GDPR в Україні: які компанії повинні виконувати вимоги із захисту персональних даних

Анна Митропан, адвокатка ІТ/ТМТ-практики MK Legal Service

Коротко про GDPR і його важливість

GDPR — чотири літери, що сьогодні асоціюються з виходом на європейський ринок, особливо для компаній з IT-сфери. General Data Protection Regulation, або Загальний регламент про захист даних, діє в рамках законодавства Європейського Союзу. Він встановлює правила обробки персональних даних як громадян ЄС, так і резидентів ЄС, що знаходяться за межами Союзу. Це один із найсуворіших законодавчих актів у сфері захисту даних.

Основна мета GDPR — гарантувати громадянам право на конфіденційність їхніх даних, контроль за їх використанням та підвищення відповідальності компаній за порушення. У сучасну епоху цифровізації, коли персональні дані стали надзвичайно цінним ресурсом, значення цього регламенту важко переоцінити. Приклади штрафів, накладених на такі компанії, як Google, H&M та TikTok, свідчать про те, що недотримання вимог GDPR може призвести до серйозних фінансових втрат та зниження довіри споживачів.

На які країни поширюється дія GDPR?

GDPR має екстериторіальну дію. Це значить, що його вимоги стосуються не лише компаній, розташованих у країнах Європейського Союзу, а й будь-яких організацій, що обробляють персональні дані громадян ЄС.

Наприклад, якщо українська компанія надає послуги європейським споживачам або збирає їхні дані через свій сайт, вона зобов’язана дотримуватись норм GDPR. У таких випадках регламент захищає права громадян ЄС незалежно від місцезнаходження компанії.

Чи мають українські компанії з іноземним представництвом виконувати GDPR?

Так, якщо українська компанія має офіси, дочірні підприємства або інші представництва в ЄС, вона зобов’язана дотримуватися вимог GDPR. Це стосується всіх аспектів роботи з даними: збору, зберігання, передачі та видалення персональних даних клієнтів і співробітників у межах ЄС.

Крім того, якщо представництво в ЄС веде бізнес із громадянами ЄС, головний офіс в Україні також підпадає під дію регламенту, адже обробка даних проходить у рамках європейської юрисдикції.

У яких випадках українські компанії без іноземного представництва повинні виконувати GDPR?

Українські компанії, які не мають представництв у ЄС, можуть потрапити під дію GDPR у наступних випадках:

Надання товарів або послуг громадянам ЄС.
Наприклад, український інтернет-магазин, який здійснює доставку до країн ЄС та обробляє дані покупців (імена, адреси, платіжну інформацію), зобов’язаний дотримуватись вимог GDPR.
Моніторинг поведінки громадян ЄС.
Використання файлів cookie, аналітичних інструментів або інших технологій для відстеження активності європейських користувачів також вимагає відповідати нормам GDPR.
Обробка чутливих даних.
Це стосується, наприклад, персональних даних про здоров’я, фінанси, етнічне походження або політичні погляди громадян ЄС. У таких випадках компанія повинна провести оцінку ризиків обробки даних (DPIA) та забезпечити контроль за процесом через спеціально призначеного фахівця (Data Protection Officer або DPO).

Потенційні наслідки та штрафи за порушення GDPR

За недотримання вимог GDPR компанії можуть отримати чималі фінансові санкції — до 20 мільйонів євро або 4% від річного світового обороту (залежно від того, яка сума більша).

Штрафи розподіляються на дві категорії:

— Менш серйозні порушення (до 10 млн євро) — наприклад, неналежне зберігання даних.
— Значні порушення (до 20 млн євро) — наприклад, обробка даних без згоди користувача.

Приклади порушень:

— Зберігання даних на серверах за межами ЄС без належного захисту.
— Відсутність чітких політик конфіденційності.
— Використання cookie-файлів без явної згоди користувачів.
— Недостатній захист даних або витоки інформації.
— Неправильна передача даних між Україною та ЄС.

Окрім штрафів, компанія ризикує втратити доступ до європейського ринку, що може суттєво вплинути на її репутацію та фінансову стабільність.