Экспорт/импорт и защита персональных данных
Должна ли компания-экспортер соответствовать требованиям GDPR

В то время, когда многие украинские компании продолжают надеяться, что требования нормативных актов по защите персональных данных (в том числе, GDPR) к ним не относятся, компании-экспортеры понимают, что любой шаг в сторону международного рынка (вне зависимости от отрасли и страны) влечет за собой новые требования:
● к бизнесу в целом (как минимум, учет налоговых корпоративных особенностей страны, в которой они работают),
● к онлайн-составляющей бизнеса (сегодня трудно представить себе компанию, которая не представлена в интернете, даже если это почти 100% оффлайн-бизнес),
● и, соответственно, к сбору, хранению и обработке персональных данных (соответствие этим требованиям сегодня лежит в основе любой онлайн деятельности – от разработки сайта до глобальных маркетинговых акций).

(!) В контексте экспорта/импорта защита персональных данных, практически, становится в один ряд с такими юридическими вопросами как налогообложение, защита инвестиций, нормативная база по импорту/экспорту, урегулирование отношений с партнерами, ВЭД, анализ рисков и другими.

Согласно GDPR, организации, которые не соблюдают требования по защите персональных данных, подвергаются штрафам в размере до 4 % от их глобального годового дохода или 20 миллионов евро, в зависимости от того, что выше.

Что такое GDPR?

GDPR (Общее положение о защите данных) — это закон Европейского Союза,
который обязывает организации защищать персональные данные пользователей и
защищать права на неприкосновенность частной жизни любого лица на территории
ЕС. Требования GDPR должны соблюдать все компании в мире, если они обрабатывают персональные данные европейских резидентов.

«Обработка» — это широкий термин, который охватывает практически все, что вы можете делать с данными: сбор, хранение, передача, анализ и т. д. «Персональные данные» — это любая информация, относящаяся к человеку, например имена, адреса электронной почты, IP-адреса, политическая принадлежность и так далее.

Даже если компания не связана с Европейским союзом напрямую, но обрабатывает персональные данные людей в ЕС (например, через отслеживание на своем веб-сайте), она должна соответствовать требованиям.

Когда GDPR применяется за пределами Европы?

Если более глубоко вникнуть в Регламент, становится понятно: при определенных условиях, GDPR распространяется на компании, которые, на первый взгляд, имеют мало общего с ЕС. Например, вы можете быть украинским продавцом товаров и ваш интернет-магазин доступен на английском языке. В таком случае, если вы в качестве теста решите запустить рекламную кампанию, в том числе для жителей ЕС, и будете таргетироваться на эту зону, вы должны будете соответствовать требованиям GDPR. И в таком случае, не будет иметь значение, делаете ли вы это в качестве теста для проверки своих бизнес-теорий или планомерно выходите на этот рынок, привести деятельность компании в соответствие GDPR нужно будет до начала таких активностей.

При анализе поведения компании в контексте обработки персональных данных, контролирующие органы опираются на два сценария:

Предложение товаров или услуг

Интернет делает товары и услуги в отдаленных местах доступными в любой точке мира. Вы можете быть украинской компанией, создающей рекламу, например, на французском языке или демонстрировать цены в евро на своем веб-сайте. Следовательно, можно предположить, что вы обслуживаете клиентов из ЕС (как минимум, обращаетесь к ним), а значит, должны соответствовать требованиям GDPR.

Мониторинг поведения

Предположим, вы управляете отелем в Киеве, ваш сайт доступен на английском и немецком языках, а в рекламных уведомлениях вы открыто пишете, что приглашаете жителей Германии посетить ваш отель. В таком случае, вы должны соответствовать требованиям GDPR и даже отслеживание ваших юзеров по файлам cookie или IP-адресам будет считаться обработкой персональных данных.

Для того, чтобы избежать рисков штрафов в соответствии с GDPR (а также другими
нормативными актами по защите персональных данных согласно юрисдикции страны, в которую/из которой вы экспортируете/импортируете товар), необходимо провести аудит своей онлайн-деятельности.

Такой аудит охватывает проверку и юридической, и технической составляющих обработки персональных данных в вашей компании и вашего онлайн-ресурса.
Причем, неважно, представляет ваш онлайн-ресурс простой лендинг или глобальную
торговую платформу, аудит необходим.

Даже для того, чтобы получить общее представление о том, с чем придется столкнуться при подготовке к соответствию требованиям о защите персональных данных, вам нужно достаточно глубоко разобраться во многих юридических и технических вопросах. Вместе с тем, нужно понимать: при выходе на международный рынок важность этих вопросов существенно возрастает.