Нещодавно вийшло дослідження, в якому, зокрема, були вказані обсяги українського експорту IT-послуг за 2023 рік — 6,7-7,1 млрд доларів. Це майже половина загального експорту послуг в країні, що і не дивно, адже український IT-бізнес орієнтований на платоспроможного західного споживача.
Проте, працюючи на ринку ЄС, варто пам’ятати про особливості місцевого законодавства. Ульянс Каспарс (Uljans Kaspars), директор європейської юридичної компанії EU Legal Practice / ES Juridiska prakse радить приділити увагу досконалому вивченню регламенту General Data Protection Regulation (GDPR). Особливо, якщо IT-компанія залучена до сфери e-commerce и працює з персональними даними клієнтів.
Західний ринок — західні правила
Регламент GDPR регулює обробку, зберігання та використання персональних даних фізичних осіб в ЄС. Він відрізняється від законодавчих актів, з якими звик працювати український IT-бізнес. На практиці, за відгуками менеджерів деяких компаній, багато хто стикався з проблемами, намагаючись без змін вирисовувати старі стратегії на ринку ЄС.
Ульянс Каспарс з компанії EU Legal Practice помітив, що в окремих випадках обізнаність про GDPR поверхнева, а незнання тонкощів застосування регламенту становить потенційну небезпеку для бізнесу.
“Під час співпраці з представниками закордонного IT-бізнесу, які реалізують свої послуги в Європі, я зауважив, що вони намагаються лише формально виконувати правила, недооцінюючи наслідки порушення регламенту. В Євросоюзі дуже серйозно ставляться до питань персональних даних. Достатньо пригадати чисельні позови проти американських технологічних корпорацій, для одної з яких нехтування правилами нещодавно завершилось рекордним штрафом. Я маю на увазі Meta, яка змушена заплатити близько 1,3 млрд євро за порушення GDPR.” — Ульянс Каспарс
Директор компанії EU Legal Practice назвав декілька моментів, про які часто забувають IT-компанії, що планує працювати в Європі:
- Правила поширюються і на процесінг, і на контролінг. Якщо дії з даними виконуються в ЄС, штаб-квартира знаходиться в Україні, а хмарне сховище в США, то всі три підрозділи мають виконувати GDPR;
- Регламент GDPR – це не одне і те саме, що політика конфіденційності, недостатньо зробити попередження на сайті про обробку персональних даних чи використання cookies-файлів;
- ключовий принцип GDPR — екстериторіальність, якщо компанія обробляє персональні дані резидентів з ЄС, вона має дотримуватись регламенту, незалежно від місця знаходження;
- штрафи за недотримання GDPR застосовують не тільки до великих міжнародних компаній, регулятор не закриє очі на дрібні порушення.
Ульянс Каспарс з компанії EU Legal Practice також нагадав, що IT-бізнес, що працює поза межами Євросоюзу, але обробляє дані резидентів країн-членів, повинен мати представництво та DPO (Data protection officer) на території ЄС.
Перевірити відповідність діяльності компанії регламенту допоможуть юристи EU Legal Practice, відгуки клієнтів підкреслюють, що експерти добре розбираються як у тонкощах GDPR, так і у особливостях національного законодавства окремих країн ЄС. Помічати розбіжності у цих питання важливо, щоб запобігти ризикам при роботі з персональними і “чутливими” даними в сфері e-commerce.
