Privacy compliance важливий для бізнесу тому, що

Персональні дані регулюються як GDPR, так і локальними законами та вимогами клієнтів.

Компанії часто працюють одночасно з партнерами з різних юрисдикцій.

Клієнти та інвестори перевіряють privacy-документи під час Legal / Privacy Due Diligence.

Некоректна обробка даних може вплинути на партнерства, продажі та репутацію

Використання Third-Party Tools потребує юридичної перевірки.

Передача даних між країнами може вимагати окремих правових механізмів.

Компанія має бути здатна пояснити та підтвердити, як саме вона працює з персональними даними.

Регуляторна чутливість через export control, dual-use та військове призначення

Процес побудови системи захисту персональних даних

1

Інтро-консультація

Проводимо первинну консультацію, аналізуємо бізнес модель, продукт, ринки, типи користувачів, категорії персональних даних, поточні privacy документи та основні юридичні ризики.

2

Data mapping

Визначаємо, які персональні дані збираються, звідки вони надходять, для яких цілей використовуються, кому передаються, де зберігаються, як довго обробляються та які сервіси залучені до обробки.

3

Визначення ролей у роботі з даними

Кваліфікуємо роль компанії у процесах обробки персональних даних: controller, processor, joint controller, sub-processor або інша релевантна роль залежно від конкретної моделі взаємодії з даними.

4

Аналіз правових підстав обробки

Перевіряємо, на яких legal bases здійснюється обробка персональних даних: consent, contract, legal obligation, legitimate interests або інших підставах, передбачених застосовним законодавством.

5

Підготовка privacy документів

Готуємо або оновлюємо privacy policy, cookie policy, consent wording, data processing agreement, internal privacy notices, retention policy, data subject request procedure, breach response procedure та інші документи залежно від продукту, юрисдикцій і категорій даних.

6

Перевірка договорів з постачальниками та процесорами

Аналізуємо договори постачальниками, які можуть мати доступ до персональних даних.

7

International data transfers

Перевіряємо передачі персональних даних між юрисдикціями та визначаємо, чи потрібні Standard Contractual Clauses, Transfer Impact Assessment, додаткові договірні гарантії або інші механізми для міжнародної передачі даних.

8

Cookie та consent compliance

Аналізуємо використання cookies, pixels, SDK, analytics tools, marketing tags та інших tracking technologies. Допомагаємо налаштувати cookie banner, consent wording, категорії cookies та логіку отримання згоди відповідно до релевантних вимог.

9

AI, аналітика та автоматизована обробка

Оцінюємо використання AI tools, автоматизованого прийняття рішень, profiling, recommendation systems, scoring, analytics та інших технологій, які можуть впливати на права користувачів або створювати підвищені privacy ризики.

10

Впровадження privacy compliance

Надаємо практичні рекомендації щодо consent management, data subject requests, breach response, retention periods, vendor management, access control, internal policies та подальшої підтримки compliance.

FAQ

Що таке захист персональних даних?

Чи це лише про GDPR?

Коли GDPR може застосовуватись до української компанії?

Чи достатньо просто мати privacy policy на сайті?

Що таке data mapping?

Які правові підстави обробки персональних даних?

Чи завжди потрібна згода користувача?

Що таке DPA?

Чи потрібен DPO?

Чи потрібен EU representative?

Чи потрібен DPIA?

Чи потрібно перевіряти AI tools з точки зору персональних даних?

З чого почати побудову системи захисту персональних даних?

Що таке захист персональних даних?

Захист персональних даних це система правових, організаційних і технічних заходів, які регулюють збір, використання, зберігання, передачу та видалення інформації, що стосується фізичної особи. Для бізнесу це означає необхідність розуміти, які дані обробляються, для яких цілей, на яких підставах, кому передаються та як захищаються.

Чи це лише про GDPR?

Ні. GDPR є одним із ключових регламентів у сфері захисту персональних даних, але privacy compliance не обмежується лише ним. Залежно від бізнес-моделі та юрисдикцій можуть застосовуватись українське законодавство, законодавство інших країн, договірні вимоги клієнтів, правила платформ, галузеві стандарти та міжнародні підходи до data protection.

Коли GDPR може застосовуватись до української компанії?

GDPR може застосовуватись до компанії за межами ЄС, якщо вона обробляє персональні дані осіб, які перебувають у ЄС, у зв’язку з пропонуванням їм товарів чи послуг або моніторингом їхньої поведінки в ЄС. Тому українські IT-компанії, SaaS-продукти, e-commerce бізнеси, маркетплейси та AI-сервіси можуть підпадати під GDPR залежно від фактичної моделі роботи.

Чи достатньо просто мати privacy policy на сайті?

Ні. Privacy policy є лише одним із документів. Повноцінна робота з персональними даними зазвичай включає аналіз процесів обробки, правових підстав, ролей сторін, договорів з процесорами, міжнародних передач, строків зберігання, технічних та організаційних заходів безпеки, а також процедур реагування на запити суб’єктів даних.

Що таке data mapping?

Data mapping це опис того, які персональні дані збирає компанія, звідки вони надходять, для яких цілей використовуються, кому передаються, де зберігаються, як довго обробляються та які сервіси залучені до обробки. Це базовий етап побудови privacy compliance.

Які правові підстави обробки персональних даних?

Правові підстави залежать від застосовного законодавства та конкретного процесу обробки. У GDPR, зокрема, передбачені такі legal bases: згода, виконання договору, юридичний обов’язок, захист життєво важливих інтересів, виконання завдання в публічному інтересі та legitimate interests. Конкретна підстава має визначатися окремо для кожної цілі обробки.

Чи завжди потрібна згода користувача?

Ні. Згода є лише однією з можливих правових підстав. Наприклад, для виконання договору, виконання юридичного обов’язку або захисту legitimate interests можуть застосовуватись інші підстави. Використання згоди має бути обґрунтованим, а не автоматичним рішенням для всіх процесів.

Що таке DPA?

Data Processing Agreement, договір або розділ договору, який регулює обробку персональних даних між сторонами, наприклад між controller та processor. Він визначає предмет, тривалість, характер, мету обробки, тип персональних даних, категорії суб’єктів даних, обов’язки сторін та вимоги до безпеки.

Чи потрібен DPO?

DPO потрібен не завжди. Необхідність призначення Data Protection Officer залежить від юрисдикції, типу компанії, характеру діяльності, масштабу обробки, категорій даних та рівня ризику. Наприклад, GDPR передбачає обов’язкове призначення DPO у визначених випадках, зокрема для публічних органів або для компаній, основна діяльність яких передбачає регулярний і систематичний моніторинг у великому масштабі чи обробку спеціальних категорій даних у великому масштабі.

Чи потрібен EU representative?

EU representative може бути потрібен компаніям, які не мають establishment у ЄС, але підпадають під територіальну дію GDPR. Необхідність призначення представника залежить від конкретної моделі обробки даних та наявності винятків.

Чи потрібен DPIA?

DPIA потрібен, якщо певний тип обробки, особливо з використанням нових технологій, з огляду на характер, обсяг, контекст і цілі обробки, ймовірно створює високий ризик для прав і свобод фізичних осіб. Це може бути релевантно для AI-продуктів, profiling, scoring, автоматизованого прийняття рішень, обробки спеціальних категорій даних або масштабного моніторингу.

Чи потрібно перевіряти AI tools з точки зору персональних даних?

Так. Якщо компанія використовує AI tools для обробки даних користувачів, клієнтів, працівників або інших фізичних осіб, потрібно оцінити, які дані передаються до таких інструментів, хто є постачальником, де обробляються дані, чи використовуються вони для тренування моделей, які є налаштування конфіденційності та які договірні умови застосовуються.

З чого почати побудову системи захисту персональних даних?

Почати варто з data mapping: визначити, які дані збираються, для яких цілей, на яких підставах, кому передаються, де зберігаються та як довго використовуються. Після цього можна готувати документи, перевіряти договори з постачальниками, налаштовувати cookie / consent механіку, внутрішні процедури та процеси реагування на запити суб’єктів даних.

Ми використовуємо файли cookies для вдосконалення роботи сайту та покращення Вашого користувацького досвіду.

Більше інформації ви можете знайти в нашій Політиці конфіденційності