Действие правил регламента по защите персональных данных распространяется на украинские компании в 3-х случаях. О них рассказываем ниже.

Компания обрабатывает и хранит персональную информацию граждан ЕС 

Важно, где территориально находится пользователь, данные о котором собирает компания с помощью IT-решения. К примеру, криптоплатформе придется выполнить требования GDPR, если платежи проводят граждане ЕС.

Придется разработать политику конфиденциальности для игр и мобильных приложений, так как это условие для паблишинга. Это правило распространяется на интернет-магазины и маркетплейсы, если они продают товары покупателям из ЕС.

Что относится к персональным данным человека?

Перечень личной информации в политиках конфиденциальности и договорах для разных продуктов будет отличаться и зависит от вида деятельности компании. 

Приведем пример. К IT-юристам Stalirov&Co обратилась платформа Insurance Hunter. С помощью сайта пользователи из ЕС выбирают страховую. Они заполняют опросник, а алгоритмы программного обеспечения подбирают финансовое решение. В Privacy Policy для продукта юристы закрепили такой перечень персональных данных:

  • имя, фамилия, адрес,e-mail, номер телефона;
  • тип браузера, URL-адрес реферера, IP-адрес, MAC-адрес, тип устройства, разрешение экрана и версию ОС.

Но такой список не подойдет для криптоплатформы. Его нужно существенно расширить и добавить:

  • паспортные данные;
  • налоговую резидентность;
  • банковские реквизиты, включая номера счетов и платежные реквизиты;
  • источники и размеры доходов;
  • информацию о состоянии счета.

Компания работает с организациями, которые уже внедрили GDPR

Представьте, что к вам обратился немецкий банк для разработки интернет-банкинга. Вместе с другой документацией они обязательно пришлют GDPR-опросник, чтобы проверить соблюдение  требований по защите персональных данных. Все потому, что процедура разработки продукта подразумевает доступ к информации о клиентах банка. Украинская IT-компания не получит проект, пока не обоснует высокий уровень защиты данных. Для этого юристы разрабатывают документы для GDPR комплаенса:

  • Data Processing Agreement
  • Security Policy
  • Data Breach Response
  • Политика хранения и обращения с персональными данными
  • Политика уровней доступа
  • Инструкции для сотрудников по организации работы с персональными данными
  • Политика международной передачи персональных данных

Компаниям открыла представительство в ЕС

Открытие офисов в европейских странах - распространенный опыт ведения украинского IT-бизнеса. Компания осваивает новые рынки и нанимает сотрудников из ЕС. А вместе с этим попадает под действие GDPR.

Масштабирование украинского IT-бизнеса за счет выхода на европейский рынок всегда связано с необходимостью внедрить GDPR. Клиенту из ЕС важно, чтобы данные были в безопасности, а процесс работы с ними прозрачным.

#партнерская