За весь час застосування GDPR накладено 1948 штрафів на суму 4,418,681,804 €. Якщо ви думаєте, що ці цифри стосуються тільки європейських організацій, час розвінчати цей та інші міфи. Валерій Сталіров, CEO компанії IT-юристів, розповів про типові міфи, які помилково применшують роль GDPR в Україні та призводять до проблем українського бізнесу за кордоном.
GDPR не стосується України
Бізнес помилково вважає, що GDPR не стосується України, оскільки країна не є членом ЄС. Насправді, GDPR може застосовуватися до українських компаній, якщо вони обробляють особисті дані європейських громадян або пропонують товари та послуги на ринку ЄС. Наприклад, якщо українська компанія має онлайн-магазин і приймає замовлення від громадян ЄС, вона може обробляти особисті дані клієнтів, такі як ім’я, адреса, електронна пошта, номер телефону тощо. У цьому випадку компанія повинна дотримуватися вимог Регламенту щодо обробки даних.
Ще один випадок, коли українська компанія здійснює ІТ-аутсорсинг або надає послуги обробки даних для європейських клієнтів. Відповідно, такий бізнес обробляє особисті дані користувачів з ЄС і має виконати вимоги GDPR.
Малі компанії не підпадають під дію GDPR
Малі підприємства можуть вважати, що вони звільнені від виконання вимог GDPR через свій розмір та обсяг діяльності. Насправді, будь-який бізнес підпадає під дію Регламенту, незалежно від розміру, якщо обробляє дані європейців. Наприклад, малий український технічний стартап, продукт якого доступний європейцям, має слідувати GDPR. До цього його має спонукати не тільки вірогідність отримання штрафу, але й зацікавленість у цьому інвесторів. Перед тим, як отримати інвестиції, компанія проходить перевірку, яка включає аудит процесів збору, обробки та зберігання персональних даних. Невиконання вимог GDPR може стати на заваді масштабування стартапу та залучення інвестицій.
Обсяг діяльності матиме значення лише при призначенні штрафу, оскільки критерієм для визначення його розміру може були відсоток від обігу компанії, зокрема 2% або 4% залежно від виду порушення. Саме тому у реєстрі порушень GDPR можна побачити як штрафи у 500 €, так і 1,2 млрд €.
GDPR стосується лише онлайн-бізнесу
З минулих прикладів могло здатися, що GDPR застосовується лише до компаній, які здійснюють діяльність в Інтернеті або мають онлайн-присутність. Насправді, GDPR застосовується до всіх видів діяльності, незалежно від того, чи ведеться вона в Інтернеті чи офлайн. Наприклад, готелі та ресторани, які обслуговують клієнтів з ЄС, збирають та оброблятють їх особисті дані, такі як ім’я, адреса, номер банківської карти та інші, зобов’язані дотримуватися вимог Регламенту. Ще один приклад, українська клініка чи медичний центр, який надає послуги європейським пацієнтам, обробляє їх особисті дані. Мова про особливо чутливі персональні дані, такі як інформація про здоров’я, яка вимагає високого рівня захисту.
Чим ближча Україна до ЄС, тим відповідальніше ми маємо збирати, обробляти та зберігати персональні дані. Саме це ми будемо вчитися робити на онлайн-курсі “Захист персональних даних” , щоб допомогти українському бізнесу безпечно підкорювати європейські ринки.
ТОП-3 міфи про GDPR в Україні
