GDPR комплаєнс для ІТ-компанії: юридичні аспекти

Дотримання норм має вирішальне значення для ефективного ведення будь-якого бізнесу. Це допомагає підприємцям вести справи в рамках закону та нормативних актів, встановлених органами державної влади чи місцевого самоврядування. Недотримання таких вимог може призвести до негативних наслідків, в тому числі штрафів і шкоди репутації. З іншого боку, дотримання норм захищає зацікавлених сторін, включаючи клієнтів і співробітників, підвищує довіру до бізнесу та його репутацію. Це також допомагає зменшити операційні ризики та може відкрити нові ринки для підприємств. Таким чином, підприємства повинні надавати пріоритет дотриманню норм, щоб забезпечити довгостроковий успіх і сталий розвиток.

Саме дотримання (відповідність) законодавству і є сферою, яку охоплює комплаєнс.

Хоча цей термін добре відомий для західних країн, для України він відносно новий. Найкраще він розкритий у Термінологічному словнику з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції (правда, для банків), де зазначається, що комплаєнс - це дотримання вимог законодавства та внутрішніх процедур, що передбачає - необхідність знати, розуміти та дотримуватися всіх вимог законодавства України, нормативів, положень і правил, внутрішніх політик, стандартів.

Хоча дотримання законів і нормативних актів є важливим для всіх компаній, існують певні нормативні акти, які особливо стосуються окремих галузей. Для ІТ-компаній, які працюють у Європейському Союзі (ЄС) або пропонують товари та послуги громадянам ЄС, дотримання Загального регламенту захисту даних (GDPR) має важливе значення.

GDPR - це набір правил захисту даних, які регулюють збір, зберігання та обробку персональних даних громадян ЄС. Дотримання GDPR має вирішальне значення для захисту конфіденційності і для уникнення санкцій для ІТ-компаній.

Чому потрібен GDPR?

Насамперед для зміцнення прав осіб на захист даних у межах ЄС і для гармонізації законів про захист даних у всьому ЄС. До GDPR кожна країна-член ЄС мала власний набір законів про захист даних, що призводило до неузгодженості та плутанини. GDPR надає уніфікований набір правил захисту даних для всіх організацій, які працюють в ЄС або пропонують товари та послуги громадянам ЄС. Це також розширює права громадян щодо їхніх особистих даних і підвищує підзвітність організацій, які збирають, зберігають і обробляють персональні дані.

Що таке персональні дані згідно з GDPR?

Відповідно до GDPR, персональні дані - будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати ("суб'єкт даних"). Це включає такі дані, як ім'я, адреса, адреса електронної пошти, ідентифікаційний номер, дані про місцеперебування та онлайн-ідентифікатори. Він також включає спеціальні категорії персональних даних, такі як інформація про стан здоров'я особи, расову, етнічну приналежність, політичні погляди та релігійні переконання.

Тобто, простими словами, це будь-яка інформація стосовно певної конкретної особи або будь-яка інформація, яка може ідентифікувати особу.

Яка роль ІТ-компаній згідно з GDPR?

ІТ-компанії будуть або обробником, або контролером персональних даних.

Відповідно до GDPR, обробники персональних даних - це організації або особи, які обробляють персональні дані від імені контролера даних (за його інструкціями).

Контролер даних - це організація або особа, яка визначає цілі та засоби обробки персональних даних (збирає дані та визначає чому і як їх обробляти обробником).

Щоб визначити, чи є компанія контролером даних, чи обробником даних, необхідно враховувати характер відносин між двома організаціями та конкретні обставини діяльності з обробки даних.

Загалом, контролер даних несе відповідальність за дотримання вимог GDPR і забезпечення відповідності будь-яких обробників даних вимогам GDPR.

Основні вимоги GDPR для ІТ-компаній

GDPR покладає на IT-компанії, які працюють в ЄС або надають товари чи послуги клієнтам або підприємствам ЄС, певні вимоги. Ці вимоги включають:

- вимога згоди. Компанії повинні отримати активну згоду (згода не може надаватися "за замовчуванням") осіб перед збором їхніх персональних даних і повинні повідомити їх про мету та об'єм обробки їхніх даних;

- вимога доступу до даних та можливість їх видалення. Особи мають право вимагати доступу до своїх персональних даних і вимагати їх видалення. Компанії повинні надати людям можливість запитувати інформацію, яка їх стосується та своєчасно надавати відповідь на такі запити;

- вимога безпеки даних. Компанії повинні вживати необхідні заходи для захисту персональних даних від несанкціонованого доступу, розголошення, зміни та знищення;

- вимога повідомляти про витоки інформації. Компанії повинні повідомляти осіб і органи влади щодо витоку інформації, які можуть вплинути на безпеку персональних даних;

- вимога щодо наявності спеціаліста із захисту даних (Data protection officer, DPO). Компанії, які обробляють великі обсяги персональних даних або здійснюють систематичний моніторинг окремих осіб, повинні призначити DPO для нагляду за діяльністю із захисту даних; та

- вимога щодо наявності угоди про обробку даних (Data protection agreement, DPA). Компанії, які надають особисті дані стороннім обробникам, повинні мати DPA, щоб забезпечити виконання зобов'язань щодо захисту даних.

Дотримання цих вимог має важливе значення для ІТ-компаній, щоб уникнути потенційних санкцій і зберегти довіру своїх клієнтів.

Недотримання GDPR: наслідки

Недотримання GDPR може призвести до серйозних наслідків для ІТ-компаній, зокрема:

- штрафи: невідповідність GDPR може призвести до штрафів у розмірі до 4% глобального річного доходу компанії або 20 мільйонів євро (залежно від того, що більше);

- судові справи: особи, чиї особисті дані були неправильно оброблені, можуть подати позов до суду проти ІТ-компаній для отримання компенсації.

- репутаційна шкода: недотримання вимог може призвести до негативного розголосу та погіршення репутації ІТ-компаній, що потенційно призведе до втрати довіри клієнтів і прибутку; та

- призупинення обробки даних: регулятори можуть призупинити діяльність ІТ-компанії з обробки даних до досягнення відповідності GDPR.

Тому ІТ-компаніям важливо серйозно ставитися до дотримання GDPR, щоб уникнути цих наслідків і зберегти довіру своїх клієнтів.

Приклади недотримання норм GDRP

- Marriott International: у 2018 році компанія Marriott International зазнала витоку даних, у результаті якого були розкриті особисті дані понад 339 мільйонів клієнтів. Контролюючий орган Великобританії (ICO) оштрафував компанію на 18,4 мільйона фунтів стерлінгів за те, що вона не вжила належних заходів безпеки для захисту даних гостей.

- Google: у 2019 році французький орган захисту даних (CNIL) оштрафував Google на 50 мільйонів євро за те, що він не надав користувачам достатньо інформації про те, як збираються та обробляються їхні особисті дані;

- Twitter: у 2019 році орган захисту даних Ірландії (DPC) оштрафував Twitter на 450 000 євро за те, що він не повідомив про витік даних і не задокументував це належним чином у встановлений термін.

- TikTok: у 2021 році Нідерландський орган із захисту даних (DPA) оштрафував TikTok на 750 000 євро за порушення правил GDPR щодо прозорості та отримання згоди на цільову рекламу.

- Amazon: у 2021 році орган захисту даних Люксембургу (CNPD) оштрафував Amazon на 746 мільйонів євро за порушення правил GDPR щодо обробки персональних даних.

Підготовка до комплаєнсу: три важливих кроки

Крок 1. Проведення оцінки впливу на захист даних (Data Protection Impact Assessment, DPIA). DPIA включає виявлення та оцінку ризиків для персональних даних та впровадження заходів для пом'якшення цих ризиків. Результати DPIA слід використовувати для інформування про обробку даних і забезпечення відповідності вимогам GDPR.

Крок 2. Впровадження технічних та організаційних заходів для забезпечення захисту даних. Ці заходи можуть включати шифрування, контроль доступу, навчання персоналу та перевірки безпеки. Впроваджуючи ці заходи, ІТ-компанії можуть продемонструвати свою відданість дотриманню GDPR та захистити особисті дані від несанкціонованого доступу, використання або розголошення.

Крок 3. Призначення спеціаліста із захисту даних (DPO). DPO відповідає за моніторинг відповідності GDPR, надає консультації з питань захисту даних і виступає в якості контактної особи між ІТ-компанією та контролюючими органами.

Варто зазначити, що відповідно до GDPR передбачається необхідність наявності DPO лише за умов, якщо:

- опрацювання здійснює публічний орган або установа, за винятком судів, що діють як судові інстанції;

- основні види діяльності контролера або оператора становлять операції опрацювання, які, в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб'єктів даних; або

- основні види діяльності контролера або оператора становлять широкомасштабне опрацювання спеціальних категорій даних відповідно та персональних даних про судимості та кримінальні злочини.

Проте наявність DPO або співпраця з таким спеціалістом не буде заявою для будь-якої ІТ-компанії, яка хоче бути впевненою у тому, що вона буде діяти відповідно до GDPR.

Підтримання комплаєнсу: три рекомендації

Для ефективного підтримання комплаєнсу ІТ-компанії повинні дотримуватися наступних рекомендацій.

- Рекомендація 1. Регулярно переглядати політики та процедури захисту даних для підтримки відповідності GDPR. Ці перевірки повинні оцінити, чи політика та процедури все ще актуальні та ефективні для захисту персональних даних. Вони також повинні розглянути зміни в діяльності ІТ-компанії та нормативному ландшафті.

- Рекомендація 2. Постійно навчати персонал для підтримки відповідності GDPR. Співробітники повинні знати про свої зобов'язання згідно з GDPR і про те, як належним чином обробляти персональні дані. Регулярне навчання може допомогти переконатися, що співробітники залишаються в курсі вимог GDPR і що ІТ-компанія готова реагувати на виклики захисту даних.

- Рекомендація 3. ІТ-компанії також повинні відстежувати та повідомляти про порушення захисту даних відповідно до GDPR. Це включає виявлення, розслідування та повідомлення про будь-які порушення захисту персональних даних відповідним органам із захисту даних і постраждалим особам. ІТ-компанія повинна мати план реагування на порушення та впровадити заходи для запобігання подібним порушенням у майбутньому.

Підтримання відповідності GDPR є безперервним процесом, який вимагає постійних зусиль і уваги до деталей. Регулярні перевірки політик і процедур захисту даних, постійне навчання персоналу, а також моніторинг витоків даних і звітування про них є важливими кроками для забезпечення відповідності та уникнення негативних наслідків.

Підбивання підсумків

Дотримання вимог GDPR є важливою умовою для ІТ-компаній, які збирають, обробляють і зберігають персональні дані. GDPR встановлює суворі вимоги щодо захисту даних і конфіденційності, і їх недотримання може призвести до серйозних наслідків, зокрема значних штрафів і шкоди репутації.

Щоб підтримувати відповідність GDPR, ІТ-компанії повинні вжити таких заходів, як проведення оцінки впливу на захист даних, призначення спеціаліста із захисту даних, впровадження технічних і організаційних заходів, а також регулярний переглядати політики і процедури захисту даних. Вони також повинні забезпечувати постійне навчання персоналу та відстежувати та повідомляти про порушення захисту даних.

Вкладаючи час, ресурси та зусилля у GDRP комплаєнс, ІТ-компанії можуть захистити персональні дані та зберегти довіру своїх клієнтів. Відповідність GDPR - це не лише юридична вимога, а й важливий крок у створенні репутації надійного та відповідального управління даними. Тому в інтересах ІТ-компаній приділяти пріоритет дотриманню GDPR і вживати всіх необхідних заходів для захисту персональних даних. Особливу увагу на GDPR потрібно звернути через те, що Україна прагне в Європейське Співтовариство і, без сумнівів, стане повноправним членом ЄС.

Ігор Смірнов,

юрист EVERLEGAL