18 октября 2018 г. 338

Юристы ILF помогли защитить персональные данные в мобильном приложении

В ILF обратился директор компании из сферы HoReCa. Они разработали мобильное приложение и планировали вывести его на европейский рынок. Клиента волновал  вопрос о нашумевшем GDPR (общеевропейском Регламенте по защите данных, который вступил в силу в мае 2018 года): какие действия необходимо предпринять, чтобы работать в соответствии с требованиями закона.

Юристы прояснили, что Регламент распространяется также на компании, зарегистрированные в Украине, если их деятельность связана со сбором и хранением пользовательских данных граждан ЕС. И важно получить четкое согласие каждого пользователя на обработку персональных данных. Использование мобильного приложения клиента предполагало сбор, обработку и хранение таких данных.

Мы сопровождали оформление  перехода прав собственности на продукт клиента, составили документы по взаимодействию с пользователями и юрлицами - клиентами данного приложения, а также сделали полный GDPR-комплаенс:

  1. Провели аудит деятельности компании в отношении сбора и хранения персональных данных.

  2. Подготовили для приложения краткую и понятную Политику конфиденциальности (Privacy Policy). Этот документ нужен для того, чтобы информировать пользователя о порядке обработки и действиях с его персональными данными.

  3. Подготовили и помогли внедрить в жизнь пошаговую инструкцию по  внутренним изменениям в компании (например, назначение сотрудника, отвечающего за соблюдение безопасности и контроль над сбором/хранением персональных данных; создание условий для защиты персональных данных), а также шаблоны необходимых документов (например, проект ответа на просьбу пользователя об удалении персональных данных из приложения).

В Украине пока нет публичных случаев привлечения компаний за нарушения норм GDPR, но мировые корпорации Facebook и Google уже получили иски. Интернет-гигантам  удалось доказать необоснованность жалоб, а вот как будет  с небольшими компаниями - пока непонятно. Между тем, размеры штрафов за нарушение норм GDPR очень внушительные - 2-4% от годового дохода либо 20 млн евро (23,4 млн долларов) - в зависимости от того, какая сумма больше.

Так как Регламент вступил в силу недавно, а надзорные органы только начали работу и механизм еще не налажен, - судить о строгости его норм пока рано. Но мировой тренд работы с данными очевиден и, если деятельность вашей компании связана со сбором и обработкой пользовательской информации, лучше заняться профилактикой и предотвратить подобные риски.