Якщо ваш бізнес обробляє персональні дані європейських громадян, то вам треба зважати на GDPR. Що таке GDPR і коли його застосовують до українських компаній, пояснює в AIN.Business Оксана Задніпровська, партнерка Axon Partners.
Що за GDPR?
GDPR – це Регламент ЄС, що поширюється на будь-які компанії у світі, якщо вони обробляють персональні дані європейців. Персональні дані – це все, що дозволяє ідентифікувати користувача: не тільки ім’я, паспортні дані чи номер телефону, але й IP/MAC-адреса та cookies-ідентифікатори.
Коли GDPR застосовують до українських компаній?
Коли бізнес обробляє персональні дані в ЄС та формує собі базу даних з використанням технологій чи вручну. До бізнесів в ЄС GDPR застосовується за замовчуванням. В Україні GDPR стосується компаній, які відповідають так званому «таргетинговому критерію». Для цього слід:
- Продавати або пропонувати товари чи послуги суб’єктам в ЄС.
- Моніторити поведінку суб’єктів в ЄС.
В обох випадках відповідно до рекомендацій EDPB громадянство ЄС не є визначальним фактором. Важливо, щоб людина перебувала в ЄС, коли щодо її даних відбувалися пропозиція/продаж товарів чи послуг або моніторинг поведінки. Плюс дії бізнесу в такому разі мають бути цілеспрямовані, а не випадкові.
Щоб визначити, чи була пропозиція товарів і послуг цілеспрямованою, враховують кілька факторів. Кожного з них поодинці може бути недостатньо для застосування GDPR.
Припустимо, «Реп’яшок» – це інтернет-магазин, який продає взуття українським споживачам, отримує оплату в гривні та має українськомовний сайт. Питань немає, який тут GDPR. Так буде, допоки у «Реп’яшка» – ТОВ чи ФОП в Україні, а не OU в Естонії (так у них називають ТОВ). Якщо ж компанія в Естонії, усі дії автоматично підпадають під GDPR, і не важливо, кому компанія продає взуття.
А якщо «Реп’яшок» – ТОВ, продає взуття онлайн, пропонує доставку в країни ЄС, приймає оплату в євро і має французьку версію сайту? Очевидно, що це не лише для українських любителів Парижа. Значить, «Реп’яшок» веде активну діяльність на території ЄС.
У реальних кейсах все набагато складніше. Наприклад, ви розробляєте сервіс для реклами. При цьому компанія – у США, клієнти переважно в США, є поодинокі в ЄС та Україні. Кінцеві користувачі, чиї IP-адреси оброблятимуть для реклами, – це здебільшого не громадяни ЄС. Компанія в США все одно буде підпадати під дію GDPR, допоки вона має намір моніторити хоч якихось кінцевих користувачів в ЄС – чи то сама, чи то із залученням своїх клієнтів (виступаючи процесором).
Якщо компанія в США цілеспрямовано моніторить поведінку користувачів в ЄС, щоб підбирати і пропонувати їм персоналізовану рекламу, від GDPR нікуди не подінешся. Та якщо компанія не збирається працювати в ЄС і не має там клієнтів, а котрийсь із кінцевих користувачів за власним бажанням знайшов та використав іноземний сервіс без мовних налаштувань і надав йому свої дані, GDPR не застосовується.
Навіщо вам знати, чи застосовується до вас GDPR?
«Ми не працюємо в ЄС, ми ще стартап, пізніше розберемося, коли виростемо». Можливо. Та знати варто, щоб бути готовим до подібного на GDPR українського закону, який от-от приймуть. Тобто готуватися до:
- витрат;
- обов’язків;
- або свідомо приймати ризики, якщо персональні дані – поки не пріоритет.
Витрати випливають із обов’язків, які GDPR покладає на бізнеси. Це витрати на представника в ЄС, налаштування й підтримку правильних процесів з обробки даних, підготовку політик і договорів на передачу даних.
Обов’язки залежать від ролі компанії. GDPR розділяє бізнеси на контролерів та процесорів. Контролер вирішує, яка мета та засоби обробки даних. Процесор виконує вказівки контролера при обробці. Наприклад, український стартап «Реп’яшок» через сайт збирає електронні пошти та встановлює cookies на пристрої користувачів в ЄС. «Реп’яшок» робить користувачам розсилки щодо своїх продуктів, а отже, «Реп’яшок» – контролер. Якщо «Реп’яшок» залучає стартап «Олівець» до формування маркетингових матеріалів, «Олівець» стає процесором.
У «Реп’яшка» більше обов’язків, ніж у «Олівця». «Реп’яшок» має показати, що докладає максимальних зусиль, аби обробляти персональні дані правильно. А це – усі згадані витрати. Обидві компанії повинні поважати права користувачів на доступ до інформації про обробку та до своїх даних, тобто на можливість обмежити обробку, змінити або знищити ці дані. Компанії також мають відповідати на запити користувачів і призначити представника в ЄС, який буде «відбиватися» від запитів на місці. Крім того, «Реп’яшку» із «Олівцем» потрібен письмовий договір про обробку даних.
Відповідальність: органи з захисту даних перевіряють бізнеси, на які поширюється GDPR. Якщо регулятор вирішує, що процеси з даними «криві», він накладає штраф на бізнес до 20 млн євро або 4% річного обороту компанії.
Регулятор може виписати штраф не тільки європейській, але й іноземній компанії. Наприклад, кілька місяців тому нідерландський регулятор оштрафував іноземну компанію за відсутність представника в ЄС та інші порушення на 525 000 євро. Чому регулятор взагалі зацікавився сайтом компанії? Його підштовхнули численні скарги користувачів сервісу.
На практиці, щоб стягнути штраф за GDPR щодо іноземних компаній, треба трохи заморочитися. З компаніями в ЄС значно простіше. Однак проти умовних «Реп’яшків» та «Олівців» є й інший інструмент – ізоляція, коли жодна з компаній в ЄС не захоче з ними працювати.
Скільки б ринків ви не охоплювали, якщо туди потрапляє ЄС, ви маєте дбати про персональні дані кінцевих клієнтів з огляду на GDPR. Якщо цього не зробите ви, про GDPR запитають ваші клієнти та партнери, або гірше – користувачі чи контролювальний орган. Узяти на себе витрати та обов’язки за GDPR чи вірити, що з ЄС ніколи «не прилетить» – вирішувати бізнесу. На те він і є «діяльністю на власний ризик».
Автор: Оксана Задніпровська, партнерка Axon Partners