GDPR для IT та digital commerce бізнесу

Як дотримуватись GDPR? Які вимоги для бізнесу у сфері IT та digital commerce? GDPR для бізнесу, додатків і сайтів - безпечне рішення для українського і європейського бізнесу.

GDPR для IT та digital commerce бізнесу

GDPR, український бізнес і нові правила збору персональних даних через веб-сайти, мобільні додатки та онлайн-сервіси. На сторінках сайту Legal Support вже обговорювались причини, через які General Data Protection Regulation має безпосереднє відношення, як до європейського, так і до українського бізнесу. Предметом сьогоднішньої статті-консультації є основоположні принципи і вимоги нових правил ЄС з обробки персональних даних.

Ми розглянемо GDPR в контексті: оформлення роботи сайтів і цифрових сервісів, мобільних додатків, запуску стартапів та реалізації бізнес-ідей у сфері IT та digital commerce. Надамо роз’яснення стосовно вимог GDPR для сайту веб-сервісу та правил роботи з даними користувачів через мобільний додаток. Пояснимо проблематику GDPR для мобільних додатків і сайтів у комплексі та реалізуємо всі необхідні заходи для повної відповідності GDPR.

Як дотримуватись GDPR? Які вимоги для бізнесу у сфері IT та digital commerce? GDPR для бізнесу, додатків і сайтів - безпечне рішення для українського і європейського бізнесу.
Як дотримуватись GDPR? Які вимоги для IT та digital commerce бізнесу?

GDPR (General Data Protection Regulation) для Бізнесу

GDPR або General Data Protection Regulation – це документ, який встановлює правила збору і обробки персональних даних, обов’язкові для всіх країн ЄС. Держави учасниці Європейського Союзу взяли на себе обов’язок імплементувати приписи GDPR в нормах національного законодавства та деталізувати механізм безпосереднього виконання вимог General Data Protection Regulation.

Чому вимоги GDPR мають турбувати українські компанії та підприємців? GDPR встановлює правила для бізнесу виходячи з екстериторіального принципу. Отримати розгорнуту відповідь на поставлене питання і дізнатись про причини екстериторіальної дії регламенту можете з нашої статті – Персональні дані та Політика Конфіденційності. За цим посиланням також доступний лінк на автентичний текст GDPR.

З яких причин запровадження правил General Data Protection Regulation викликало ажіотаж? Невже до набуття чинності GDPR ЄС не мав власних правил роботи з персональними даними? Раніше питання обробки персональних даних більшою мірою знаходило своє регулювання на рівні національного законодавства країн учасниць Європейського Союзу. Документ, що діяв на рівні ЄС, мав юридичну силу відміну від General Data Protection Regulation. Норми GDPR мають пряме застосування і характеризуються “прямою дією”.

Додайте до цього згаданий принцип екстериторіальності та високий рівень вимог, що висуваються до Контролерів і Обробників персональних даних. У результаті отримаємо цілком очікуване бажання бізнесу, що орієнтований на ЄС, привести власну роботу у відповідність до вимог правил GDPR.

GDPR для мобільних додатків, сайтів і сервісів – які вимоги?

Український бізнес, орієнтований (у тому числі потенційно) на ринки ЄС, автоматично підпадає під дію нових правил GDPR. З травня місяця 2018 року власники і оператори інтернет-магазинів, мобільних додатків, сайтів та онлайн-сервісів почали нашвидкуруч приводити свою діяльність у відповідність до вимог регламенту. Якщо Ваш бізнес до теперішнього часу не реалізував усіх GDPR compliance заходів, то варто поквапитись!

Розглянемо нові правила General Data Protection Regulation предметно у фокусі конструкції “GDPR для бізнесу”. Фундамент правил GDPR сформовано принципами і основоположними вимогами, дотримання яких забезпечено суворими штрафними санкціями. Які ж ці принципи і основні вимоги регламенту? У чому вони полягають?

Принципи і основоположні правила GDPR для бізнесу.

У нашому юридичному Блозі ми писали про загальні відмінності нових правил GDPR від вимог українського законодавства в сфері обробки персональних даних. На практиці ж, робота за правилами GDPR потребує від Digital Commerce та IT-бізнесу дотримуватись таких основних вимог:

  • Враховувати правила в сфері захисту персональних даних ще на етапі планування бізнес-процесів, стартапів, нових послуг і технологічних продуктів. Наприклад, при організації роботи платіжного сервісу, сайту маркетплейсу або запуску мобільного додатку для IOS/Android платформ;
  • Проводити документування процесу обробки персональних даних користувачів та здійснювати оцінку ризиків, пов’язаних з конфіденційною інформацією про особу;
  • Запроваджувати належні та актуальні заходи безпеки технічного і організаційного характеру при роботі з персональними даними. Зокрема розробити і довести до відома працівників скрипт реагування на випадки порушень;
  • Обов’язково укладати з підрядниками, які залучаються до обробки персональних даних, письмові угоди, за якими покладати на таких підрядників (обробників персональних даних) обов’язки, що випливають з вимог General Data Protection Regulation;
  • За наявності відповідних підстав, призначати відповідального спеціаліста із захисту персональних даних (DPO, Data Protection Officer);
  • У випадках передбачених у статті 35 General Data Protection Regulation провести роботу з розробки Data protection impact assessment (оцінки впливу на захист даних);
  • Повідомляти компетентні органи у сфері захисту персональних даних про випадки, пов’язані з порушенням безпеки персональних даних (повідомлення про такі випадки мають бути максимально оперативними та у будь-якому разі вони мають бути зроблені не пізніше ніж через 72 години з моменту, коли стало відомо про порушення стану належної захищеності персональних даних).

Наведений перелік вимог не є вичерпним. Обов’язки, які покладаються на контролера і обробника персональних даних, закріплені та деталізовані у цілій низці норм Регламенту GDPR, що направлені на практичну реалізацію нижченаведених принципів роботи з персональними даними. Докладніше про обов’язкові і рекомендовані GDPR-заходи у нашій статті за посиланням – https://legal-support.top/gdpr-proceduri/ Як бачите, складання Політики Конфіденційності мобільного додатку / сайту – це лише “верхівка айсбергу”. У той час як “під водою” залишається чимало інших обов’язкових заходів і процедур.

Принципи обробки персональних даних за Регламентом GDPR:

  1. Персональні дані мають оброблятись законно, справедливо і прозоро. Інформація про мету і способи обробки персональних даних має бути доступна для ознайомлення, до того ж у максимально зручний і зрозумілий спосіб.
  2. Конкретна, чітка і обмежена мета обробки персональних даних. Відомості про користувачів мають збиратись і використовуватись виключно з метою, яка заявлена засобами Вашого онлайн-сервісу, мобільного додатку або сайту.
  3. Мінімізація збору персональних даних. Недопустимо проводити збір персональних даних в обсязі більшому, ніж це обумовлено поставленою і сформульованою метою.
  4. Забезпечення права користувача мобільного додатку (сайту, сервісу) не залежати від “автоматизованих рішень”, включаючи профілювання, які мають юридичний чи інший значний вплив на них. Контролер зобов’язаний передбачити реальний механізм, направлений на реалізацію цього права, яке одночасно розглядається і як важливий принцип GDPR.
  5. Точність і актуальність персональних даних. Персональні дані, які є неточними (неактуальними), на вимогу користувача мають бути виправлені або видалені.
  6. Цілісність і конфіденційність. В процесі збору і обробки персональних даних має бути забезпечено захист таких відомостей від незаконної обробки, пошкодження або знищення.
  7. Обмеження строку зберігання персональних даних. Відомості про користувачів, які дозволяють ідентифікувати їх, допустимо зберігати лише протягом строку, що об’єктивно необхідний для досягнення визначеної Вами мети обробки персональних даних.

Як оформити роботу додатку та сайту за правилами GDPR?

Цілком логічним буде запитання – як оформити бізнес, стартап або роботу конкретного додатку / сайту відповідно до правил General Data Protection Regulation? Давайте розбиратися разом, заодно вибудуємо зрозумілий алгоритм дій для веб-сервісів, мобільних додатків, маркетплейсів та digital commerce бізнесу.

Перший крок на шляху до GDPR – це проведення аудиту бізнесу в частині роботи з персональними даними, зокрема, Інтернет-сайтів, мобільних додатків, форм онлайн-замовлень та інших веб-сервісів. Юрист, спеціаліст з правил GDPR, спільно з Вами має визначити наступні суттєві моменти:

  1. Які персональні дані накопичуються через сайти (додатки), наявність серед них, так званих, “чутливих” персональних даних.
  2. Чи є нагальна необхідність проводити збір відомостей про користувача в існуючому обсязі, можливо цей обсяг допустимо зменшити.
  3. Визначити перелік персональних даних без акумуляції яких веб-сайт (мобільний додаток, сервіс) повною мірою не функціонуватиме.
  4. Чітко і конкретно сформулювати мету і спосіб збору та обробки персональних даних.
  5. Визначити суб’єктів (суб’єкта), які будуть виступати у ролі Контролера і Обробника персональних даних.
  6. Вирішити чи потрібно передавати зібрані персональні дані третім особам. Якщо необхідність передачі існує, слід визначити коло таких осіб (у т.ч. юрисдикцію їх реєстрації), мету передачі персональних даних та гарантії користувачів.
  7. Провести ревізію наявних на сайті (у Android/IOS додатку) політик, правил, положень і застережень. Це, передусім, Політика Конфіденційності чи інший подібний за змістом документ.
  8. Документально зафіксувати результати проведеної інвентаризації процесів роботи з персональними даними.

Другим кроком стане практична імплементація вимог General Data Protection Regulation. Для цього знадобиться:

  1. Актуалізувати положення Privacy Policy або розробити нову політику для користувачів сайту та мобільного додатку.
  2. Розмістити технічними засобами веб-сайту або мобільного додатку розроблений документ (Положення про Конфіденційність, Політика Конфіденційності) і зробити його доступним для користувачів.
  3. Отримати дозвіл користувачів на збір і обробку їх персональних даних, а також згоду на приєднання до умов публічної угоди.
  4. Поруч з посиланням на Політику Конфіденційності вкажіть текст – “I agree to the terms of the Privacy Policy (Я згоден з умовами Політики Конфіденційності)”. Відповідне поле чек-боксу за замовчуванням має бути порожнім. Це важливий нюанс!
  5. Провести ревізію і актуалізацію положень господарських договорів з бізнес-партнерами на предмет наявності відповідних застережень про обробку персональних даних та їх відповідності нормам GDPR. Укласти з підрядниками, там де це необхідно, Data Processing Agreement.
  6. Проводити регулярне документування операцій з персональними даними, підтримуючи реєстр таких операцій в актуальному стані.

Зверніть увагу! Користувач сайту / додатку має самостійно проставити відповідну відмітку у полі поруч з текстом “Я згоден з умовами Політики Конфіденційності” і посиланням на Privacy Policy.

Чи потрібно бізнесу враховувати національне законодавство про захист персональних даних, наприклад, українське?

Так, потрібно. Про вимоги національного законодавства у сфері обробки персональних даних забувати недопустимо. Від чого відштовхуватись коли користувачами є громадяни різних держав? Від найбільш суворих правил, а це і є GDPR, та від законодавства тих країн, громадянами яких є переважна більшість користувачів сайту, мобільного додатку чи сервісу. Дотримання законодавства країни реєстрації Вашого бізнесу є також необхідним.

Власникам українських Інтернет-магазинів та сервісів онлайн-замовлення послуг радимо ознайомитись з нашою публікацією – Правове оформлення Інтернет-магазину, персональні дані та необхідні документи.

Таким чином, для запуску маркетплейсу в організаційно-правовій формі української ТОВ з сервісом доступним для громадян Польщі, Естонії та Угорщини, враховуються: а) норми українського законодавства, так як в Україні зареєстровано товариство, яке обслуговує маркетплейс; б) норми GDPR; в) норми національного законодавства Польщі, Естонії та Угорщини (хоча законодавство цих країн у сфері захисту персональних даних лише деталізує приписи General Data Protection Regulation).

Нові правила GDPR для сайтів, додатків і сервісів – підбиваємо підсумки.

Цілком зрозуміло, що відтепер норми General Data Protection Regulation стануть еталоном законодавства різних держав світу. Фактична ж імплементація цих правил відбудеться далеко за межами ЄС. Китай тому приклад. Для вітчизняного IT та digital commerce бізнесу це означає необхідність приведення процесу збору і обробки персональних даних у відповідність до нових вимог і правил. Згадаємо, що для цього потрібно.

GDPR для бізнесу – це не тільки актуальна і правильно складена Політика Конфіденційності.

Щоб відповідати стандартам General Data Protection Regulation необхідно: провести аудит; оптимізувати процес збору, обробки і зберігання персональних даних; актуалізувати наявну Політику Конфіденційності або розробити новий документ; зробити публічну угоду доступною для користувачів і отримати їх усвідомлену згоду на приєднання до її положень; провести обов’язкову інвентаризацію (документування) процесів збору і обробки персональних даних, оформити результат.

Також, не забувайте про правила GDPR в роботі з контрагентами і бізнес-партнерам. Цивільно-правові і господарські угоди мають містити відповідні застереження, що стосуються правил обробки персональних даних, розподілу відповідальності та супутніх питань. Окремий GDPR compliance буде доцільним і в питаннях здійснення роботи з персональними даними найманих працівників.

Допомога бізнесу з питань імплементації GDPR на практиці.

Поради, викладені сьогодні, допоможуть вибудувати Ваш онлайн-бізнес у відповідності до принципів і правил GDPR. Дотримання нових правил збору і обробки персональних даних – це безумовна складова правильної юридичної організації сучасного бізнесу. Наші спеціалісти готові надати комплексну правову допомогу з імплементації норм GDPR до змісту документів веб-сайтів, мобільних додатків і онлайн-сервісів. Ми маємо комплексне рішення – “GDPR для бізнесу”. Юристи Legal Support також надають підтримку в реалізації організаційних заходів, таких як проведення навчань для персоналу, налагодження процесу інвентаризації роботи з персональними даними, розгляд запитів суб’єктів персональних даних тощо.

GDPR аудит – перший етап процесу імплементації правил Регламенту.

Розробити необхідний пакет документів, підготувати специфічні правові рішення і реалізувати їх на практиці можливо і без попереднього правового аналізу. Проте, ефективність розроблених заходів значно виграє за умови проведення повноцінного аудиту на відповідність GDPR. Ви можете ознайомитись з можливостями проведення юридичного аудиту і прикладами його успішного застосування, прочитавши нашу публікацію – Аудит на відповідність General Data Protection Regulation.

Правила GDPR та надійне рішення від юристів Legal Support.

Пропонуємо більше ніж просто консультації. Фахова юридична допомога юристів – спеціалістів з правил GDPR, розробка положень Privacy Policy, організація тренінгів та документування процесів обробки даних доступні у будь-якому місті України – від Львова до Харкова, Одеси і Києва. Правова підтримка у вже традиційному онлайн форматі довела свої переваги на практиці. У нас є надійне працююче рішення для власників додатків, сайтів і сервісів, яке забезпечить повну відповідність правилам GDPR.

Бажаємо Вам вдалої імплементації норм GDPR на практиці, успішного розвитку бізнесу і задоволених користувачів. Контакти юристів – фахівців з обробки персональних даних додаємо: +38 050 643 79 03 або +38 063 626 85 23.

юрист, засновник NGO Legal Support Євгеній Мовчун