Дія правил регламенту захисту персональних даних поширюється на українські компанії в 3-х випадках. Про них розповідаємо нижче.

Компанія обробляє та зберігає персональну інформацію громадян ЄС

Важливо, де територіально знаходиться користувач, дані про який збирає компанія за допомогою IT-рішення. Наприклад, криптоплатформі доведеться виконати вимоги GDPR, якщо платежі проводять громадяни ЄС.

Доведеться розробити політику конфіденційності для ігор та мобільних додатків, оскільки це є умовою для паблішингу. Це правило поширюється на інтернет-магазини та маркетплейси, якщо вони продають товари покупцям із ЄС.

Що стосується персональних даних людини?
Перелік особистої інформації у політиках конфіденційності та договорах для різних продуктів відрізнятиметься і залежить від виду діяльності компанії.

Наведемо приклад. До IT-юристів Stalirov&Co звернулася платформа Insurance Hunter. За допомогою сайту користувачі ЄС вибирають страхову. Вони заповнюють опитувальник, а алгоритми програмного забезпечення підбирають фінансове рішення. У Privacy Policy для продукту юристи закріпили такий перелік персональних даних:

  • ім'я, прізвище, адреса, e-mail, номер телефону;
  • тип браузера, URL-адреса реферера, IP-адреса, MAC-адреса, тип пристрою, роздільна здатність екрана та версію ОС.

Але такий перелік не підійде для криптоплатформи. Його потрібно суттєво розширити та додати:

  • паспортні данні;
  • податкову резидентність;
  • банківські реквізити, включаючи номери рахунків та платіжні реквізити;
  • джерела та розміри доходів;
  • інформацію про стан рахунку.

Компанія працює з організаціями, які вже запровадили GDPR

Уявіть собі, що до вас звернувся німецький банк для розробки інтернет-банкінгу. Разом з іншою документацією вони обов'язково надішлють GDPR-опитувач, щоб перевірити дотримання вимог щодо захисту персональних даних. Все тому, що процедура розробки продукту передбачає доступ до інформації про клієнтів банку. Українська IT-компанія не отримає проект доти, доки не обґрунтує високий рівень захисту даних. Для цього юристи розробляють документи для GDPR комплаєнсу:

  • Data Processing Agreement
  • Security Policy
  • Data Breach Response
  • Політика зберігання та поводження з персональними даними
  • Політика рівнів доступу
  • Інструкції для працівників з організації роботи з персональними даними
  • Політика міжнародної передачі персональних даних

Компаніям відкрила представництво в ЄС

Відкриття офісів у європейських країнах – поширений досвід ведення українського IT-бізнесу. Компанія освоює нові ринки та наймає співробітників із ЄС. А разом із цим підпадає під дію GDPR.

Масштабування українського IT-бізнесу за рахунок виходу на європейський ринок завжди пов'язане із необхідністю впровадити GDPR. Клієнту з ЄС важливо, щоб дані були у безпеці, а процес роботи із ними прозорим.

#партнерська