Застосування GDPR в Україні: аналіз кейсів

GDPR, як один із найвпливовіших актів про захист персональних даних, має особливість у своїй сфері дії – екстратериторіальність, тобто поширення дії закону за межі ЄС. Стаття 3 GDPR визначає територіальну сферу застосування Регламенту на основі двох основних критеріїв:

• “місцезнаходження” – означає, що обробка персональних даних здійснюється установою, яка розташована на території ЄС;
• “спрямованість” – може бути застосованим через обробку персональних даних, що здійснюється контролером або процесором, які розташовані поза межами ЄС.

Якщо виконується один із двох критеріїв, положення GDPR застосовуватимуться до обробки персональних даних. Тому надзвичайно важливо, щоб контролери та процесори, зокрема українські компанії, проводили ретельний аналіз своїх активностей з обробки персональних даних, щоб визначити, чи підпадає така обробка під дію GDPR. Розберемо декілька імовірних сценаріїв для українського бізнесу.

Українська компанія надає послуги резидентам ЄС

Оскільки в GDPR немає визначення “установи” (“establishment”), Суд Справедливості ЄС у справі Weltimmo (C-230/14) зазначив, що поняття “установи” поширюється на будь-яку реальну та ефективну діяльність – навіть мінімальну, –  що здійснюється на основі усталених домовленостей. Такі домовленості виникають, наприклад, коли послуги надаються онлайн. В той же час, місце обробки даних не має значення, якщо діяльність установи здійснюється на європейський ринок – GDPR буде застосовуватись у будь-якому випадку.

Отже, не зважаючи на те, що компанія зареєстрована або створена в Україні, до уваги береться лише критерій “спрямованості” на європейський ринок. Якщо ви плануєте продавати свої товари та послуги до ЄС (наприклад, через онлайн-магазин) – доведеться дотримуватись положень GDPR. Тому будьте особливо обережні, якщо додаєте до свого сайту регіональні мови країн ЄС, місцеві валюти або інші ознаки таргетування на конкретний ринок – регулятор звертає на них увагу, якщо до нього надходить скарга від споживача про недотримання компанією вимог GDPR. 

B2B-співпраця з європейським партнером

Розглянемо ситуацію, коли українська компанія надає свої послуги європейській компанії (наприклад, українську CRM-платформу використовує європейська компанія для продажу послуг своїм клієнтам). У цьому випадку ключовим фактором, який визначає поширення положень GDPR на українську компанію, є її роль, процесора. Для того, щоб визначити, чи підпадає обробка даних процесором під дію GDPR відповідно до статті 3(2), необхідно перевірити, чи чи контролер передає процесору персональні дані резидентів ЄС. Сюди входять як ті особи, що постійно живуть в країнах-членах ЄС, так і відвідувачі цих країн – наприклад, якщо контролер продає послуги туристам, що зупиняються у європейських готелях. 

Саме контролер вирішує, які дані передавати іншим компаніям для подальшої обробки. Навіть якщо процесор пропонує повноцінне технічне рішення для збору і обробки даних, контролер залишається відповідальним за використання цього рішення, у тому числі за обробку персональних даних.

Отже, якщо діяльність з обробки даних, що здійснюється контролером, пов’язана з пропозицією товарів або послуг або з моніторингом поведінки фізичних осіб у Європейському Союзі, будь-який процесор, якому доручено здійснювати таку діяльність з обробки даних від імені контролера, підпадатиме під дію GDPR, прямо або непрямо. 

Зверніть увагу: якщо Ви відкриваєте місцеву європейську компанію для роботи з замовниками в ЄС (або замовниками, зацікавленими у європейському ринку), то GDPR буде діяти прямо. GDPR містить обовʼязки і для контролерів, і для процесорів, тому навіть якщо Ви створюєте В2В-рішення і віддаєте його як ПЗ для використання іншим компаніям, то це не буде винятком з GDPR. 

У більшості ж випадків компанії, які створюють В2В-рішення, повинні виконувати вимоги GDPR опосередковано – через спеціальні контракти про обробку даних, які укладаються між контролером в ЄС і процесором за межами ЄС. Ці договори часто повторюють вимоги GDPR, часто з додатковою конкретизацією та власними правилами контролера, і порушення цього договору може призвести як до проблем з європейським клієнтом (оскільки він буде відповідальним за порушення GDPR у цьому випадку та буде відповідати на скарги і претензії субʼєктів даних), так і до проблем з європейськими регуляторами (перевірки, запити, навіть заборона роботи на конкретному ринку, як у випадку з Clearview AI). 

GDPR-комплаєнс як ринкова перевага

Часто компанії, на діяльність яких не поширюються норми GDPR, або які тільки готуються до виходу на європейський ринок, самостійно вирішують дотримуватися вимог GDPR у своїй роботі з персональними даними. 

Таке рішення є не лише дотриманням найкращих практик із захисту персональних даних, а ще й перевагою серед конкурентів. GDPR вважається одним з найсуворіших законів про захист персональних даних. Саме тому комплаєнс з ним вирішує відразу кілька операційних проблем: 

• підвищена довіра користувачів до Вашого продукту; 
• покриття вимог відразу кількох законів про захист персональних даних інших країн, оскільки багато з них будуються на основі GDPR; 
• полегшення взаємодії з користувачами для команд підтримки – вони застосовують один скрипт роботи з даними без привʼязки до фізичного перебування клієнта або користувача; 
• полегшення перемовин з корпоративними клієнтами, які мають програми перевірки своїх підрядників і бізнес-партнерів щодо вимог GDPR тощо. 

Окрім того, деякі вимоги GDPR можна виконати лише якщо заздалегідь готуватися до цього – наприклад, щодо достатніх заходів захисту інформації та data protection by design/default. Таким чином Ви зможете уникнути нескінченного кола технічного боргу, оскільки матимете всі необхідні системи і модулі для обробки даних і зможете одразу залучати нових клієнтів, без витрачання часу на додаткову розробку, тестування і реліз. 

Практика регуляторів щодо дії GDPR за кордоном

SAN-2020-016 (CNIL, Франція)

На момент проведення аудиту керівник компанії повідомив CNIL, що операційна діяльність компанії здійснюється з Марокко і що в найближчому майбутньому він має намір припинити діяльність компанії у Франції та повністю перенести її до Марокко, тому GDPR у цьому випадку не застосовується.

Відповідно до ст. 3 GDPR, CNIL зберігає свою юрисдикцію та підтверджує застосування GDPR, оскільки компанія зареєстрована у Франції та надсилає свої рекламні повідомлення виключно французькій аудиторії.

161/2022 (APD/GBA, Бельгія)

Суб’єкт даних двічі отримував маркетингові електронні листи від контролера у США. Цей контролер мав на меті створити платформу для обговорення викликів та досягнень єврейських жінок, пропонуючи семінари з письма та продаючи книгу, яка була доступна лише англійською мовою. Контролер не приймав євро як валюту для оплати. Книгу можна було доставити лише на адреси в США, Канаді та Ізраїлі. Суб’єкт даних стверджував, що ніколи не мав жодного контакту з контролером.

Регулятор визначив, що “пропозиції товарів і послуг” конкретно для суб’єктів даних в ЄЕЗ не було. Така “пропозиція товарів і послуг” повинна розумітися як пропозиція, спрямована конкретно, а не випадково, на суб’єктів даних в ЄЕЗ. У даному випадку єдиною доступною мовою для книги та семінарів була англійська, книга могла бути доставлена тільки в США, Канаду та Ізраїль, а оплата була можлива тільки в доларах та шекелях. Отже, пропозиції товарів і послуг не було.

Звертайтесь за допомогою із GDPR комплаєнсом

Якщо у Вас виникають питання чи труднощі із дотриманням вимог GDPR, будемо раді допомогти Вам! Юристи Legal IT Group мають великий успішний досвід консультування та впровадження комплаєнсу із вимогами GDPR для бізнесу.