Чи є життя на Марсі? Які секрети зберігає чорна діра? Які вимоги лежать в основі GDPR? Останнє запитання, можливо, не настільки захоплююче, як перші два, але воно зачіпає кожного з нас у цифровій епосі. GDPR — не просто набір букв або законодавчий акт. Це маяк у світі приватності даних, магічне слово, яке може як відкрити, так і закрити багато дверей. Наші клієнти часто ставлять питання про GDPR, намагаючись розібратися в його тонкощах. Саме тому ми зібрали 5 найпоширеніших запитань і дали на них конкретні відповіді.
1. Як GDPR впливає на малі компанії?
Розмір компанії не впливає на дотримання вимог GDPR, адже малі компанії все одно мають отримувати згоду на збір та обробку персональних даних від Користувачів. Але для багатьох малих компаній виконання цих вимог може бути складнішим через обмежені ресурси. Проте неприпустимо ігнорувати або обходити ці закони, оскільки штрафи за порушення можуть бути суттєвими.
До того ж, дотримання GDPR сприяє довірі з боку клієнтів і ділових партнерів, що зі свого боку впливає на зростання і розвиток бізнесу. Відповідність GDPR — не просто законодавча необхідність, а й інвестиція в довгостроковий успіх компанії.
2. Чи зачіпає GDPR компанії, розташовані в США?
GDPR впливає не тільки на компанії в Європейському Союзі. Цей закон також застосовується до інших країн. Якщо ваша компанія обробляє дані хоча б одного жителя ЄС, на вас поширюються ці правила.
Є два основні критерії, за якими застосовується GDPR: наявність "установи" в ЄС і "цільова спрямованість"
Якщо компанія за межами ЄС має філію або представництво там (у ЄС), вона має дотримуватися GDPR. Це стосується навіть маркетингових і рекламних дій
GDPR застосовується і до тих компаній, які орієнтовані на жителів ЄС. Це включає в себе онлайн-моніторинг, такий як використання cookies, рекламу та продаж товарів і послуг. Навіть якщо у вас немає представництва в ЄС, ви все одно потрапляєте під дію GDPR, якщо ваші послуги орієнтовані на жителів ЄС
3. В яких випадках необхідно розміщувати Політику конфіденційності на сайті?
Політика конфіденційності — базова вимога для будь-якого сайту, сервісу або компанії, що працює з персональними даними. Користувачі повинні розуміти, що відбувається з їхніми даними. Використання файлів cookie та інших аналітичних засобів відстеження — достатня підстава для створення політики конфіденційності.
Чому це важливо:
Законодавчі вимоги. У багатьох юрисдикціях, включно з Європейським Союзом і США, обов'язково потрібно розміщувати Політики конфіденційності. Недотримання цієї вимоги може призвести до штрафів і санкцій
Електронна комерція. Якщо ваш сайт здійснює продажі або збір інформації для майбутніх транзакцій, наявність Політики конфіденційності обов'язкова, щоб переконати клієнтів у безпеці їхніх фінансових даних
Соціальна відповідальність. Розміщення Політики конфіденційності та дотримання її — частина соціальної відповідальності компанії. Це заява про те, що ви цінуєте приватність не тільки як законодавчу вимогу, а й як фундаментальне право людини
4. Хто має забезпечувати дотримання вимог GDPR в організації? Чи потрібно наймати фахівця із захисту даних (DPO)?
Відповідальність за дотримання GDPR лежить на самій компанії. Закон включає принципи захисту даних і вимагає доказу їх виконання. Компаніям надається низка інструментів для цього, і деякі з них є обов'язковими.
Якщо ваш бізнес обробляє чутливі дані у великому масштабі або займається "профайлінгом" людей, може знадобитися призначення DPO (Директора із захисту даних). Ця роль важлива, оскільки DPO стежить за дотриманням законів щодо обробки персональних даних. Це не просто формальність, а ключ до прозорості у відносинах з тими, хто довіряє вам свої дані.
У деяких випадках, найм DPO може бути не тільки гарною практикою, а й законною вимогою.
5. Які штрафи передбачені за порушення GDPR? Чи справді влада штрафує за порушення GDPR?
Недотримання GDPR тягне за собою юридичні санкції — штрафи, а іноді й більш серйозні заходи. Регулюючі органи мають право проводити розслідування, накладати фінансові санкції і навіть обмежувати операції компанії.
Кейс
2020 року італійський регулятор оштрафував американську компанію Clearview AI на 20 мільйонів євро. Компанія збирала селфі в інтернеті без згоди людей для своєї бази осіб, яку продавала правоохоронним органам. Тим самим порушувала норми GDPR. Крім штрафу, влада зажадала видалити всі дані про італійців і заборонила подальшу обробку біометричних даних.
Система штрафів GDPR створена так, щоб компанії не могли ігнорувати вимоги щодо захисту даних. Штрафи можуть досягати 10 мільйонів євро або 2% від річного обороту за менш серйозні порушення, і 20 мільйонів євро або 4% від річного обороту за більш серйозні порушення. Влада активно штрафує за порушення GDPR. Підтвердження цьому можна знайти на сайті Enforcement Tracker, де наведено приклади та суми штрафів за порушення.
Comentarios