В ILF обратился директор компании из сферы HoReCa. Они разработали мобильное приложение и планировали вывести его на европейский рынок. Клиента волновал вопрос о нашумевшем GDPR (общеевропейском Регламенте по защите данных, который вступил в силу в мае 2018 года): какие действия необходимо предпринять, чтобы работать в соответствии с требованиями закона.
Юристы прояснили, что Регламент распространяется также на компании, зарегистрированные в Украине, если их деятельность связана со сбором и хранением пользовательских данных граждан ЕС. И важно получить четкое согласие каждого пользователя на обработку персональных данных. Использование мобильного приложения клиента предполагало сбор, обработку и хранение таких данных.
Мы сопровождали оформление перехода прав собственности на продукт клиента, составили документы по взаимодействию с пользователями и юрлицами - клиентами данного приложения, а также сделали полный GDPR-комплаенс:
Провели аудит деятельности компании в отношении сбора и хранения персональных данных.
Подготовили для приложения краткую и понятную Политику конфиденциальности (Privacy Policy). Этот документ нужен для того, чтобы информировать пользователя о порядке обработки и действиях с его персональными данными.
Подготовили и помогли внедрить в жизнь пошаговую инструкцию по внутренним изменениям в компании (например, назначение сотрудника, отвечающего за соблюдение безопасности и контроль над сбором/хранением персональных данных; создание условий для защиты персональных данных), а также шаблоны необходимых документов (например, проект ответа на просьбу пользователя об удалении персональных данных из приложения).
В Украине пока нет публичных случаев привлечения компаний за нарушения норм GDPR, но мировые корпорации Facebook и Google уже получили иски. Интернет-гигантам удалось доказать необоснованность жалоб, а вот как будет с небольшими компаниями - пока непонятно. Между тем, размеры штрафов за нарушение норм GDPR очень внушительные - 2-4% от годового дохода либо 20 млн евро (23,4 млн долларов) - в зависимости от того, какая сумма больше.
Так как Регламент вступил в силу недавно, а надзорные органы только начали работу и механизм еще не налажен, - судить о строгости его норм пока рано. Но мировой тренд работы с данными очевиден и, если деятельность вашей компании связана со сбором и обработкой пользовательской информации, лучше заняться профилактикой и предотвратить подобные риски.