Много ли собственников бизнеса слышали аббревиатуру GDPR?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? Что такое такое GDPR в принципе?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? На самом деле самым страшным в этой теме является только то, как ее преподносят.
Что такое такое GDPR в принципе? Это Общий регламент ЕС по защите персональных данных (General Data Protection Regulation), который вступил в действие 25 мая 2018 года, заменив Директиву 95/46/ЄС по защите персональных данных, которая действовала с 1995 г., при этом значительно дополнив требования к учету персональных данных и расширил границы ответственности компаний, которые в своей работе имеют дело с персональными данными своих клиентов.
Как становится понятно из определения GDPR, его предметом регулирования являются персональные данные физических лиц. К таким данным относятся любые данные, которые могут способствовать определить такое физическое лицо прямо или косвенно.
Эти данные, помимо имени физического лица, почтового адреса, идентификационных данных, могут также включать в себя данные о его местоположении и другие факторы характерные для любого вида идентичности данного лица.
Следует подчеркнуть, что персональные данные могут быть только у физических лиц. То есть, особое внимание вопросу применения GDPR следует уделить тем, собственникам бизнеса, компании которых работают с конечными потребителями физическими лицами. Однако собственникам.
Несмотря на то, что регламент по защите персональных данных является документом Европейского союза, следует отметить, что документ имеет экстерриториальный принцип действия. Это значит, что в некоторых случаях его действия распространяется и на компании, которые не являются резидентами стран Евросоюза.
Несколько случаев прямо определено в самом GDPR. Это случаи, когда компания поставляет товары, работы или же предоставляет услуги на территории ЕС или для граждан ЕС, а также когда компания проводит мониторинг поведения субъектов данных, если такое поведение происходит на территории ЕС.
Под мониторингом имеется в виду отслеживание действий физического лица - резидента ЕС в сети интернет, проведение профилирования пользователей с помощью сбора персональных данных, анализ их поведения или оценка их реакций на что-либо. Обычно такие действия проводятся компаниями с целью анализа личных предпочтений пользователей в отдельности или пользовательских групп для дальнейшего прогнозирования их действий.
Данный пункт особенно важен для компаний, которые занимаются маркетингом или продвижением товаров и услуг, позиционированием бренда, проведением социологических опросов и т.д. для рынка ЕС.
Однако, следует обратить внимание, что даже если компания не ставит своей целью при проведении мониторинга получить данные граждан ЕС, но технически такая возможность присутствует, то компания находится в зоне риска применения GDPR.
Еще одним случаем, сформулированным из практики применения регламента является случай, когда компания имеет доступ к персональным данным субъектов из ЕС. Это может быть в случае трудоустройства гражданина ЕС на должность в компанию или же привлечение фрилансера из ЕС для выполнения каких-либо работ или услуг.
Многие компании при проведении аудита деятельности с целью определить распространяется ли на их деятельность GDPR считают, что если их компания не зарегистрирована на территории ЕС и не ведет свою деятельность в ЕС, то требования GDPR не распространяются на них.
Аудит на предмет применения требований GDPR не должен ограничиваться только вопросами регистрации компании и территориальностью ее деятельности.
Во время аудита следует обратить внимание на ведение деятельности в странах, где имплементировано законодательство ЕС. Если страна не входит в ЕС, но обязалась в международных договорах следовать нормам права ЕС, то требования GDPR будут применимы в таких странах.
Далее, следует обращать внимание на целевую аудиторию компании. Присутствуют ли среди клиентов компании граждане ЕС, предлагает ли компания таким гражданам свои услуги, собирает ли компания персональные данные таких граждан.
На практике сбор персональных данных граждан ЕС возможен через специальные куки, которые размещаются на сайтах с целью сбора информации о посетителях. И если, к примеру сайт имеет англоязычную версию, то вполне реально, что при просмотре результатов поиска по какому-либо поисковому запросу гражданин ЕС может попасть на сайт компании.
А это уже говорит о том, что компания обязана соблюдать требования GDPR.
Однозначно утверждать о том, что для компании вопрос применения GDPR является неактуальным можно только в случае, если технически исключена возможность случайной обработки персональных данных граждан ЕС.
К таким техническим возможностям относятся блокировки посещений сайтов по геолокации, ограничения в сборе данных при первичном посещении сайта и прочее.
Комплексный аудит компании для определения необходимости применения GDPR включает в себя идентификацию имеющихся персональных данных, анализ бизнес процессов, которые касаются обработки персональных данных (в частности путем проведения опросов ключевых сотрудников и отделов), инвентаризацию информационных систем и баз персональных данных, проверку договорных обязательств по обработке персональных данных с партнерами и контрагентами.
Проведение аудита деятельности компании позволит предотвратить нежелательные последствия для компании, которые могут возникнуть вследствие целенаправленной или случайной обработки данных своих клиентов.
- Альтернативи децентралізації енергогенерації в Україні не існує Олексій Гнатенко вчора о 15:31
- Відкриті дані: прозорість проти корупції Діана Граділь вчора о 13:39
- Способи захисту прав власника від самочинного будівництва на земельній ділянці Євген Морозов вчора о 10:45
- Власть, наука, интеллект – инвестиции в средний и малый бизнес и устойчивое развитие Вільям Задорський вчора о 04:01
- Прифронтовий Миколаїв. Яку допомогу можна отримати у місті, де лінія фронту зовсім близько Галина Скіпальська 25.07.2024 13:53
- На що дивляться інвестори? Олександр Висоцький 25.07.2024 12:22
- Де нормальний начпрод, там якісні продукти харчування Дана Ярова 25.07.2024 12:06
- Розвиток європейського ринку водню: Нові ініціативи та перспективи Олексій Гнатенко 25.07.2024 10:17
- Внесіть зміни у свій щоденний "to do list" Катерина Кошкіна 25.07.2024 09:59
- Гранти на відновлення та енергоефективність житла: можливості від Фонду енергоефективності Єгор Фаренюк 24.07.2024 21:44
- Порушення прав власника земельної ділянки внаслідок самочинного будівництва Євген Морозов 24.07.2024 19:48
- Як застосувати методи відбору постачальників НАТО у наших реаліях? Євгеній Сільверстов 24.07.2024 18:00
- Кого підтримуватиме Ізраїль під час виборів у США? Олег Вишняков 24.07.2024 13:22
- Європейська рада схвалила висновки щодо інфраструктури електромережі ЄС Олексій Гнатенко 24.07.2024 12:30
- Спільна власність чоловіка та жінки, які проживають без реєстрації шлюбу Євген Морозов 23.07.2024 19:26
- Boris Johnson: Запрошення до усвідомлення – домовлянь з РФ не буде 1882
- Суди проти рф – реалії, фантазії, міфи. Перспективи Арбітражу 299
- Як застосувати методи відбору постачальників НАТО у наших реаліях? 91
- Чому конкурентні закупівлі – це більше ніж просто вимога закону 65
- Дизайн дитячого простору 63
-
11 млрд доларів тому, кого немає. На що просила гроші Україна в Берліні
Бізнес 87037
-
У Харкові обрали нові назви для трьох станцій метро
Бізнес 11223
-
Помпео виклав своє бачення мирного плану Трампа: лендліз на $500 млрд і реальні санкції
Бізнес 9236
-
Криза мобільного зв’язку. Скільки коштуватиме подовження зв'язку під час відключень
Бізнес 5706
-
Київський підприємець почав розбирати Tesla, щоб заряджати оселі – FT
Технології 5379