GDPR та український бізнес
25 травня в Європейському Союзі вступили в дію нові правила щодо обробки персональних даних, більш відомі як GDPR. Метою GDPR є забезпечення захисту персональних даних фізичних осіб шляхом уніфікації системи захисту персональних даних в Європейському Союзі та запровадження величезних сум штрафів.
Штрафи вражають.
Високі штрафи є однією із ключових особливостей GDPR, що вирізняють їх від попереднього регулювання. Так, за недотримання вимог GDPR може бути накладений штраф у розмірі від 20 мільйонів євро або до 4% від загального світового річного обороту за попередній фінансовий рік.
Чому це важливо для України?
На перший погляд видається, що GDPR поширюється виключно на європейський бізнес, а персональні дані в Україні захищаються національним законодавством: Законом України "Про захист персональних даних". Загалом національне законодавство використовує такий самий підхід до захисту персональних даних, що й GDPR, але з однією суттєвою різницею: закон не виконується. Чому?
По-перше, відсутні реальні механізми контролю. Департамент з питань захисту персональних даних при Секретаріаті Уповноваженого Верхової Ради України з прав людини як уповноважений орган у сфері захисту персональних даних не виконує належним чином свої контрольні функції (наприклад, у 2018 році заплановано перевірити кілька державних органів влади та самоврядування, а суб'єкти господарювання не перевірятимуться на предмет дотримання ними вимог законодавства про захист персональних даних).
По-друге, встановлено порівняно низькі штрафи за порушення законодавства про захист персональних даних, що, ясна річ, не стимулює бізнес його дотримуватися (від 1700 до 34000 грн).
GDPR стосується всіх.
Чому під дію GDPR підпадають багато українських компаній? Щонайменше з огляду на 3 основні причини.
Перша: екстериторіальність GDPR
Дія GDPR поширюється не лише на резидентів ЄС, й за певних умов на резидентів інших країн.
Чи стосується GDPR Вашої компанії? Так, якщо:
- Ваша компанія здійснює діяльність в ЄС (постачання товарів, виконання робіт, надання послуг резидентам ЄС); або
- У Вас є іноземні працівники (громадяни чи резиденти ЄС); або
- Ви маєте представництво в ЄС; або
- Ваша компанія використовує хмарні системи, сервери розташовані в ЄC; або
- Ви здійснюєте моніторинг діяльності своїх клієнтів та покупців в ЄС (наприклад, маркетингові дослідження).
Друга: виконання Україною зобов’язань за Угодою про асоціацією з ЄС.
Не потрібно забувати, що хоча Україна не є членом ЄС, відповідно до Угоди про асоціацію Україна взяла на себе ряд зобов’язань. Так, КабМін своєю постановою № 110 від 25 жовтня 2017 затвердив План щодо виконання Угоди про асоціацію, і згідно з п. 11 цього Плану Україна повинна була привести національне законодавство у відповідність до GDPR до 25 травня 2018 року, що досі не було зроблено. Проте рано чи пізно стандарти GDPR таки буду імплементовані у наше національне законодавство.
Третя і напевно основна для бізнесу: наші контрагенти з ЄС, які вимагатимуть від нас GDPR-compliance, адже вони зобов’язані дотримуватися вимог GDPR, а у разі невиконання (в тому числі передача даних українським партнерам без належного рівня захисту), негативні наслідки можуть настати для них.
Можна спрогнозувати, що в контрактах з ЄС контрагентами все-частіше з’являтимуться положення договірної відповідальності, які розділятимуть відповідальність за будь-які негативні наслідки, спричинені Вашим GDPR non-compliance.
Ви вже зрозуміли, що Ваша компанія підпадає під GDPR? Не знаєте з чого почати, щоб бути GDPR-compliant?
Слідкуйте за нашими наступними публікаціями або звертайтеся до нас:
GDPR team, Nexia DK