Legal CommunITy by Kharkiv IT Cluster: «Релокація співробітників у ЄС: GDPR»
Питання захисту персональних даних гостро регулюється у країнах Європейського Союзу з 2018-го року. Саме тоді вступив у силу Загальний регламент про захист даних – GDPR. Знання та дотримання цієї збірки правил актуальне і для нашої ІТ-спільноти, адже більшість компаній, що є учасниками та партнерами Харківського ІТ Кластера, безпосередньо пов’язані з діяльністю в країнах Європи. Особливо зараз, коли через війну співробітники компаній релокуються за кордон, питання GDPR є як ніколи нагальним.
Саме тому 2 червня Kharkiv IT Cluster разом з Head of Legal Оксаною Кобзар та компетентним юристом Олександром Саєнком організували регулярну зустріч для ІТ-спільноти – Legal CommunITy. Це вже третя зустріч фахової спільноти Харківського ІТ Кластера під час війни. Участь у вебінарах можуть брати юристи, фінансові директори, головні бухгалтери, керівники та власники ІТ-компаній-учасників Kharkiv IT Cluster. Цього разу понад 30 профільних фахівців ІТ-компаній зібрались щоб отримати корисну інформацію по зазначеному питанню – GDPR у фокусі релокації фахівців до Європи.
Олександр детально розповів:
- що таке GDPR;
- як це стосується української ІТ-спільноти;
- які ризики є у кожної компанії, співробітники якої релокувалися в ЄС, на прикладі відомих кейсів.
А також надав практичні рекомендації щодо роботи за Загальним регламентом про захист даних.
Що таке GDPR?
GDPR – прикладні правила захисту персональних даних на етапі отримання, обробки та передачі даних.
Головними функціями дотримання цього регламенту є:
● використовувати персональні дані лише на законних підставах;
● використовувати лише за необхідності та мінімізувати
використання;
● захищати у процесі отримання, використання, передачі, зберігання.
«Однак формального підходу “обкластися документами” недостатньо. Потрібно не тільки прописати процедури, їх потрібно РЕАЛЬНО виконувати», – зазначає Олександр Саєнко.
«Контролери» дотримання цих правил у кожній країні свої, однак всі вони діють за схожим порядком та мають спільну назву – DPA (англ. «Data Protection Authority»).
«Там працюють фанатики своєї справи, які підготовлені юридично та технічно», – додає спікер.
Як GDPR стосується саме вас?
GDPR торкнеться вашої професійної діяльності, якщо вона будь яким чином пов’язана з Європейським Союзом:
- у вас є компанія / R&D офіс / фактична діяльність у Євросоюзі;
- у вас є співробітники / підрядники, які фізично знаходяться в ЄС, незалежно від їхнього громадянства та статусу.
Якщо ви можете погодитися з одним із цих критеріїв, вам необхідно знати та дотримуватися GDPR, щоб не отримати великий стяг за порушення правил.
«Деякі вірять відвертим міфам щодо GDPR. Наприклад, що відсутність юридичної особи в ЄС або її «недієздатність» звільняє компанію від слідування регламенту. Або ж відомий міф про те, що GDPR діє лише на крупні компанії та не стосується маленьких. Дехто взагалі вважає, що GDPR – це змова юристів», – перелічує хибні твердження про GDPR Олександр Саєнко.
GDPR дійсно працює: огляд кейсів
Ще одним міфом, який чутно в колах власників бізнесів, є те, що GDPR є лише на папері, в дійсності його просто не існує.
Однак Олександр довів аудиторії, що випадків стягнення штрафів навіть з компаній-гігантів безліч.
Наприклад, усесвітньо відому компанію WhatsApp оштрафували на EUR 225,000,000 за непрозору, незрозумілу користувачам Privacy Policy. Компанія приховувала від користувачів інформацію щодо обробки даних.
А Amazon взагалі штрафували двічі: вперше на EUR 35,000,000 за порушення у сфері cookies, вдруге – вже на EUR 746,000,000 у зв’язку з тією ж проблемою.
Серед прикладів зустрічалися не лише великі компанії. Стягненням підлягалися й приватні особи, малі компанії та навіть податкові служби.
Рекомендації від спікера
Після ознайомлення з принципами GDPR в аудиторії виникли запитання, на які спікер давав розгорнуті відповіді. Окрім того, Олександр Саєнко поділився списком того, що необхідно зробити, щоб не отримати штраф за недотримання правил захисту даних, зокрема:
- провести в компанії аудит поводження з персональними даними,
- ввести у компанії процедури виконання правила GDPR,
- зробити документи, що підтверджуватимуть виконання процедур.
Kharkiv IT Cluster щиро вдячний Олександру Саєнку та Оксані Кобзар за детальний екскурс в актуальне питання GDPR.
Ви мембер Харківського ІТ Кластера? Чекаємо на наших регулярних заходах від Legal CommunITy!
Підпишись на наш телеграм канал, щоб бути у курсі подій
Також читай новини на наших сторінках в соціальних мережах: