Коли GDPR поширюється на українську компанію, що таке контролер і процесор, які документи потрібні та як узгодити регламент із українським законом про дані.
Коли GDPR поширюється на українську компанію
Загальний регламент про захист даних (GDPR) застосовується незалежно від місця реєстрації компанії, якщо вона обробляє персональні дані осіб, які перебувають у ЄС, у зв’язку з пропонуванням їм товарів і послуг або моніторингом їхньої поведінки. Тому український стартап із користувачами в Європі підпадає під регламент так само, як і європейська компанія.
Поширена помилка — сприймати відповідність як одноразове розміщення шаблонної політики конфіденційності на сайті. Насправді GDPR вимагає системи процесів. У межах практики IT Law ми будуємо відповідність на основі реальних потоків даних у продукті, а не формальних шаблонів.
Контролер і процесор: хто за що відповідає
GDPR розрізняє контролера (визначає цілі та засоби обробки) і процесора (обробляє дані за дорученням контролера). Продуктова компанія зазвичай є контролером щодо даних своїх користувачів і процесором, коли обробляє дані за дорученням клієнта-бізнесу. Аутсорсингова команда часто виступає процесором або субпроцесором.
Правильне визначення ролі критичне, бо від нього залежать обов’язки та відповідальність. Між контролером і процесором обов’язково укладається договір про обробку даних (Data Processing Agreement, DPA), який фіксує предмет, тривалість, характер обробки та заходи безпеки. Такі договори ми готуємо для всіх ланок ланцюга — від хмарного провайдера до субпідрядника.
Обов’язкові документи та процеси
Базовий пакет відповідності включає кілька елементів. По-перше, політику конфіденційності та механізми отримання згоди, що відповідають принципам прозорості й законності обробки. По-друге, реєстр операцій з обробки (records of processing activities), де описано, які дані, з якою метою та на якій підставі обробляються.
- оцінка впливу на захист даних (DPIA) для ризикових процесів;
- DPA з кожним підрядником і хмарним провайдером;
- процедури реагування на запити суб’єктів (доступ, видалення, перенесення);
- призначення відповідальної особи (DPO) за певних умов.
Документація має відповідати тому, що відбувається в продукті насправді, інакше вона марна під час перевірки чи due diligence. Ці документи тісно пов’язані з SaaS-угодами, які ми готуємо в межах напряму IT Law.
Витік даних і розмір штрафів
GDPR зобов’язує повідомити наглядовий орган про витік персональних даних упродовж стислого строку (як правило, 72 години) з моменту виявлення, а за високого ризику — й самих суб’єктів. Для цього компанія заздалегідь готує внутрішню процедуру реагування на інциденти, аби не втратити час у критичний момент.
Штрафи за порушення сягають значного відсотка світового річного обороту компанії або фіксованої суми в євро — залежно від того, що більше. Саме тому інвестори та великі корпоративні клієнти все частіше перевіряють блок захисту даних під час due diligence, а невідповідність знижує оцінку компанії або зриває угоду.
Узгодження з українським законом про дані
Паралельно з GDPR в Україні діє Закон України «Про захист персональних даних» із власними вимогами до підстав обробки, повідомлення суб’єктів і захисту баз даних. Українське законодавство у цій сфері поступово зближується з європейськими стандартами в межах євроінтеграції.
Грамотна система відповідності задовольняє обидва режими одночасно, без зайвого дублювання та бюрократичного навантаження на продуктову команду. Ми будуємо її так, щоб одні й ті самі процеси покривали і європейські, і українські вимоги. Більше матеріалів — у розділі IT-право, а аудит вашого продукту замовте на консультації.
Послуги напряму: Вступ і супровід у режимі Дія.City, Договори з розробниками (B2B та гіг-контракти), Відповідність GDPR і захист персональних даних.