Які дані є персональними згідно з GDPR: що потрібно знати українському бізнесу
Почнемо з простого факту: персональні дані — це не тільки ім’я та прізвище. Якщо ви працюєте з клієнтами, збираєте електронні адреси, приймаєте онлайн-оплати або використовуєте CRM-системи — ви оперуєте персональними даними. А отже, на вас поширюється стандарт GDPR — навіть якщо ваша компанія зареєстрована в Україні.
Багато хто вважає, що регламент GDPR в Україні не обов’язковий. Це хибне припущення. Якщо ваш бізнес працює з клієнтами з ЄС або обробляє дані європейців — зобов’язання виникають автоматично. І не дотримання правил може коштувати компанії чималих штрафів — у 2023 році сумарна сума стягнень по GDPR у світі перевищила 4 мільярди євро.
Один із ключових етапів відповідності — розуміння, що таке «персональні дані» за GDPR і які саме дані підпадають під захист.
Що таке персональні дані згідно з GDPR
Згідно з GDPR регламентом, персональні дані — це будь-яка інформація, яка прямо або опосередковано ідентифікує фізичну особу. Йдеться не тільки про очевидні речі на кшталт імені чи номера телефону. Це можуть бути навіть дані, які на перший погляд виглядають безневинно, але при комбінації з іншими — дозволяють визначити особу.
Персональні дані поділяються на дві основні категорії:
- Загальні персональні дані
- Чутливі персональні дані
Обидві категорії вимагають різного рівня захисту, але кожна з них регулюється однаково ретельно.
Приклади персональних даних, які регулює GDPR
Нижче — список основних типів даних, які вважаються персональними згідно стандарту GDPR. Якщо ваша компанія збирає чи обробляє будь-які з них — вам точно варто звернути увагу на відповідність.
- Ім’я, прізвище, по батькові
- Дата народження
- Електронна адреса (навіть загального типу, якщо вона належить фізичній особі)
- Мобільний або стаціонарний номер телефону
- IP-адреса користувача
- Геолокаційні дані
- Фотографії або відео, де можна ідентифікувати особу
- Ідентифікатори cookie (у випадках, коли вони дають змогу відстежити користувача)
- Фінансова інформація (номери карток, банківські реквізити)
- Соціальні мережі (нікнейми, пости, коментарі, якщо вони пов’язані з особою)
Чутливими даними вважаються:
- Расове або етнічне походження
- Політичні погляди
- Релігійні переконання
- Біометричні дані
- Дані про здоров’я
- Сексуальна орієнтація або статеве життя
- Членство у профспілках
Такі дані вимагають ще більш високого рівня захисту та заборонені до обробки без чітко визначеної правової підстави.
Чому українському бізнесу варто звернути увагу на GDPR
Ви можете подумати: «Але ми працюємо тільки в Україні». Проте згідно з регламентом GDPR, це не має значення, якщо:
- Ви маєте сайт, який доступний для користувачів з ЄС (і особливо, якщо він має європейські мови);
- Ви приймаєте замовлення або оплату від громадян ЄС;
- Ви збираєте аналітику, яка включає дані громадян або резидентів Євросоюзу;
- Ви співпрацюєте з партнерами в ЄС або є учасником європейських тендерів чи проєктів.
Тобто навіть якщо ви ФОП в Харкові, але надаєте IT-послуги клієнтам з Німеччини — GDPR стосується і вас.
Що робити, щоб відповідати стандарту GDPR
Щоб відповідати вимогам, варто оцінити, які саме дані збирає ваша компанія, як ви їх обробляєте та чи маєте на це законну підставу. Почати можна з таких кроків:
- Інвентаризація персональних даних: які саме дані ви збираєте, де вони зберігаються, хто має до них доступ.
- Оцінка ризиків: наскільки ваша система захищена від витоку даних.
- Створення політики конфіденційності: прозора та зрозуміла інформація для користувача про те, як його дані обробляються.
- Призначення відповідальної особи або DPO (Data Protection Officer) — особливо для середніх і великих компаній.
- Отримання згоди: важливо, щоб згода на обробку була добровільною, конкретною і такою, що легко відкликається.
- Підготовка до запитів на видалення або передачу даних (право на забуття, портативність).
Всі ці кроки дозволяють зменшити ризик штрафів та побудувати довіру до вашого бренду.
Що буде, якщо не дотримуватись GDPR
За порушення GDPR регламенту передбачені штрафи, які залежать від серйозності порушення. Наприклад:
- До 10 млн євро або 2% річного обороту — за порушення технічних вимог.
- До 20 млн євро або 4% річного обороту — за порушення основних принципів, таких як відсутність згоди на обробку чи витік даних.
Це не просто формальність — це серйозна частина репутаційної безпеки для будь-якої компанії.
Як "Систем Менеджмент" допомагає бізнесу відповідати GDPR
Компанія ТОВ Систем Менеджмент спеціалізується на консалтингу, аудиті та навчанні у сфері впровадження регламенту GDPR в Україні. Наші експерти допомагають:
- Провести аудит обробки персональних даних;
- Підготувати документацію, політики та процедури;
- Провести навчання для працівників;
- Супроводжувати процес імплементації GDPR в компанії.
Якщо ви не впевнені, чи потрібен вам GDPR або з чого почати — зверніться до нас для консультації. Ми допоможемо уникнути ризиків і налаштувати процеси обробки даних згідно з європейськими вимогами.
👉 Детальніше про наші послуги з GDPR
Пам’ятайте: захист персональних даних — це не витрати, а інвестиція в репутацію та безпеку вашої компанії.
