
Legal CommunITy by Kharkiv IT Cluster: «Релокация сотрудников в ЕС: GDPR»
Вопрос защиты персональных данных остро регулируется в странах Европейского Союза с 2018 года. В это время вступил в силу Общий регламент о защите данных – GDPR. Знание и соблюдение этого сборника правил актуально и для нашего IТ-сообщества, ведь большинство компаний, являющихся участниками и партнерами Харьковского IТ Кластера, напрямую связаны с деятельностью в странах Европы. Особенно сейчас, когда из-за войны сотрудники компаний релоцируются за границу, вопрос GDPR является как никогда насущным.
Именно поэтому 2 июня Kharkiv IT Cluster вместе с Head of Legal Оксаной Кобзарь и компетентным юристом Александром Саенко организовали регулярную встречу для ІТ-сообщества – Legal CommunITy. Это уже третья встреча профессионального сообщества Харьковского ІТ Кластера во время войны. Участие в вебинарах могут принимать юристы, финансовые директора, главные бухгалтеры, руководители и владельцы ІТ-компаний-участниц Kharkiv IT Cluster. В этот раз более 30 профильных специалистов ІТ-компаний собрались, чтобы получить полезную информацию по данному вопросу – GDPR в фокусе релокации специалистов в Европу.
Александр подробно рассказал:
- что такое GDPR;
- как это касается украинского ІТ-сообщества;
- какие риски есть у каждой компании, сотрудники которой релоцировались в ЕС, на примере известных кейсов.
А также предоставил практические рекомендации по работе с Общим регламентом о защите данных.
Что такое GDPR?
GDPR – прикладные правила защиты персональных данных на этапе получения, обработки и передачи данных.
Главными функциями соблюдения этого регламента являются:
● использовать персональные данные только на законных основаниях;
● использовать только при необходимости и минимизировать
использование;
● защищать в процессе получения, использования, передачи, хранения.
«Однако формального подхода «обложиться документами» недостаточно. Нужно не только прописать процедуры, которые нужно РЕАЛЬНО выполнять», – отмечает Александр Саенко.
«Контролеры» соблюдения этих правил в каждой стране свои, однако все они действуют по схожему порядку и имеют общее название – DPA (англ. «Data Protection Authority»).
«Там работают фанатики своего дела, подготовленные юридически и технически», – добавляет спикер.
Как GDPR касается именно вас?
GDPR коснется вашей профессиональной деятельности, если она каким-либо образом связана с Европейским Союзом:
- у вас есть компания / R&D офис / фактическая деятельность в Евросоюзе;
- у вас есть сотрудники/подрядчики, физически находящиеся в ЕС, независимо от их гражданства и статуса.
Если вы можете согласиться с одним из этих критериев, вам необходимо знать и соблюдать GDPR, чтобы не получить большой флаг за нарушение правил.
«Некоторые верят откровенным мифам по поводу GDPR. Например, отсутствие юридического лица в ЕС или его «недееспособность» освобождает компанию от следования регламента. Или известен миф о том, что GDPR действует только на крупные компании и не касается маленьких. Некоторые вообще считают, что GDPR – это сговор юристов», – перечисляет ложные утверждения о GDPR Александр Саенко.
GDPR действительно работает: обзор кейсов
Еще одним мифом, слышимым в кругах владельцев бизнесов, является то, что GDPR есть только на бумаге, в действительности его просто не существует.
Однако Александр доказал аудитории, что случаев взыскания штрафов даже с компаний-гигантов множество.
Например, всемирно известную компанию WhatsApp оштрафовали на EUR 225,000,000 за непрозрачную, непонятную пользователям Privacy Policy. Компания скрывала от пользователей информацию об обработке данных.
А Amazon вообще штрафовали дважды: первый раз на EUR 35,000,000 за нарушение в сфере cookies, второй – уже на EUR 746,000,000 в связи с той же проблемой.
Среди примеров встречались не только крупные компании. Взысканиям подлежали и частные лица, малые компании и даже налоговые службы.
Рекомендации от спикера
После ознакомления с принципами GDPR у аудитории возникли вопросы, на которые спикер давал развернутые ответы. Кроме того, Александр Саенко поделился списком того, что необходимо сделать, чтобы не получить штраф за несоблюдение правил защиты данных, в частности:
- провести в компании аудит обращения с персональными данными,
- ввести в компании процедуры выполнения правила GDPR,
- сделать документы, подтверждающие выполнение процедур.
Kharkiv IT Cluster искренне благодарен Александру Саенко и Оксане Кобзарь за подробный экскурс в актуальный вопрос GDPR.
Вы мембер Харьковского IТ Кластера? Ждем наших регулярных мероприятий от Legal CommunITy!
Подпишись на наш телеграм канал, чтобы быть в курсе событий
Также читай новости на наших страничках в социальных сетях: