Много ли собственников бизнеса слышали аббревиатуру GDPR?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? Что такое такое GDPR в принципе?
В этой статье я расскажу о том, что же нужно предпринимать собственнику бизнеса при введении в действие GDPR. Стоит ли бояться? На самом деле самым страшным в этой теме является только то, как ее преподносят.
Что такое такое GDPR в принципе? Это Общий регламент ЕС по защите персональных данных (General Data Protection Regulation), который вступил в действие 25 мая 2018 года, заменив Директиву 95/46/ЄС по защите персональных данных, которая действовала с 1995 г., при этом значительно дополнив требования к учету персональных данных и расширил границы ответственности компаний, которые в своей работе имеют дело с персональными данными своих клиентов.
Как становится понятно из определения GDPR, его предметом регулирования являются персональные данные физических лиц. К таким данным относятся любые данные, которые могут способствовать определить такое физическое лицо прямо или косвенно.
Эти данные, помимо имени физического лица, почтового адреса, идентификационных данных, могут также включать в себя данные о его местоположении и другие факторы характерные для любого вида идентичности данного лица.
Следует подчеркнуть, что персональные данные могут быть только у физических лиц. То есть, особое внимание вопросу применения GDPR следует уделить тем, собственникам бизнеса, компании которых работают с конечными потребителями физическими лицами. Однако собственникам.
Несмотря на то, что регламент по защите персональных данных является документом Европейского союза, следует отметить, что документ имеет экстерриториальный принцип действия. Это значит, что в некоторых случаях его действия распространяется и на компании, которые не являются резидентами стран Евросоюза.
Несколько случаев прямо определено в самом GDPR. Это случаи, когда компания поставляет товары, работы или же предоставляет услуги на территории ЕС или для граждан ЕС, а также когда компания проводит мониторинг поведения субъектов данных, если такое поведение происходит на территории ЕС.
Под мониторингом имеется в виду отслеживание действий физического лица - резидента ЕС в сети интернет, проведение профилирования пользователей с помощью сбора персональных данных, анализ их поведения или оценка их реакций на что-либо. Обычно такие действия проводятся компаниями с целью анализа личных предпочтений пользователей в отдельности или пользовательских групп для дальнейшего прогнозирования их действий.
Данный пункт особенно важен для компаний, которые занимаются маркетингом или продвижением товаров и услуг, позиционированием бренда, проведением социологических опросов и т.д. для рынка ЕС.
Однако, следует обратить внимание, что даже если компания не ставит своей целью при проведении мониторинга получить данные граждан ЕС, но технически такая возможность присутствует, то компания находится в зоне риска применения GDPR.
Еще одним случаем, сформулированным из практики применения регламента является случай, когда компания имеет доступ к персональным данным субъектов из ЕС. Это может быть в случае трудоустройства гражданина ЕС на должность в компанию или же привлечение фрилансера из ЕС для выполнения каких-либо работ или услуг.
Многие компании при проведении аудита деятельности с целью определить распространяется ли на их деятельность GDPR считают, что если их компания не зарегистрирована на территории ЕС и не ведет свою деятельность в ЕС, то требования GDPR не распространяются на них.
Аудит на предмет применения требований GDPR не должен ограничиваться только вопросами регистрации компании и территориальностью ее деятельности.
Во время аудита следует обратить внимание на ведение деятельности в странах, где имплементировано законодательство ЕС. Если страна не входит в ЕС, но обязалась в международных договорах следовать нормам права ЕС, то требования GDPR будут применимы в таких странах.
Далее, следует обращать внимание на целевую аудиторию компании. Присутствуют ли среди клиентов компании граждане ЕС, предлагает ли компания таким гражданам свои услуги, собирает ли компания персональные данные таких граждан.
На практике сбор персональных данных граждан ЕС возможен через специальные куки, которые размещаются на сайтах с целью сбора информации о посетителях. И если, к примеру сайт имеет англоязычную версию, то вполне реально, что при просмотре результатов поиска по какому-либо поисковому запросу гражданин ЕС может попасть на сайт компании.
А это уже говорит о том, что компания обязана соблюдать требования GDPR.
Однозначно утверждать о том, что для компании вопрос применения GDPR является неактуальным можно только в случае, если технически исключена возможность случайной обработки персональных данных граждан ЕС.
К таким техническим возможностям относятся блокировки посещений сайтов по геолокации, ограничения в сборе данных при первичном посещении сайта и прочее.
Комплексный аудит компании для определения необходимости применения GDPR включает в себя идентификацию имеющихся персональных данных, анализ бизнес процессов, которые касаются обработки персональных данных (в частности путем проведения опросов ключевых сотрудников и отделов), инвентаризацию информационных систем и баз персональных данных, проверку договорных обязательств по обработке персональных данных с партнерами и контрагентами.
Проведение аудита деятельности компании позволит предотвратить нежелательные последствия для компании, которые могут возникнуть вследствие целенаправленной или случайной обработки данных своих клиентов.
- Стосунки з собою Людмила Євсєєнко 10:00
- Від США до фронту: контракти, що змінять правила гри Віктор Плахута вчора о 19:56
- Смертна кара у часи війни: вибір між гуманізмом і виживанням Дмитро Зенкін 10.03.2025 23:08
- Про оскарження рішень військово-лікарських комісій (ВЛК) Світлана Приймак 10.03.2025 23:00
- Метрики CX – клавіші фортепіано в мелодії прибутку компанії Андрій Волнянський 10.03.2025 22:45
- Хто має право на відстрочку та які документи необхідні? Віталій Єлькін 10.03.2025 21:52
- Як зробити освіту практичною: дієві рішення для університетів Віталій Кухарський 10.03.2025 19:28
- 69-та сесія Комісії ООН зі становища жінок стартувала сьогодні Галина Скіпальська 10.03.2025 15:48
- Що не так із ресурсними угодами США? Ксенія Оринчак 10.03.2025 15:00
- 3526 млрд грн збитків довкіллю: як притягнути агресора до відповідальності? Юлія Овчинникова 10.03.2025 14:42
- Стратегічні та критичні надра. Що це? Віталій Соловей 10.03.2025 14:24
- Україна – "воєнний дикобраз" серед світових хижаків Валерій Карпунцов 10.03.2025 13:37
- Росія не зупиниться: чому майбутнє Європи залежить від України Георгій Тука 10.03.2025 12:43
- Криптоскам на довірі: як не втратити своїх коштів у цифрову епоху Ігор Шевцов 10.03.2025 11:01
- OFAC, санкції та український бізнес: що потрібно знати енергетичним компаніям Ростислав Никітенко 10.03.2025 08:06
-
ПриватБанк змінює застосунок Приват24. Що буде нового – фото
Фінанси 4443
-
Резерви, корейці та атаки на логістику ЗСУ. Що відбувається на Курському напрямку
2471
-
"Це катастрофа". Швейцарія втрачає ринок зброї через заборону на перепродаж в Україну
Бізнес 2155
-
Найбільша автомобільна компанія Німеччини підтримує переозброєння Європи
Бізнес 2036
-
Без Трампа: у Києві перейменували кафе, названі на честь президента США
Життя 1735