GDPR – лайфхак для Бізнесу

gdpr політика конфіденційності, нові правила, спеціаліст

GDPR – лайфхак для Бізнесу

GDPR, український бізнес та нові правила збору персональних даних через веб-сайти, мобільні додатки і онлайн сервіси. На сторінках нашого сайту вже обговорювалися причини, через які General Data Protection Regulation має безпосереднє відношення, як до європейського, так і до українського бізнесу. Предметом сьогоднішньої розмови є основоположні принципи і вимоги нових правил ЄС з обробки персональних даних.

gdpr політика конфіденційності, нові правила, спеціаліст
GDPR, український бізнес і нові Правила гри

GDPR (General Data Protection Regulation)

General Data Protection Regulation – це документ, який встановлює правила збору і обробки персональних даних, обов’язкові для всіх країн ЄС.

А чому ж тоді вимоги GDPR мають турбувати українські компанії та підприємців? Отримати відповідь на це питання і дізнатись про причини екстериторіальної дії регламенту можете з нашої статті – Персональні дані та Політика Конфіденційності. За цим посиланням Ви також знайдете лінк на оригінальний текст GDPR.

Звідки стільки галасу навколо General Data Protection Regulation?

Невже до набуття чинності регламентом GDPR ЄС не мав власних правил? Справа у тому, що раніше питання обробки персональних даних більшою мірою знаходило своє регулювання на рівні національного законодавства країн учасниць Європейського Союзу. Документ, що діяв на рівні ЄС, мав юридичну силу відміну від General Data Protection Regulation. Норми ж регламенту мають знайти своє безпосереднє втілення в правових системах всіх країн ЄС.

Додайте до цього згаданий принцип екстериторіальності та високий рівень вимог, що висуваються до Контролерів і Обробників персональних даних. У результаті отримаємо цілком очікуване бажання бізнесу, що орієнтований на ЄС, привести власні дії у відповідність до вимог GDPR.

Що слід знати про вимоги GDPR?

Український бізнес, орієнтований (у тому числі потенційно) на ринки ЄС, автоматично підпадає під дію нових правил GDPR. У 2018 році власникам і операторам інтернет-магазинів, мобільних додатків і різних онлайн-сервісів, доведеться привести свою діяльність у відповідність до вимог регламенту.

Які принципи і основні вимоги регламенту? У чому вони полягають?

Принципи і основоположні правила GDPR

У нашому юридичному Блозі ми писали про загальні відмінності нових правил GDPR від вимог українського законодавства в сфері обробки персональних даних. На практиці ж, робота за правилами GDPR потребує від IT-бізнесу дотримуватись таких основних вимог:

  • враховувати правила в сфері захисту персональних даних ще на етапі планування бізнес-процесів, стартапів, нових послуг і технологічних продуктів. Наприклад, при організації проведення ICO (initial coin offering) або запуску мобільного додатку для IOS/Android платформ;
  • проводити документування процесу обробки персональних даних користувачів та здійснювати оцінку ризиків, пов’язаних з конфіденційною інформацією про особу;
  • запроваджувати належні та актуальні заходи безпеки технічного і організаційного характеру при роботі з персональними даними;
  • повідомляти компетентні органи у сфері захисту персональних даних про всі випадки, пов’язані з порушенням безпеки персональних даних (повідомлення про такі випадки мають бути максимально оперативними та у будь-якому разі вони мають бути зроблені не пізніше ніж через 72 години з моменту, коли стало відомо про порушення стану належної захищеності персональних даних).

Наведений перелік вимог не є вичерпним. Обов’язки, які покладаються на контролера і обробника персональних даних, закріплені та деталізовані у цілій низці норм Регламенту GDPR, що направлені на практичну реалізацію нижченаведених принципів роботи з персональними даними.

Принципи обробки персональних даних за Регламентом GDPR:

  1. Персональні дані мають оброблятись законно, справедливо і прозоро. Інформація про мету і способи обробки персональних даних має бути доступна для ознайомлення, до того ж у максимально зручний і зрозумілий спосіб.
  2. Обмежена мета обробки персональних даних. Відомості про користувачів мають збиратись і використовуватись виключно з метою, яка заявлена засобами Вашого онлайн-сервісу або веб-сайту.
  3. Мінімізація збору персональних даних. Недопустимо проводити збір персональних даних в обсязі більшому, ніж це обумовлено поставленою і сформульованою метою.
  4. Точність і актуальність персональних даних. Персональні дані, які є неточними (неактуальними), на вимогу користувача мають бути виправлені або видалені.
  5. Цілісність і конфіденційність. В процесі збору і обробки персональних даних має бути забезпечено захист таких відомостей від незаконної обробки, пошкодження або знищення.
  6. Обмеження строку зберігання персональних даних. Відомості про користувачів, які дозволяють ідентифікувати їх, допустимо зберігати лише протягом строку, що об’єктивно необхідний для досягнення визначеної Вами мети обробки персональних даних.

Як працювати за новими правилами GDPR?

Цілком логічним буде запитання – Як оформити бізнес відповідно до правил General Data Protection Regulation? Давайте розбиратися разом, а заодно вибудуємо зрозумілий алгоритм.

Перший крок “на шляху до GDPR” – це проведення аудиту Вашого бізнесу, зокрема, Інтернет-сайтів, мобільних додатків, форм онлайн-замовлень та інших веб-сервісів.

Юрист, спеціаліст з правил GDPR, спільно з Вами має визначити наступні суттєві моменти:

  • Які персональні дані накопичуються через сайти (додатки), наявність серед них, так званих, “чутливих” персональних даних;
  • Чи є нагальна необхідність проводити збір відомостей про користувача в існуючому обсязі, можливо цей обсяг допустимо зменшити;
  • Визначити перелік персональних даних без акумуляції яких веб-сайт (мобільний додаток або інших онлайн-сервіс) повною мірою не функціонуватиме;
  • Чітко і конкретно сформулювати мету і спосіб збору та обробки персональних даних;
  • Визначити суб’єктів (суб’єкта), які будуть виступати в ролі Контролера і Обробника персональних даних;
  • Вирішити чи потрібно передавати зібрані персональні дані третім особам. Якщо така необхідність існує ( у 99% випадків – існує), то визначити коло таких осіб (у т.ч. юрисдикцію їх реєстрації), мету передачі персональних даних та гарантії користувачів;
  • Провести ревізію наявних на сайті (у Android/IOS додатку) публічних оферт (Політика Конфіденційності або інший подібний за змістом документ).

Другим кроком стане практична імплементація вимог General Data Protection Regulation. Для цього знадобиться:

  1. Актуалізувати положення Privacy Policy або розробити нову публічну угоду для Ваших користувачів;
  2. Розмістити (технічними засобами веб-сайту або мобільного додатку) розроблений документ (Положення про Конфіденційність, Політика Конфіденційності) і зробити його доступним для користувачів;
  3. Отримати дозвіл користувачів на збір і обробку їх персональних даних, а також згоду на приєднання до умов Вашої публічної оферти;
  4. Поруч з посиланням на Політику Конфіденційності вкажіть текст – “I agree to the terms of the Privacy Policy (Я згоден з умовами Політики Конфіденційності)”. Відповідне поле чек-боксу за замовчуванням має бути порожнім. Це важливий нюанс!
  5. Провести ревізію і актуалізацію положень господарських договорів з Вашими бізнес-партнерами на предмет наявності відповідних застережень про обробку персональних даних та їх відповідності нормам GDPR.

Зверніть увагу! Користувач має самостійно проставити відповідну відмітку у полі поруч з текстом “Я згоден з умовами Політики Конфіденційності” і посиланням на Вашу Privacy Policy.

Чи потрібно враховувати національне законодавство про захист персональних даних?

Так, потрібно. Про вимоги національного законодавства в сфері обробки персональних даних забувати недопустимо. Від чого відштовхуватись коли користувачами є громадяни різних держав?

По-перше, від найбільш суворих правил, у тому числі GDPR, та законодавства тих країн, громадянами яких є переважна більшість Ваших користувачів. По-друге, необхідно дотримуватись законодавства країни реєстрації Вашого бізнесу.

Власникам українських Інтернет-магазинів та сервісів онлайн-замовлення послуг радимо ознайомитись з нашою публікацією – Правове оформлення Інтернет-магазину, персональні дані та необхідні документи.

Нові правила GDPR – підбиваємо підсумки

Цілком зрозуміло, що відтепер норми General Data Protection Regulation стануть свого роду еталоном законодавства різних держав Світу. Фактична ж імплементація цих правил відбудеться далеко за межами ЄС.

Для вітчизняного бізнесу це означає необхідність приведення процесу збору і обробки персональних даних у відповідність до нових вимог і правил. Згадаємо, що для цього потрібно.

Щоб відповідати стандартам General Data Protection Regulation необхідно: провести аудит; оптимізувати процес збору, обробки і зберігання персональних даних; актуалізувати наявну Політику Конфіденційності або розробити новий документ; зробити публічну угоду доступною для користувачів і отримати їх усвідомлену згоду на приєднання до її положень.

Також, не забувайте про правила GDPR в роботі з контрагентами і бізнес-партнерам. Цивільно-правові і господарські угоди мають містити відповідні застереження, що стосуються правил обробки персональних даних, розподілу відповідальності та супутніх питань.

Правова допомога з питань імплементації норм GDPR на практиці

Поради, викладені сьогодні, допоможуть вибудувати Ваш онлайн-бізнес у відповідності до принципів і правил GDPR. Дотримання нових правил збору і обробки персональних даних – це безумовна складова правильної юридичної організації сучасного бізнесу.

Наші спеціалісти готові надати комплексну правову допомогу з імплементації норм GDPR до змісту документів Ваших веб-сайтів, мобільних додатків і онлайн сервісів.

GDPR аудит – перший етап процесу імплементації норм Регламенту

Розробити необхідний пакет документів, підготувати специфічні правові рішення і реалізувати їх на практиці можливо і без попереднього правового аналізу. Проте, ефективність розроблених заходів значно виграє за умови проведення повноцінного аудиту на відповідність GDPR.

Ви можете ознайомитись з можливостями проведення юридичного аудиту і прикладами його успішного застосування, прочитавши нашу публікацію – Аудит на відповідність General Data Protection Regulation.

Онлайн розробка GDPR Privacy Policy

Ми пропонуємо Вам більше ніж просто консультації. Фахова юридична допомога юристів – спеціалістів з правил GDPR і розробка положень Privacy Policy доступні у будь-якому місті України – від Львова до Харкова, Одеси і Києва. Правова підтримка у вже традиційному онлайн форматі довела свої переваги на практиці.

Бажаємо Вам вдалої імплементації норм GDPR на практиці, успішного розвитку бізнесу і задоволених користувачів. Контакти юристів – фахівців з обробки персональних даних додаємо: +38 050 643 79 03 або +38 063 626 85 23.

З повагою до читачів,

юрист, засновник NGO “Legal Support”
Євгеній Мовчун