GDPR и украинские IT компании

GDPR для IT – это космос. И, скорее всего, не потому что это что-то фантастическое и невероятное, а потому что он пребывает в состояние постоянного расширения. Сам текст GDPR, решения Working Party 29, гайдлайны EDPB, кейс-практика европейского Court of Justice – все это составляет GDPR и его продолжения.

GDPR для украинской IT компании – это не что-то сказочное, а реальности сегодняшнего дня. Уверены, что многие IT компании в Украине работают и даже не догадываются, что подпадают под действие GDPR. В этой статье мы расскажем, чем грозит GDPR для компании, как правильно обрабатывать персональные данные и как подготовиться к GDPR.

GDPR для украинских компаний

GDPR – это интернациональность. Не нужно думать, что если вы не из ЕС, то можно игнорировать требования GDPR и вам море по колено. Нет, наоборот: GDPR – это хитрый зверь, которого нужно в полной мере изучить.

GDPR для зарегистрированных в Украине

Если ваша компания зарегистрирована в Украине – самое время проверить, не распространяется ли на вас действие GDPR. Согласно GDPR, компания/лицо обязаны соблюдать требования GDPR, если:

• Компания/лицо зарегистрирована на территории ЕС;
• Компания/лицо собирает персональные данные граждан ЕС.

В контексте GDPR, Украина не является прямой зоной его деятельности. Однако, IT компания, которая зарегистрирована в Украине, может предоставлять услуги гражданам ЕС. В таком случае, GDPR говорит welcome – и вам нужно быть GDPR compliant.

GDPR для зарегистрированных в ЕС

Украинская IT компания – относительное понятие на нынешнем рынке. Фаундеры и работники могут быть из Украины, но сама компания зарегистрирована в Польше или Эстонии – а это значит, что компания не украинская, а, соответственно, эстонская или польская, а значит – компания на территории ЕС.

Тут даже можно не думать – нужно быть GDPR compliant в любом случае, даже:

• если вы собираете очень мало данных, можно сказать, что практически не собираете;
• если вы работаете на рынок СНГ;
• если это просто компания, на которой зарегистрирована интеллектуальная собственность, а основная компания не в ЕС и т.д.

— все эти «даже если» не работают, а GDPR для IT – это 24/7 работающий механизм.

GDPR для зарегистрированных в США

США является одной из самых популярных юрисдикций для инкорпорации заграницей у украинских IT-специалистов. Маленький штат Делавэр по своим характеристикам приравнивается к Эдему. В США и близлежащих странах есть свои законы о защите персональных данных. Самые популярные среди них – это:

• в Калифорнии – CCPA (California Consumer Privacy Act);
• в Канаде – PIPEDA (Personal Information Protection and Electronic Documents Act);
• в Бразилии – LGPD (Lei Geral de Proteção de Dados).

Многие компании, которые инкорпорировались в США, любят мнение «я зарегистрирован в США, а значит GDPR мне не нужен». К сожалению, это не так. Практика показывает, что большинство компаний, которые инкорпорированы в Штатах, работают не только на рынок США, но и на рынок ЕС, СНГ и т.д., а значит – обрабатывают персональные данные резидентов ЕС, а значит – GDPR вновь говорит welcome.

Как подготовится к GDPR?

GDPR – это планирование ответственности. Как и любой серьезный процесс, GDPR для компании – это сочетание качественной подготовки и еще более качественной реализации задуманного. Мы рекомендуем IT компаниям готовиться к GDPR в Украине следующим образом:

Разработайте стратегию

Перед тем, как начать что-то делать, нужно понять, как это делать. С этим круто помогает грамотная стратегическая think-session. На этом этапе следует: 

• обсудить планы и цели;
• определить результат, которого вы хотите достичь;
• определить, какие ключевые ценности должны быть защищены; а также 
• обсудить бизнес-процессы и возможные юридические инструменты для их реализации. 

Для этой задачи отлично подходят GDPR-опросник, который поможет вам определить общий объем будущей работы.

Оцените текущее состояние 

У каждого GDPR compliance процесса есть отправная точка. Некоторые IT компании самостоятельно обеспечивают довольно неплохой уровень защиты персональных данных и соблюдения GDPR в Украине, а некоторые хранят данные клиентов на открытом гугл-диске. Поэтому, процесс приведения деятельности в соответствии с GDPR для украинских компаний отличается в каждом отдельном случае.

Оценить текущее состояние дел в контексте приведения деятельности в соответствии с GDPR для компании поможет GDPR чек-лист, указывающий на ключевые аспекты обработки персональных данных, которые подлежащат защите. Также, советуем вам перед началом разработки документов провести полноценный GDPR аудит, который станет полноценной основой для дальнейшей разработки документов.

Составьте план

GDPR compliance – путь долгий, поэтому после разработки стратегии и определения объема работы, нужно составить четкий план по выполнению такой работы. Мы рекомендуем нашим клиентам следовать GDPR compliance алгоритму, который дает описание и руководство к основным шагам по внедрению GDPR в компании.

Подготовьте документы

Один из принципов GDPR – вы должны быть в состоянии доказать контролирующему органу, что вы соблюдаете GDPR. Для этого, необходимо документировать все идеи, реализованные решения, процессы и т.д. в контексте соблюдения вашей компанией GDPR.

Помимо стандартных Privacy Policy, Cookie Policy и Security Policy, необходимо также составить политики о: 

• передаче персональных данных клиентов партнерам;
• распределении и проверке компетенции в вопросах защиты персональных данных между сотрудниками;
• реагировании на утечку персональных данных и т.д. 

Документов будет много.

Постоянный мониторинг

GDPR для IT компании – это не «составить набор политик, сложить их в папочку на гугл-диске и продолжать работать как работали». Все, что описано в GDPR документах, нужно будет имплементировать на уровне технических решений и следить за тем, чтобы все инструкции и политики соблюдались сотрудниками компании.

Кроме того, GDPR compliance – это постоянный контроль за безопасностью и за уровнем компетентности сотрудников. Для улучшения последнего в компаниях рекомендуется проводить регулярные GDPR тренинги, которые в простой и доступной форме помогают каждому сотруднику понять его объем обязанностей и как их нужно выполнять. 

Продакт vs. Аутсорс

GDPR – это кастомизированость. Искренне удивляемся, когда говорят о едином GDPR решении для любой компании прямо здесь и прямо сейчас. Каждый кейс GDPR для компании, в том числе – GDPR для украинской компании – уникален. Это можно доказать на простом примере сравнения GDPR для аутсорсинговой и продакт компаний.

GDPR для IT аутсорсинга

GDPR для IT аутсорсинга – это история про взаимоотношения с партнерами. Аутсорс компании либо не получают, либо получают минимальное количество данных от третьих лиц через свой сайт. Основная масса персональных данных, которые они получают – это данные партнеров и их сотрудников.

Поэтому, в процессе GDPR compliance аутсорс компании следует сфокусироваться на разработке качественных data processing agreements с: 

• облачными сервисами;
• ФОПами-подрядчиками;
• провайдерами рекламных услуг; и
• другими партнерами, с которыми они сотрудничают в процессе предоставления услуг заказчику.

GDPR для продакт компании

GDPR для продакт компании – это история про взаимоотношения с пользователями. В такой схеме ситуация меняется кардинально: компания получает тонны персональных данных от своих пользователей, просто посетителей сайта, от клиентов которые перешли по рекламным ссылкам – и cookies файлы в придачу. Все это нужно правильно собирать, обрабатывать, хранить, передавать и удалять. 

Больше того, если у компании есть и сайт, и приложение, то GDPR алгоритм для сайта и для приложения не будет идентичным.

• GDPR для сайта компании – на сайте нужно предусмотреть весь функционал для получения согласия на обработку персональных данных от пользователя – политику приватности, форму согласия, баннер для cookies файлов и т.д. — , а также убедится, что каждый пользователь может запросить и получить информацию о том аспекте обработки персональных данных, который его интересует;
• GDPR для приложения компании – здесь важнейшую роль играет privacy by design – вам необходимо встроить систему защиты персональных данных во все алгоритмы и поддерживать такую систему непрерывно в процессе работы приложения.

Поэтому, продакт компании следует сосредоточиться на получении согласия на обработку персональных данных от их пользователей и правильной обработке таких данных.

GDPR и штрафы

GDPR – это большие штрафы. Большие, как лиоплевродон и патаготитан – и даже больше. В свое время, Гамлет находился в тени погибшего отца, а IT компании, которые считают, что GDPR в Украине им не нужен, находятся в тени перспективы штрафа от контролирующего органа.

От GDPR никто не застрахован: опыт Google или British Airways показывает, что богатые тоже плачут, а миллионные штрафы за несоблюдение GDPR для компании – это реальность нашего времени.

Многие могут сказать, что до сегодняшнего дня штрафовали только компании из ЕС. Да, действительно: штрафы за несоблюдение GDPR для украинских компаний – это пока только предположение. Но, ввиду того, что с каждым годом стандарты защиты персональных данных становятся только строже, а не наоборот, мы считаем, что следует действовать на опережение, а не ждать письма счастья от контролирующего органа.

Выводы

GDPR и украинские IT компании – это органично звучащее словосочетание в сегодняшних реалиях. Всем IT компаниям следует помнить, что рано или поздно нужно будет начать обращаться с персональными данными должным образом. Мы считаем, что чем раньше это сделать – тем лучше.

GDPR в Украине нужен не всем. С точки зрения GDPR, Украина – не зона его прямого действия. Однако мы советуем IT компаниям провести внутренний аудит и установить – собирают ли и обрабатывают ли они персональные данные резидентов ЕС. 

Если ответ на эти вопросы – да или «в том числе – да», то мы настоятельно рекомендуем вам не просто задуматься, а начать приводить свои процессы в соответствие с GDPR уже сейчас.