GDPR COMPLIANCE ЯК ФАКТОР УСПІШНОСТІ ВИХОДУ УКРАЇНСЬКИХ ПІДПРИЄМСТВ НА ЄВРОПЕЙСЬКИЙ РИНОК

Анотація

Інтеграція українських підприємств у європейський ринок вимагає дотримання жорстких вимог у сфері захисту персональних даних. Розбіжність між національним регулюванням та стандартами ЄС спричиняє практичні ризики для українських компаній.
Маркетингова діяльність підприємства обов'язково повинна відповідати законодавству, стандартам і етичним нормам. Однією з ключових сфер відповідності є захист персональних даних, оскільки маркетингова діяльність передбачає постійну обробку інформації. В межах Європейського Союзу обов’язковим є дотримання вимог GDPR (General Data Protection Regulation) – регламенту, спрямованого на захист персональних даних громадян ЄС та встановлення чітких правил їх збору, обробки й зберігання компаніями [1].
Згідно з GDPR, персональні дані – це будь-яка інформація, що стосується ідентифікованої особи. Обробка даних обов'язково повинна мати визначену мету. Компанія не може збирати більше даних, ніж це потрібно для реалізації мети, та зберігати їх довше, ніж потребується. Персональні дані клієнтів повинні бути точними та оновлюватися своєчасно. Компанія має гарантувати належний захист даних та інформувати суб'єкт про мету збору інформації та спосіб її використання.
Таблиця 1 – Порівнянння ЗУ «Про захист персональних даних» з регуляторними вимогами Європи
GDPR
ЗУ «Про захист персональних даних»
1
2
3
Сфери дії
Діє екстериторіально.
Відповідно до статті 2, поширюється на опрацювання персональних даних повністю чи частково із застосуванням автоматизованих засобів та до опрацювання персональних даних із застосуванням неавтоматизованих засобів, які формують частину картотеки або призначені для внесення до картотеки.
Поширюється на будь-яку обробку персональних даних і не застосовується у сфері особистих або побутових потреб.
Діє виключно на території України.
Відповідно до статтв 1 цей закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Поширюється на будь-яку обробку персональних даних і не застосовується у сфері особистих або побутових потреб. Додатково не застосовується для журналістських та творчих цілей та для отримання архівної інформації репресивних органів.
Підстави опрацювання ПД*
Стаття 6
-
згода суб'єкта даних
-
виконання контракту
-
дотримання встановленого законом
-
зобов'язання
-
захист життєво важливих інтересів суб'єкта
-
даних або іншої фізичної особи
-
виконання завдання в суспільних інтересах
-
або здійснення офіційних повноважень,
Стаття 11
-
згода суб’єкта персональних даних
-
укладення та виконання правочину
-
необхідність виконання обов’язку, передбаченого законом
-
захист життєво важливих інтересів суб’єкта персональних даних
-
дозвіл на обробку наданий виключно для
-
здійснення повноважень володільця персональних даних
-
необхідність захисту законних інтересів
131
Продовження табл.1
1
2
3
-
покладених на контролера
-
цілі законних інтересів контролера або третьої
сторони
-
володільця персональних даних або третьої особи
Права суб’єктів даних**
Права за GDPR є більш розширеними та деталізованими, на відміну від Закону (наприклад, право на доступ передбачає конкретну інформацію про обробку даних, яка має бути надана разом з копією даних).
Унікальні особливості
-
Наявність спеціальних правил для отримання згоди дитини (ст. 8)
-
Існування т.зв. принципу “Data protection by design & by default” (ст. 25)
-
Регулювання спільного контролерства (ст. 26)
-
Необхідність призначення представника у ЄС (ст. 27)
-
Обов’язковий облік операцій обробки (ст. 30)
-
Проведення оцінок впливу на захист персональних даних (ст. 35)
-
Необхідність повідомлення про витоки персональних даних (ст. 33–34)
-
Необхідність повідомлення Уповноваженого про обробку чутливих персональних даних (ст. 9)
-
Регулювання використання персональних даних працівниками (ст. 10)
-
Наявність спеціальних правил для розкриття персональних даних третім особам (ст. 14)
-
Існування окремої процедури та підстав доступу третіх осіб до персональних даних (ст. 16)
-
Обов’язок інформування про операції з персональними даними у визначених випадках (ст. 21)
-
Існування підзаконних актів (наприклад, Типовий порядок обробки ПД)
Штрафи
Стаття 83
Наглядовий орган накладає штрафи (залежно від порушення): до 10/20 млн. євро або до 2-4% загального глобального річного обігу компанії
Безпосередньо у законі відповідальність не передбачена. Порушення вимог може бути адміністративним (188-39 КУпАП) або кримінальним (стаття 182 КК України) правопорушенням.
*ПД – персональні дані
** Суб’єкт даних – за GDPR: фізична особа, яку ідентифіковано чи можна ідентифікувати, за ЗУ: фізична особа, персональні дані якої обробляються.
Узагальнюючи, GDPR це комплексна система, орієнтована на ризик-менеджмент та проактивну модель управління персональними даними, ЗУ є більш декларативним та встановлює узагальнені рамки обробки даних.
Невідповідність вимогам обох правових режимів зумовлює конфлікт регуляторних підходів, оскільки GDPR не повністю корелює з положеннями українського законодавства. Це потребує від підприємств одночасної адаптації внутрішніх політик і процедур до двох систем правового регулювання. Важливим є і репутаційний аспект, оскільки відповідність лише одному з регуляторних режимів не забезпечує повного рівня довіри з боку всіх зацікавлених сторін.
Як висновок, для українських підприємств оптимальною стратегією є комплексне впровадження вимог обох правових систем із орієнтацією на стандарти GDPR як більш деталізовані та жорсткі, маючи на меті вихід на європейські ринки.