GDPR Ready Company: Guidelines to Implement

05/ 03/ 2019

Прослухати онлайн Зупинити   Олена Колченогова. Юрист консалтингової компанії Нота-Груп Мільйоні штрафи на українські компанії за порушення обробки персональних даних згідно до іноземного законодавства: чи можливо таке насправді? Як правило, власники та керівники компаній сконцентровані на стратегічному розвитку та операційному управлінні свого бізнесу. Питання щодо змін у законодавстві, тим паче міжнародному, віддають на контроль юристам. І це - логічно та зрозуміло. Але є такі нормативні акти, які вимагають звернути увагу, навіть, власникам бізнесу, не лише для того, щоб бути у тренді, а, перш за все, щоб уникнути наслідки, які може зазнати бізнес. Одним із таких нормативних актів в 2018 році став Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних. І хоча Регламент був прийнятий в Європі, дія його розповсюджується також на українські компанії.  Ми звикли, що українське законодавство, не дивлячись на спроби виховати повагу та належне ставлення українського бізнесу до процесів обробки персональних даних шляхом прийняття відповідних законодавчих актів та процедур (свого часу, навіть, шляхом обов’язкової подачі персональних даних всіх, хто їх обробляє до державного реєстру баз персональних даних),  не встановлює дієвих механізмів впливу для бізнесу з цього питання. Тим паче, що штрафи за порушення процедур обробки даних максимум можуть складати декілька тисяч гривень. Таким чином, до 2018 року питання щодо належного захисту персональних даних бачилось неактуальним для бізнесу. З початком дії Регламенту почали діяти і штрафні санкції, які, на відміну від українського законодавства, становлять від 2-4% глобального річного обігу бізнесу або 10 000 000 – 20 000 000 евро за порушення процедур щодо обробки даних. В Європі вже розпочалася складатися певна практика із  застосуванням крупних штрафів. Отже, українським компаніям все далі стає необхіднішим звернути увагу на положення Регламенту та у найкоротший час вжити необхідних заходів. Це особливо актуально для компаній, які пропонують товари/послуг у країни ЄС та ЄЕЗ, здійснюють відстежування своїх потенційних клієнтів/відвідувачів сайтів в Інтернеті з метою таргетованої реклами, складають профайли щодо таких клієнтів (їх вподобання, інтереси, поведінку), здійснюють продаж через онлайн площадку, мають представництва на території ЄС. Таким чином, дія Регламенту має досить широке коло для застосування. Такий бізнес як медичне обслуговування, транспортні перевезення пасажирів, готелі, туризм, банки, процесори фінансових операцій, інформаційні технології, працевлаштування іноземців, будь-яка інша діяльність, що пов’язана з персональними даними осіб, які мешкають у Європі та ЄЕЗ, буде підпадати під дію та вимоги Регламенту. На зустрічі ми приділимо увагу основним та вирішальним положенням Регламенту, які потрібно знати власнику бізнеса, щоб не опинитися у «кролячій норі» та не здобути «слави» першого на українському ринку, який зазнав негативний вплив європейського законодавства.   Ми розглянемо приклади та надамо відповіді. Наприклад, чи завжди будуть підпадати під дію Регламенту українські банки, які обробляють персональні дані іноземців – своїх клієнтів, або чи буде розповсюджуватись дія Регламенту на транспортні компанії, що надають послуги з міжнародних перевезень. Або як правильно визначити чи є старт-ап, що заснований в Україні, та забезпечує певним додатком туристів, які відвідують Україну або країни ЕС (наприклад, для картографування місць) зобов’язальним відповідати вимогам Регламенту.    Наші спеціалісти з юридичних та технічних питань поділяться своїм досвідом, розкажуть про останні роз’яснення контролюючого європейського органу із захисту персональних даних та порадять, які організаційні та технічні заходи потрібно втілити, щоб негативні наслідки обійшли стороною Ваш бізнес. Ми покажемо як побудувати сучасну ІТ архітектуру, що задовольняє вимогам GDPR. Приділимо увагу використанню двофакторної аутентифікації як забезпечення виконання ключової вимоги GDPR. Чекаємо на зустріч на відкритій лекції 09-го квітня, реєстрація за посиланням.

Олена Колченогова

Юрист консалтингової компанії Нота-Груп

Мільйоні штрафи на українські компанії за порушення обробки персональних даних згідно до іноземного законодавства: чи можливо таке насправді?

Як правило, власники та керівники компаній сконцентровані на стратегічному розвитку та операційному управлінні свого бізнесу. Питання щодо змін у законодавстві, тим паче міжнародному, віддають на контроль юристам. І це – логічно та зрозуміло.

Але є такі нормативні акти, які вимагають звернути увагу, навіть, власникам бізнесу, не лише для того, щоб бути у тренді, а, перш за все, щоб уникнути наслідки, які може зазнати бізнес.

Одним із таких нормативних актів в 2018 році став Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних. І хоча Регламент був прийнятий в Європі, дія його розповсюджується також на українські компанії. 

Ми звикли, що українське законодавство, не дивлячись на спроби виховати повагу та належне ставлення українського бізнесу до процесів обробки персональних даних шляхом прийняття відповідних законодавчих актів та процедур (свого часу, навіть, шляхом обов’язкової подачі персональних даних всіх, хто їх обробляє до державного реєстру баз персональних даних),  не встановлює дієвих механізмів впливу для бізнесу з цього питання. Тим паче, що штрафи за порушення процедур обробки даних максимум можуть складати декілька тисяч гривень. Таким чином, до 2018 року питання щодо належного захисту персональних даних бачилось неактуальним для бізнесу. З початком дії Регламенту почали діяти і штрафні санкції, які, на відміну від українського законодавства, становлять від 2-4% глобального річного обігу бізнесу або 10 000 000 – 20 000 000 евро за порушення процедур щодо обробки даних. В Європі вже розпочалася складатися певна практика із  застосуванням крупних штрафів.

Отже, українським компаніям все далі стає необхіднішим звернути увагу на положення Регламенту та у найкоротший час вжити необхідних заходів. Це особливо актуально для компаній, які пропонують товари/послуг у країни ЄС та ЄЕЗ, здійснюють відстежування своїх потенційних клієнтів/відвідувачів сайтів в Інтернеті з метою таргетованої реклами, складають профайли щодо таких клієнтів (їх вподобання, інтереси, поведінку), здійснюють продаж через онлайн площадку, мають представництва на території ЄС.

Таким чином, дія Регламенту має досить широке коло для застосування. Такий бізнес як медичне обслуговування, транспортні перевезення пасажирів, готелі, туризм, банки, процесори фінансових операцій, інформаційні технології, працевлаштування іноземців, будь-яка інша діяльність, що пов’язана з персональними даними осіб, які мешкають у Європі та ЄЕЗ, буде підпадати під дію та вимоги Регламенту.

На зустрічі ми приділимо увагу основним та вирішальним положенням Регламенту, які потрібно знати власнику бізнеса, щоб не опинитися у «кролячій норі» та не здобути «слави» першого на українському ринку, який зазнав негативний вплив європейського законодавства.   Ми розглянемо приклади та надамо відповіді. Наприклад, чи завжди будуть підпадати під дію Регламенту українські банки, які обробляють персональні дані іноземців – своїх клієнтів, або чи буде розповсюджуватись дія Регламенту на транспортні компанії, що надають послуги з міжнародних перевезень. Або як правильно визначити чи є старт-ап, що заснований в Україні, та забезпечує певним додатком туристів, які відвідують Україну або країни ЕС (наприклад, для картографування місць) зобов’язальним відповідати вимогам Регламенту.   

Наші спеціалісти з юридичних та технічних питань поділяться своїм досвідом, розкажуть про останні роз’яснення контролюючого європейського органу із захисту персональних даних та порадять, які організаційні та технічні заходи потрібно втілити, щоб негативні наслідки обійшли стороною Ваш бізнес. Ми покажемо як побудувати сучасну ІТ архітектуру, що задовольняє вимогам GDPR. Приділимо увагу використанню двофакторної аутентифікації як забезпечення виконання ключової вимоги GDPR.

Чекаємо на зустріч на відкритій лекції 09-го квітня, реєстрація за посиланням.