Много ли собственников бизнеса слышали аббревиатуру GDPR?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? Что такое такое GDPR в принципе?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? На самом деле самым страшным в этой теме является только то, как ее преподносят.
Что такое такое GDPR в принципе? Это Общий регламент ЕС по защите персональных данных (General Data Protection Regulation), который вступил в действие 25 мая 2018 года, заменив Директиву 95/46/ЄС по защите персональных данных, которая действовала с 1995 г., при этом значительно дополнив требования к учету персональных данных и расширил границы ответственности компаний, которые в своей работе имеют дело с персональными данными своих клиентов.
Как становится понятно из определения GDPR, его предметом регулирования являются персональные данные физических лиц. К таким данным относятся любые данные, которые могут способствовать определить такое физическое лицо прямо или косвенно.
Эти данные, помимо имени физического лица, почтового адреса, идентификационных данных, могут также включать в себя данные о его местоположении и другие факторы характерные для любого вида идентичности данного лица.
Следует подчеркнуть, что персональные данные могут быть только у физических лиц. То есть, особое внимание вопросу применения GDPR следует уделить тем, собственникам бизнеса, компании которых работают с конечными потребителями физическими лицами. Однако собственникам.
Несмотря на то, что регламент по защите персональных данных является документом Европейского союза, следует отметить, что документ имеет экстерриториальный принцип действия. Это значит, что в некоторых случаях его действия распространяется и на компании, которые не являются резидентами стран Евросоюза.
Несколько случаев прямо определено в самом GDPR. Это случаи, когда компания поставляет товары, работы или же предоставляет услуги на территории ЕС или для граждан ЕС, а также когда компания проводит мониторинг поведения субъектов данных, если такое поведение происходит на территории ЕС.
Под мониторингом имеется в виду отслеживание действий физического лица - резидента ЕС в сети интернет, проведение профилирования пользователей с помощью сбора персональных данных, анализ их поведения или оценка их реакций на что-либо. Обычно такие действия проводятся компаниями с целью анализа личных предпочтений пользователей в отдельности или пользовательских групп для дальнейшего прогнозирования их действий.
Данный пункт особенно важен для компаний, которые занимаются маркетингом или продвижением товаров и услуг, позиционированием бренда, проведением социологических опросов и т.д. для рынка ЕС.
Однако, следует обратить внимание, что даже если компания не ставит своей целью при проведении мониторинга получить данные граждан ЕС, но технически такая возможность присутствует, то компания находится в зоне риска применения GDPR.
Еще одним случаем, сформулированным из практики применения регламента является случай, когда компания имеет доступ к персональным данным субъектов из ЕС. Это может быть в случае трудоустройства гражданина ЕС на должность в компанию или же привлечение фрилансера из ЕС для выполнения каких-либо работ или услуг.
Многие компании при проведении аудита деятельности с целью определить распространяется ли на их деятельность GDPR считают, что если их компания не зарегистрирована на территории ЕС и не ведет свою деятельность в ЕС, то требования GDPR не распространяются на них.
Аудит на предмет применения требований GDPR не должен ограничиваться только вопросами регистрации компании и территориальностью ее деятельности.
Во время аудита следует обратить внимание на ведение деятельности в странах, где имплементировано законодательство ЕС. Если страна не входит в ЕС, но обязалась в международных договорах следовать нормам права ЕС, то требования GDPR будут применимы в таких странах.
Далее, следует обращать внимание на целевую аудиторию компании. Присутствуют ли среди клиентов компании граждане ЕС, предлагает ли компания таким гражданам свои услуги, собирает ли компания персональные данные таких граждан.
На практике сбор персональных данных граждан ЕС возможен через специальные куки, которые размещаются на сайтах с целью сбора информации о посетителях. И если, к примеру сайт имеет англоязычную версию, то вполне реально, что при просмотре результатов поиска по какому-либо поисковому запросу гражданин ЕС может попасть на сайт компании.
А это уже говорит о том, что компания обязана соблюдать требования GDPR.
Однозначно утверждать о том, что для компании вопрос применения GDPR является неактуальным можно только в случае, если технически исключена возможность случайной обработки персональных данных граждан ЕС.
К таким техническим возможностям относятся блокировки посещений сайтов по геолокации, ограничения в сборе данных при первичном посещении сайта и прочее.
Комплексный аудит компании для определения необходимости применения GDPR включает в себя идентификацию имеющихся персональных данных, анализ бизнес процессов, которые касаются обработки персональных данных (в частности путем проведения опросов ключевых сотрудников и отделов), инвентаризацию информационных систем и баз персональных данных, проверку договорных обязательств по обработке персональных данных с партнерами и контрагентами.
Проведение аудита деятельности компании позволит предотвратить нежелательные последствия для компании, которые могут возникнуть вследствие целенаправленной или случайной обработки данных своих клиентов.
- С кем собрался воевать Дональд Трамп? Володимир Стус 01:39
- Право на гідність: шлях до інклюзії та рівності Данило Зелінський вчора о 14:24
- Якнайкращі інтереси дитини: адвокатський погляд на визначення місця проживання дитини Світлана Приймак вчора о 11:00
- Можливість оскарження ухвал Вищого антикорупційного суду у справі про застосування санкцій Євген Морозов вчора о 10:49
- Мобилизация 50+: действительно ли существует запрет? Віра Тарасенко 26.11.2024 21:58
- Сила особистого бренду Наталія Тонкаль 26.11.2024 18:43
- Як ініціювати приватизацію обʼєкту та організувати роботу з Фондом державного майна Віталій Жадобін 26.11.2024 15:31
- ЄС затвердив нові вимоги до промислових зразків Дмитро Зенкін 26.11.2024 14:11
- Чи мають право слідчі відібрати ваш телефон? Сергій Моргун 26.11.2024 11:20
- Межа між дисциплінарною й адміністративною відповідальністю військовослужбовців Світлана Приймак 26.11.2024 11:00
- Як українським трейдерам успішно працювати на IBEX: умови доступу та переваги Ростислав Никітенко 26.11.2024 10:29
- Механізм стягнення з боржника основної винагороди приватного виконавця Євген Морозов 26.11.2024 10:13
- Суд визнав: студент іноземного вишу має право на відстрочку від мобілізаці Арсен Маринушкін 25.11.2024 21:42
- Енергоефективність для багатоповерхівок: інвестиції в енергію, які окупляться Христина Ліштван 25.11.2024 16:42
- Експорт української продукції в Азербайджан зріс на 15,1% за 10 місяців 2024 року Юрій Гусєв 25.11.2024 14:30
-
У Білій Церкві у 2025 році почнуть будувати ще два заводи
Бізнес 19415
-
Уряд виплатить 6500 грн допомоги на дітей для проходження зими: хто отримає
Бізнес 14481
-
Intel отримала від влади США $7,86 млрд на напівпровідникові проєкти
Бізнес 11023
-
Генератор чи акумулятор. Скільки коштує енергонезалежність для багатоповерхівки
Бізнес 4332
-
Українці не хочуть повертатися з Німеччини: 65% вирішили залишитись назавжди
Бізнес 4003