GDPR: в яких випадках його застосування обов'язково, і чому це може бути вигідно

Розвиток бізнесу рано чи пізно ставить перед його власниками завдання про вихід на міжнародний ринок. Це може бути відкриття представництва в іншій країні, розширення ринку збуту, пошук іноземних підрядників або партнерів.

Якщо таке розширення має на увазі "підкорення" європейських країн, необхідно враховувати вимоги їх законодавства щодо обробки персональних даних. Як для того, щоб убезпечити себе від можливої відповідальності, так і для створення власного позитивного "іміджу".

Дата 25.05.2018 стала "знаковою" для багатьох компаній, адже в цей день набув чинності Загальний регламент захисту персональних даних (він же General Data Protection Regulation, який також відомий як GDPR). Далі про те, як і на що це вплинуло.

Цікаво: Права суб'єктів персональних даних

Хто зобов'язаний застосовувати GDPR?

Основне завдання GDPR - регулювання обробки і захисту персональних даних (далі - ПД) в межах Європейського Союзу та Європейської економічної зони (ЄС / ЄЕЗ), а також їх експорту за межі зазначених територій.

При цьому помилково може здатися, що GDPR в обов'язковому порядку поширюється тільки на підприємства-резидентів країн ЄС / ЄЕЗ. Насправді, GDPR може поширюватися на підприємства в декількох випадках.

Випадок 1. Наявність офісу або співробітників на території ЄС / ЄЕЗ (т. зв. організаційна одиниця або establishment).

В цьому випадку GDPR поширюється на підприємство, якщо його філія, партнери, представництва або представники розташовуються на території ЄС / ЄЕЗ на постійній основі.

При цьому GDPR буде застосовуватися до обробки тільки тих ПД, які пов'язані з діяльністю зазначених організаційних одиниць незалежно від того, чи належать оброблювані дані особам з ЄС / ЄЕЗ або з інших країн.

Наприклад, національний виробник молочної продукції буде зобов'язаний дотримуватися GDPR у разі залучення європейської компанії-партнера для реклами такої продукції, але тільки щодо тих даних, які пов'язані з діяльністю компанії-партнера (європейських Клієнтів, співробітників офісу і т.д.).

Випадок. 2. Підприємство розташоване за межами країн ЄС / ЄЕЗ, але пропонує жителям країн ЄС / ЄЕЗ товари та послуги.

У цій ситуації потрібно врахувати, що одна тільки технічна можливість доступу вищевказаних осіб до сайтів, додатків або інших ресурсів, де можна отримати товари / послуги, ще не зобов'язує підприємство застосовувати GDPR.

Такий обов'язок виникає, якщо "комерційний намір" з самого початку орієнтований на європейських користувачів.

Підтвердженням цього можуть бути, зокрема, такі ознаки:

• верхньорівневий домен сайту, зареєстрований в одній з країн ЄС;
• прийом оплати здійснюється в євро;
• додаток доступний на мовах країн ЄС;
• доступні точки доставки товарів в країнах ЄС / ЄЕЗ, тощо.

Випадок 3. Підприємство здійснює моніторинг Клієнтів з ЄС / ЄЕЗ.

Таким моніторингом можна вважати збір підприємством ПД європейців з метою подальшого використання у своїй діяльності, якщо таке підприємство поінформоване, що дані належать саме особам з країн ЄС / ЄЕЗ.

Наприклад:

• отримання інформації про геолокації Клієнтів;
• дослідження переваг Клієнтів щодо товарів і послуг, якщо воно здійснюється на основі персоніфікованих "профілів" Клієнтів;
• збір cookie-файлів, тощо.

Дізнатися вартість послуги.

Чому вимоги GDPR потрібно та можна виконувати?

Наслідком невиконання вимог GDPR (коли це обов'язково) може бути покарання у вигляді штрафу: 4% від річного обороту підприємства і до 20 млн євро.

Водночас, навіть якщо підприємство не зобов'язане застосовувати GDPR, проводити обробку ПД за його правилами може бути вигідно з наступних причин:

• зміцнення "HR-бренду" та залучення висококваліфікованих співробітників;
• залучення підрядників з ЄС / ЄЕЗ;
• залучення європейських інвесторів та ін.

При цьому впровадження GDPR здійснюється шляхом розробки та обов'язкового виконання ряду спеціальних процедур, що стосуються збору, використання, зберігання ПД, тощо. Конкретний порядок такого впровадження залежить від виду діяльності підприємства та інших його особливостей.

У будь-якому випадку репутація підприємства, яке застосовує в своїй діяльності вимоги GDPR, буде його конкурентною перевагою як на європейському ринку, так і на ринках України та інших країн.

Якщо Ви хочете отримати комплекс послуг, спрямований на роботу Вашого підприємства, відповідно до вимог GDPR - телефонуйте нам. Ми подбаємо про захист персональних даних на Вашому підприємстві.

Дізнатися більше про захист персональних даних.