Due GDPR Diligence при виході SaaS-проєктів на іноземні ринки

Катерина Дубас
Голова практики приватності в Legal IT Group
Звернутися
Розвиваєте свій SaaS і плануєте виходити на європейський ринок? Не забудьте про GDPR-аудит: і для продукту (власне, software або навіть hardware), і для бізнес-процесів (особливо маркетингу).
legal it group
icon

Чому це важливо

GDPR актуальний для будь-яких продуктів: B2C, B2B, навіть В2В2С

Важливо, що GDPR існує і активно застосовується на європейському ринку уже багато років – і буде слугувати програмою для нанизування інших програм комплаєнсу в ЄС. Наприклад, у 2025 році компанії готуються до вступу в силу європейського AI Act і низки інших законів, які напряму чи дотично регулюють стосунки організацій з даними їхніх клієнтів. І навички, які регулятори отримали при дослідженні ПЗ на відповідність GDPR, нікуди не поділись.

Якщо раніше регулятор міг скаржитися на брак судової чи адміністративної практики, то у 2025 році він має дуже широку базу знань для роботи у формі рішень судів всіх інстанцій (від місцевих національних до Суду Справедливості ЄС і ЄСПЛ), адміністративних штрафів, позицій місцевих органів захисту даних, досліджень спілок захисту прав споживачів і навіть програм перевірки комплаєнсу великих технічних компаній на кшталт Microsoft або Google.

  • GDPR не зникне

    Незважаючи на заяви речників ЄС про потребу зменшити тягар адміністрування складних процесів на кшталт records of processing activities або data protection impact assessments для менших компаній, таких заяв не було щодо обовʼязків підтримувати безпеку даних на належному рівні або мати архітектуру для видалення даних
    01

  • GDPR-комплаєнс вимагає часу – краще почати раніше

    Компанія не зможе уникнути витрат на роботу зі скаргами користувачів, які сприймуть недолік процесу обробки даних за інцидент у безпеці, або на подолання наслідків витоків даних через відсутність програми захисту даних.
    02

  • Репутація компанії під наглядом

    Після аудиту перед виходом на ринок компанія знатиме, наскільки небезпечними насправді є її маркетингові заяви про безпечність систем і даних у них – і зможе вчасно виправити всі недоліки.
    03

  • Технічний (і операційний) борг переглянуті

    Аудит допомагає виявити найбільш небезпечні недоліки та навчити команду звертати увагу на наслідки своїх дій – недбалого коду, ненадійних баз даних, невидалених переписок.
    04
title_icon

Що треба знати вже зараз

  • GDPR-аудит не зможе прискоритися без втрат

    icon
    Аудит охопить всі процеси обробки даних від їхнього отримання до видалення – це треба буде прослідкувати всі потоки (і пайплайни) на рівні окремого шматочка даних.

  • Аудит даних вимагає компетенції та уваги

    icon
    Всі спеціалісти і підрядники, залучені в обробку даних, мають бути охоплені аудитом і зацікавлені у тому, щоб виявити проблеми.

  • Регулятори мають (багатий) досвід аудитів

    icon
    У випадку перевірки чи особливо складного запиту команда не розумітиме як реагувати на питання та вкладатися у дедлайни відповіді.

  • Витрати на недотримання

    icon
    Штрафи за порушення GDPR можуть досягати 20 мільйонів євро або 4% від річного обороту компанії.

Проведення GDPR-аудиту — це вияв стратегічного мислення. Аудит виявить “дитячі хвороби” та ризик-апетити компанії.

implementation_icon

Переваги

Від хаотичного накопичення до ощадливого управління

Виявляємо legal-проблеми, розглядаємо organisational (чи інколи навіть technical) рішення

  • Підтримка під час аудиту

    Залишаємось на звʼязку з командою: пояснюємо, як GDPR впливає конкретно на них та їхню роботу
    Команда

  • Гнучкість у форматах роботи

    Ми працюємо з документами, опитувальниками, інтервʼю, драфтами, демо-версіями та будь-якими іншими інструментами
    Команда

  • Зручний моніторинг прогресу

    Домовляємось про регулярні синки, дзвінки, зустрічі або звіти, та переносимо результати на дешборди
    Команда

  • Багаторічний досвід

    Наші DPOs знають, за що хвилюється відділ маркетингу чи інформаційної безпеки, і шукають ефективні рішення
    Команда

процес GDPR-аудиту – процес GDPR-аудиту – процес GDPR-аудиту – процес GDPR-аудиту –

  • 01

    Оцінка аудит-проєкту

    Визначення обсягу обробки персональних даних та поточного рівня відповідності GDPR
  • 02

    Виявлення циклів життя даних

    Шукаємо дані, цілі їхнього збору, тривалість їхнього життя, міри захисту і ризики від обробки, і наносимо цю інформацію на карти руху даних
  • 03

    Оцінка вендорів і партнерів

    Проводимо vendor assessment і складаємо список DPAs для роботи з ними
  • 04

    Виявлення “розривів”

    Gap assessment: виявляємо недоліки програми та рекомендуємо шляхи подолання “розривів” між законом і практикою
  • 05

    Складання плану дій

    Створюємо action plan з рекомендаціями щодо пріоритетів подальших дій для досягнення комплаєнсу

GDPR може стати статтею великих штрафних втрат для data-driven компаній, для компаній у В2С-(і В2В2С-) сегменті, для компаній у cloud / data management-бізнесі – і навіть для більш традиційних бізнесів у сфері медицини, логістики, освіти, роздрібної чи гуртової торгівлі тощо.

Катерина Дубас
Голова практики приватності в Legal IT Group

blog_iconАктуальні та практичні статті по темі

  • Data privacy compliance
  • IP та Trade Mark в IT
  • Data privacy compliance
  • Дія.City
  • Data privacy compliance
  • Торгова марка в IT
Перейти до блогу

Пишемо про те, що практикуємо

IP, GDPR, контракти та спори, а також про правові аспекти імплементації таких технологій, як штучний інтелект чи кращі практики реалізації конкретних юридичних рішень.
Запит - перший крок до вирішення юридичного питання
Ваш запит до Legal IT Group
до 500 символів
Email
a@legalitgroup.com
Телефон
+38 (044) 205-54-10
Написати в Телеграм

Крізь зміни з Legal IT Group

Вам відповість:

Антон Тарасюк
Managing partner в Legal IT Group
Написати в Telegram
Сталася помилка
Запит надіслано Дякуємо за ваше повідомлення! Ми обробимо його якнайшвидше.
  • Як ви працюєте з IT-компаніями?

    Ми співпрацюємо з IT-компаніями на різних етапах їхньої діяльності, забезпечуючи комплексну правову підтримку, яка охоплює як юридичне оформлення бізнесу, так і захист інтелектуальної власності, контракти та конфіденційність.

  • Як захистити свої авторські права в ІТ?

    Щоб захистити авторські права в IT, важливо фіксувати своє авторство (дата створення, реєстрація в Укрпатенті), укладати договори з чіткими умовами, використовувати ліцензії для продуктів, підписувати NDA з партнерами, а також впроваджувати цифрові “водяні знаки” чи підписи в продукти. У разі порушення ваших прав звертайтеся до експертів у сфері права, таких як компанія Legal IT, яка допоможе моніторити порушення та вживати юридичних заходів для захисту вашої інтелектуальної власності.

  • Як швидко ви реагуєте на запити?

    Ми прагнемо оперативно реагувати на всі запити користувачів, оскільки розуміємо важливість своєчасного вирішення питань, пов’язаних із правовими аспектами діяльності в ІТ. Термін відповіді залежить від складності запиту, однак у більшості випадків ми надаємо зворотний зв’язок протягом 7 календарних днів.

  • Як ви забезпечуєте конфіденційність?

    Забезпечення конфіденційності є для нас пріоритетом, тому ми впроваджуємо комплекс заходів для захисту персональних даних та іншої чутливої інформації. Ми збираємо та обробляємо дані відповідно до чинного законодавства, зокрема Закону України «Про захист персональних даних». Доступ до інформації мають лише уповноважені особи, а передача даних третім сторонам здійснюється виключно у випадках, передбачених законом або за згодою користувача.