Портал працює у тестовому режимі. Приймаємо зауваження або пропозиції
Global Version
Зареєструватись Увійти
Global Version Зареєструватись Увійти

Де шукати закордонного партнера? Коли найближча агровиставка?
Яке ввізне мито в Німеччині?
Знайдіть відповідь на своє питання тут:

Або скористайтеся пошуком за тегами:

економіка країна імпортери готовність до експорту
Global Version Зареєструватись Увійти

Як захист приватності користувачів допомагає продавати сервіси на іноземні ринки?

Що ми розуміємо під приватністю?

Приватність часто розуміють як право кожної людини зберігати певну інформацію про себе у таємниці від держави та інших людей чи юридичних осіб. Право на приватність і його елементи (наприклад, повагу до особистого життя) чи суміжні права (права на захист персональних даних) внесено до законів різних держав і міжнародних угод. Наприклад, Конвенція про захист прав людини і основоположних свобод розуміє приватність як захист приватного і сімейного життя, житла і кореспонденції (дзвінків, листів, електронної пошти тощо) людини від втручання з боку держави. Закон України «Про захист персональних даних» надає право кожній особі за певних умов вимагати видалення даних про неї.

Втручання у приватність часто починається зі збору інформації про конкретну людину. Так само будь-який онлайн-бізнес покладається на обробку персональних даних. Будь-який офлайн-бізнес, що має програму лояльності, послуги з передзамовлення, доставки, персональних дисконтів, роботу з інтернет-програмами (букінг, платформи оренди тощо) теж оброблює персональні дані (хоча не завжди знає про це).

Що входить до персональних даних?

Персональні дані - це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (Закон України «Про захист персональних даних»).

На практиці такими даними є імена (прізвища, по батькові), телефонні номери, адреси електронної пошти, адреси проживання (доставки), серія і номер паспорта (номер ID-картки), номер картки платника податків, дані про браузер і техніку клієнта, рекламний ідентифікатор і всі інші дані, що окремо або у сукупності допомагають зрозуміти і персоналізувати сервіс (пропозицію купити товар, показати конкретну рекламу, обрати один зі збережених адрес доставки, створити особистий акаунт тощо).

Чим є порушення приватності у веденні бізнесу?

Здебільшого порушення приватності втілюється у порушенні якогось закону чи підзаконного акту (обов’язкових актів Кабінету Міністрів, міністерств, служб, інших державних органів та органів місцевого самоврядування), що пов’язані зі збором інформації, її обробкою, розповсюдженням, використанням для якихось цілей, зберіганням чи іншими діями з персональними даними.

Наприклад, порушеннями приватності можуть бути:

  • збір персональних даних без згоди суб’єкта персональних даних (людини, чиї персональні дані збирають), якщо така згода обов’язкова (наприклад, у разі надання медичних послуг);
  • розкриття даних про підозрюваного чи підсудного ЗМІ або іншим особам, що не беруть участі у кримінальному провадженні (оскільки учасники провадження зобов’язані не розголошувати відомості досудового розслідування);
  • розміщення фотографій людини на сайті чи в промо-матеріалах, якщо ця людина не погоджувалась на публікацію її фото (зокрема у комерційних цілях) і якщо до того ж немає інших законних підстав такі фото виставляти;
  • викрадення даних у провайдерів інформаційних послуг;
  • завідомо умисна реклама алкоголю чи тютюнових засобів неповнолітнім;
  • ігнорування законних вимог суб’єкта персональних даних на видалення або зміну його персональних даних;
  • купівля баз даних з персональними даними на сірому та чорному ринках;
  • продаж баз даних роботодавця без дозволу роботодавця (та людей, чиї дані передаються третім особам) тощо.

У багатьох випадках інтернет-бізнес може зібрати настільки велику базу персональних даних, що зможе передбачати потреби і готовність купувати окремого клієнта і використовувати ці знання йому на шкоду (наприклад, скористатися вразливим станом лудомана для продажу ризикових фінансових продуктів або низькою самооцінкою підлітків для поширення препаратів для схуднення).

Ось лише декілька актів, що захищають приватність в Україні та за кордоном:

  • міжнародні договори (вже згадана Конвенція про захист прав людини і основоположних свобод, Хартія основних прав Європейського Союзу, Конвенція про права дитини, Конвенція 108 Ради Європи тощо);
  • акти міжнародних організацій (наприклад, GDPR або General Data Protection Regulation, що поширюється на всі країни ЄС і ЄЕЗ та має вплив і на треті країни);
  • спеціальні закони (в Україні це Закон України «Про захист персональних даних», «Про захист від недобросовісної конкуренції», «Про інформацію»);
  • кримінальні кодекси (наприклад, у КК України це ст. 182 «Порушення недоторканності приватного життя»);
  • цивільні делікти (розміщення фотографій без згоди зображеної на них людини, поширення недостовірної інформації тощо);
  • підзаконні акти (порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку особливих категорій персональних даних) та інші.

У кожній країні цей список індивідуальний.

Як захист персональних даних впливає на експорт?

Більшість країн мають інструменти, щоб впливати на іноземні компанії, які працюють на її ринку з порушеннями місцевого законодавства. Часто ці інструменти створюють у результаті співпраці з країною, звідки походить експортер, наприклад, через двосторонні міжнародні угоди про правову допомогу, співпрацю окремих органів (правоохоронних, юстиції, міжнародних відносин, захисту персональних даних) чи у порядку взаємності.

Інколи цей інструмент покарання спрямований не на експортера, а на місцеві компанії, що користуються послугами експортера. Наприклад, через додаткові перевірки, зобов’язання (також через суд) змінити підрядника, штраф за порушення місцевого закону.

Для економії часу та витрат на виплату штрафів і компенсацій постраждалим від порушення приватності, іноземні компанії часто шукають і надають перевагу тим організаціям, які беруть на себе зобов’язання дотримуватись іноземного закону та можуть надати докази такої відповідності (юридичною мовою процес узгодження діяльності компанії відповідно до вимог закону чи іншого акту називається комплаєнсом). Це поширена вимога компаній, що працюють на ринку ЄС чи США (особливо у Каліфорнії), надають послуги чутливого характеру (наприклад, медичні) або планують розширення на іноземні ринки.

Тому компанії та підприємці, які багато працюють на іноземних ринках, часто роблять наступні кроки:

  1. Адаптують свої процеси під вимоги законів країни цільових ринків (переважно це GDPR у ЄС, CCPA у США, PIPEDA у Канаді, LGPD у Бразилії, PIPL у Китаї тощо);
  2. Створюють спеціальні маркетингові матеріали (демонстрації роботи сервісу у спосіб, що показує дотримання закону, рекламні презентації з описом комплаєнсу);
  3. Опрацьовує спеціальні угоди для іноземного замовника (угоди про обробку даних, пункти у контрактах на надання послуг чи поставок товарів, додатки про специфікації виготовлення товару, що має вбудовані функції з захисту приватності тощо);
  4. Проходять сертифікації чи інші програми демонстрування комплаєнсу (щодо безпеки даних у рамках стандартів ISO або NIST, виконання стандартів і вимог великих технологічних корпорацій);
  5. Навчають своїх працівників знаходити і виправляти помилки, порушення приватності;
  6. Наймають менеджерів з питань захисту персональних даних (Data Protection Officer) у штат чи шукають підрядника, що надає послуги DPO;
  7. Регулярно моніторять судові справи і резонансні розслідування наглядових органів, щоб запобігти порушенню у своїй практиці.

Готовність іноземної компанії добровільно дотримуватись вимог місцевого закону привертає увагу потенційних клієнтів: ставки та тарифи таких компаній нижчі, якість послуг - вища, і до того ж ризики залучення таких компаній до свого бізнесу суттєво знижуються.

Як почати процес комплаєнсу з іноземним законом про захист даних?

Дотримуйтесь наступного переліку (чекліст):

  1. Проаналізуйте всі канали, якими до вашої компанії надходять дані, і зрозумійте, чи дійсно ці дані є персональними. Можете провести власний аудит (наприклад, можете здійснити кроки, схожі на аудит комплаєнсу з вимогами GDPR).
  2. З’ясуйте, які закони поширюються на ці персональні дані (відшукайте всі місцеві закони та акти інших держав, що мають екстратериторіальне, тобто таке, що поширюється на всі країни, застосування).
  3. Уважно вивчіть ці акти і ті, що їх підтримують, щоб встановити обов’язки, що покладені на вашу компанію.
  4. Оцініть ризики обробки даних. Чи варті всі дані, що є у компанії, санкцій за порушення правил їх обробки?
  5. Продумайте план виконання цих обов’язків. Встановіть дедлайни і виділіть ресурси на його втілення.
  6. Моніторте зміни законодавства у процесі втілення проекту і після його завершення. За потреби проконсультуйтесь з фахівцями (юристами, спеціалістами з інформаційної безпеки) щодо всього плану чи його окремих частин.
  7. Регулярно переглядайте створені документи і всі процеси, пов’язані з обробкою персональних даних. Створюйте нові продукти чи функції з урахуванням вже досягнутого комплаєнсу.
  8. Швидко реагуйте на запити наглядових органів і суб’єктів персональних даних.

Іноземний закон може бути дуже складним і детальним. Тому вірно розраховуйте власні ресурси і потребу у ринкові, де діє суворий або деталізований закон.

Однак головне - будьте чесними з іноземним клієнтом щодо стану комплаєнсу і ваших процесів обробки даних. Це допоможе вчасно виявити і мінімізувати ризики, зміцнити партнерські стосунки між компаніями і сприятиме зміцненню довіри у веденні бізнесу.

Катерина Дубас, керівник практики конфіденційності (Head of privacy practice) в Legal IT Group, CIPP/E

Продовжуючи відвідування веб-сайту, Ви надаєте згоду на використання cookies та погоджуєтесь з Політикою конфіденційності