог. Розроблений документ, з одного боку, забезпечує дотримання процедури KYC та не суперечить найбільш агресивним ініціативам у рамках BEPS та FATF, з іншого – дозволяє працювати з персональними даними, не порушуючи вимоги GDPR.

BEPS (Base Erosion and Profit Shifting) — проект організації ОЕСР щодо запобігання і протидії ухиленню від оподаткування та виведенням грошей в офшори. FATF (Financial Action Task Force) – міждержавне утворення, завданням якого є розробка і впровадження заходів, спрямованих на боротьбу з відмиванням незаконно отриманих доходів.

Не кожен юрист здатний провести якісний комплексний аналіз бізнесу на відповідність GDPR та забезпечити належний GDPR compliance. Лише ті юристи, які спеціалізуються на правильній організації процесу обробки персональних даних, можуть виявити суттєві ризики, надати необхідні рекомендації та допомогти утілити їх у життя.

GDPR-спеціалісти здатні попередити накладення штрафних санкцій, а також захистити бізнес від надмірних договірних обов’язків, взятих через незнання положень GDPR.

Як свідчить наведений вище приклад, українські компанії вже зараз мають справу з проблемами подібного характеру. Підписання контрактів з контрагентами резидентами ЄС без попереднього їх детального вивчення – недопустима халатність.

На щастя, наш бізнес вміє захищати себе у правовому полі. Той факт, що Ви читаєте нашу публікацію лише підтверджує цю позитивну тенденцію.

Звісно, ніхто не стверджує, що з діловими партнерами з ЄС варто вести негласну війну. Однак, GDPR аудит контрактів, подальші переговори та пошук справедливого балансу у взаємних обов’язках – необхідна міра захисту і запорука розвитку Вашого власного бізнесу.

Сучасні правові інструменти в рамках GDPR compliance  для моделі “Business to Client”.

Підсумовуючи сказане вище, досягнення належного GDPR compliance можна звести до такого порядку:

  1. Проведення комплексного або модульного GDPR аудиту;
  2. Розробка необхідних правових рішень для досягнення  належного GDPR compliance;
  3. Впровадження і практична реалізація розроблених за результатами GDPR аудиту правових рішень;
  4. Подальша оперативна робота з контрактами, зверненнями фізичних осіб та періодичний моніторинг правової організації роботи з персональними даними.

На прикладах ми розібрали всі наведені етапи. Останній етап цілком під силу реалізувати Вашими власними силами за умови попередньої розробки фахівцями необхідних документів та проведення інструктажів з персоналом. А як оптимізувати 2 – з етапи, а то і проведення модульного GDPR аудиту? Для бізнесу, який орієнтований на онлайн роботу з широким колом споживачів, існує зручний інструмент впровадження такого правового рішення, як публічні оферти.

Якщо Ви є власником Інтернет-магазину, будь-якого програмного додатку, сервісу чи веб-сайту, через який надаються послуги або продаються товари, то Вашим ефективним помічником може стати Terms Privacy Bot.

Terms Privacy Bot допоможе у зручному форматі отримати попередній правовий аналіз Вашого сервісу або програмного продукту та наступну розробку дієвого правового рішення для роботи з широким колом клієнтів.

Для комплексного аудиту роботи веб-сайтів, програмних додатків, онлайн сервісів, автоматизованих баз даних, договорів і анкет про надання згоди на обробку персональних даних, Ви можете скористатися допомогою наших GDPR-спеціалістів.

GDPR аудит – не модний тренд, а необхідна міра, зумовлена конкретними правилами.

“Нова пошта” вже оголосила тендер на проведення GDPR аудиту. І це абсолютно правильний крок. Інші серйозні гравці вітчизняного бізнесу теж не відстають. Компанії і підприємці, які прямо чи опосередковано працюють з персональними даними, вже зараз мають здійснювати свою діяльність відповідно до вимог законодавства України і правил GDPR.

GDPR аудит – це перш за все Ваш захист. Ви та Ваш бізнес можете працювати ефективно, безпечно і в рамках існуючого правового поля. Не відкладайте питання забезпечення юридичної безпеки на завтра, адже GDPR аудит бізнесу на відповідність вимогам Регламенту ЄС – доступний вже сьогодні.

Юристи – члени команди Legal Support завжди готові надати необхідну юридичну допомогу. Правові консультації та проведення GDPR аудиту доступні Онлайн.

Контакти юристів: +38 050 643 79 03 | +38 096 773 56 52 | +38 063 626 85 23

Facebook
Twitter
LINKEDIN