+380442055410 a@legalitgroup.com м. Київ, вул. Володимирська, 38, оф. 1
GDPR та персональні дані

ЧОМУ і ЯК потрібно оновити свою Політику конфіденційності?



Будь ласка, натисніть тут, щоб дізнатися більше.

Захист даних став надзвичайно важливим питанням для міжнародного бізнесу, оскільки наглядові органи дуже суворо ставляться до порушень та накладання штрафів. Таким чином, існують різні тенденції щодо того, як побудувати культуру приватності у вашій компанії. Однак, не лише приватні компанії пропагують конфіденційність як культуру.

 

Одне з останніх оновлень було опубліковано 24 лютого 2022 року Організацією цифрового співробітництва (“DCO”) у формі спільної заяви щодо Terms of Use та Privacy Policy Global Tech Companies («Компанії»), у якій DCO запропонувала кілька ідей щодо того, як захистити користувачів Інтернету від порушення їхніх прав на захист даних з боку таких Компаній. З повним текстом заяви можна ознайомитися за посиланням.

 

Перш за все, ЩО ТАКЕ DCO?

DCO — це глобальна багатостороння організація, яка була створена у 2020 році сімома країнами (Бахрейн, Йорданія, Кувейт, Нігерія, Оман, Пакистан і Саудівська Аравія). Її мета — сприяти більшій співпраці у сфері підприємництва, інновацій, зростання бізнесу та зайнятості в спільній цифровій економіці.

Трішки інформації: не всі країни-члени DCO мають повноцінне законодавство про захист даних. Лише Бахрейн, Нігерія та Саудівська Аравія мають окремий та чинний закон про захист даних, тоді як інші країни мають лише законопроєкти та пропозиції до вдосконалення законодавства. Тим не менш, все ще важливо відстежувати оновлення законодавства про захист персональних даних по всьому світу, щоб бути готовим до будь-яких нових правил.

 

ЩО БУЛО ЗАПРОПОНОВАНО?

DCO опублікувала спільну заяву, яка має рекомендаційний правовий характер, пропонуючи наступне:

  • Компанії не повинні використовувати персональні дані своїх користувачів для цілей, відмінних від тих, на які користувач надав згоду.
  • Компанії не повинні проводити профілювання користувачів без відповідної згоди, щоб попередити приймання хибних рішень проти прав користувачів.
  • Компанії повинні передавати дані за кордон третім сторонам лише після переконання в тому, що поводження з даними буде відповідати політикам країн-членів DCO.
  • Користувачі повинні мати право та достатній час для перенесення своїх персональних даних.

 

Незважаючи на те, що DCO має невелику кількість держав-членів, їхні рекомендації можуть використовуватися кожною компанією у світі, оскільки ці рекомендації охоплюють потенційні ринки та відповідають найкращим світовим практикам захисту даних. Крім того, країни DCO охоплюють майже півмільярда користувачів, тому їхні дані, можливо, вже обробляються вашою компанією, і дотримання правил такої обробки завжди є хорошою практикою.

 

ЩО І ЯК ЗМІНИТИ У ПОЛІТИЦІ КОНФІДЕНЦІЙНОСТІ?

Відповідно до зазначених проблем, деякі Політики конфіденційності («PP») необхідно переглянути та оновити.

  1. Вам необхідно переглянути розділи, в яких ви описуєте, які дані ви збираєте у своїй PP, особливо звернувши увагу на правові підстави для обробки. Переконайтеся, що ви отримали згоду на КОЖНУ обробку персональних даних, яка цього потребує. Якщо ваша компанія обробляє персональні дані без згоди користувача, переконайтеся, що законні підстави є належними та не порушують жодного чинного законодавства або прав користувачів. Якщо у вас немає законних підстав для обробки, необхідно створити нову процедуру отримання згоди на таку обробку.
  2. Якщо ваша діяльність з обробки включає профілювання користувачів, а саме автоматизоване прийняття рішень щодо користувачів на основі їхніх персональних даних, ви обов’язково повинні отримати згоду на таке профілювання. Якщо ви не виконуєте профілювання, вам потрібно прямо вказати це у своїй PP, наприклад, додавши таке положення:

 

«Ми НЕ використовуємо автоматизоване прийняття рішень та профілювання».

 

  1. Якщо ваша діяльність з обробки охоплює міжнародну передачу даних до держав-членів DCO, ви повинні бути впевнені у дотриманні всіх національних законів таких держав-членів щодо передачі даних, включаючи забезпечення достатніх гарантій, враховуючи необхідні організаційні та технічні заходи захисту даних.
  2. Компанія зобов’язується передбачити у своїй PP право користувачів переміщувати та/або видаляти свої персональні дані з платформи, а також передбачити засоби для реалізації такого права будь-якими доступними для вас і ваших користувачів способами: електронна пошта, телефон, спеціальна форма на веб-сайті, розробка спеціального функціоналу для цієї мети. 

 

Дотримання вимог щодо захисту даних стало дуже комплексним питанням, тому іноді ефективніше наймати фахівців у цій галузі, які мають достатній досвід для виконання будь-яких завдань, пов’язаних із конфіденційністю, та визначення всіх ризиків, пов’язаних із виходом на зовнішні ринки. Таким чином, послуги спеціалістів із захисту персональних даних від Legal IT Group безперечно може стати вам у нагоді.

Нагадування: щоб зробити пожертву, натисніть тут.



GDPR compliance

GDPR compliance

Владислав Дем'янець

Junior IT lawyer

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)