Гайд GDPR для компаній
Повний гайд з GDPR compliance для бізнесу. Коли він застосовується, що потрібно та як впровадити відповідність.
€20M
Макс. штраф (або 4% доходу)
72 год
Повідомлення про breach
8
Прав суб'єктів даних
6
Lawful Bases
Коли GDPR застосовується до компаній?
GDPR має екстериторіальну дію — він застосовується на основі того, чиї дані ви обробляєте, а не де ви розташовані
EU Establishment
GDPR застосовуєтьсяYou have an office, subsidiary, or employees in the EU
Приклад: US company with a London sales office
Offering Goods/Services to EU
GDPR застосовуєтьсяYou target EU residents with products or services (paid or free)
Приклад: E-commerce site shipping to EU, SaaS with EU pricing in Euros
Monitoring EU Behavior
GDPR застосовуєтьсяYou track or profile EU residents' online behavior
Приклад: Analytics tracking EU website visitors, behavioral advertising
Processing EU Data for EU Controller
GDPR застосовуєтьсяYou process personal data on behalf of an EU-based company
Приклад: US cloud provider hosting data for EU customers
Incidental EU Visitors
Ймовірно звільненоEU residents happen to visit your US-only website
Приклад: Local US business with no EU targeting
Якщо сумніваєтесь — дотримуйтесь
Якщо у вас є клієнти, користувачі або відвідувачі сайту з ЄС, яких ви цілеспрямовано залучаєте, GDPR, ймовірно, застосовується. Вартість compliance значно менша за потенційні штрафи.
Права суб'єктів даних
GDPR надає резидентам ЄС конкретні права щодо їхніх персональних даних
Right to Access
Individuals can request a copy of their personal data
Впровадження: Create DSAR intake process and data inventory
Right to Rectification
Individuals can request correction of inaccurate data
Впровадження: Enable data updates in user accounts or via request
Right to Erasure
Individuals can request deletion of their data
Впровадження: Implement data deletion workflows across all systems
Right to Data Portability
Individuals can receive their data in machine-readable format
Впровадження: Enable data export in common formats (JSON, CSV)
Right to Object
Individuals can object to certain processing activities
Впровадження: Implement opt-out mechanisms for marketing and profiling
Right to Restrict Processing
Individuals can limit how their data is used
Впровадження: Ability to flag and restrict processing of specific records
Правові підстави для обробки
Кожна діяльність з обробки повинна мати задокументовану правову підставу
Consent
Individual has given clear, affirmative consent
Коли використовувати: Marketing emails, cookies, optional data collection
- Must be freely given, specific, informed, unambiguous
- Clear affirmative action (no pre-ticked boxes)
- Easy to withdraw at any time
- Keep records of consent
Contract
Processing necessary to fulfill a contract
Коли використовувати: Delivering purchased products, providing subscribed services
- Must be genuinely necessary for the contract
- Cannot use for unrelated purposes
- Document the contractual necessity
Legal Obligation
Processing required by law
Коли використовувати: Tax records, employment law requirements, regulatory compliance
- Must be a clear legal requirement
- Document the specific legal basis
- Only process what's legally required
Legitimate Interests
Processing necessary for legitimate business purposes
Коли використовувати: Fraud prevention, network security, internal analytics
- Conduct Legitimate Interests Assessment (LIA)
- Balance against individual rights
- Document the assessment
- Not available for public authorities
Дві інші правові підстави
Vital Interests (захист життя) та Public Task (офіційні повноваження) існують, але рідко застосовуються до комерційних компаній.
Механізми передачі даних ЄС-США
Передача персональних даних з ЄС до США вимагає дійсного механізму передачі
EU-US Data Privacy Framework
Self-certification program for US companies
Active (since July 2023)Переваги:
- Simplest for US companies
- Annual self-certification
- Well-established process
Недоліки:
- Subject to legal challenges
- Only for US transfers
- Requires ongoing compliance
Standard Contractual Clauses (SCCs)
EU-approved contract terms for data transfers
ActiveПереваги:
- Works for any country
- No certification required
- Widely accepted
Недоліки:
- Requires supplementary measures assessment
- Complex documentation
- Transfer Impact Assessment needed
Binding Corporate Rules (BCRs)
Internal rules for multinational company transfers
ActiveПереваги:
- Covers entire corporate group
- Once approved, simplifies transfers
Недоліки:
- Complex approval process (12-18 months)
- Expensive to implement
- Only for intra-group transfers
Рекомендований підхід
Для більшості компаній сертифікація EU-US Data Privacy Framework — найпростіший шлях. Також розгляньте впровадження SCCs як резервного варіанту на випадок, якщо DPF зіткнеться з юридичними викликами (як його попередники Safe Harbor та Privacy Shield).
Обов'язкова документація
GDPR вимагає ведення специфічної документації для демонстрації compliance
Privacy Policy
Обов'язковоPublic-facing notice about data processing
Records of Processing Activities (ROPA)
Обов'язковоInternal register of all processing activities
Data Processing Agreements (DPAs)
Обов'язковоContracts with processors (vendors)
Data Protection Impact Assessments (DPIAs)
СитуаційноRisk assessments for high-risk processing
Потрібно коли: High-risk processing (profiling, large-scale sensitive data, systematic monitoring)
Breach Response Plan
Обов'язковоProcedures for handling data breaches
Хронологія впровадження
Типові фази для досягнення GDPR compliance
Data Mapping
- Identify all EU personal data
- Document data flows and systems
- Inventory processors and transfers
- Assess current compliance state
Gap Analysis & Planning
- Compare current state to GDPR requirements
- Identify compliance gaps
- Prioritize remediation efforts
- Develop implementation roadmap
Documentation
- Draft/update privacy policy
- Create Records of Processing
- Develop DPAs for vendors
- Document lawful bases
Technical Implementation
- Implement consent management
- Build DSAR handling process
- Configure data retention/deletion
- Establish transfer mechanisms
Training & Operations
- Train staff on GDPR requirements
- Establish ongoing compliance processes
- Implement breach response procedures
- Schedule regular compliance reviews
Структура штрафів GDPR
Штрафи GDPR розраховуються як більше з фіксованих сум або відсотка від глобального доходу
Lower Tier
Up to €10 million or 2% of global annual turnover
Застосовується до: Record-keeping failures, lack of DPO, inadequate security measures, failure to notify breaches
Upper Tier
Up to €20 million or 4% of global annual turnover
Застосовується до: Violations of data processing principles, lawful basis, consent, data subject rights, international transfers
Відомі штрафи GDPR
Meta (Facebook): €1.2 млрд (2023) — незаконна передача даних до США
Amazon: €746 млн (2021) — порушення consent та прозорості
Google: €90 млн (2022) — порушення cookie consent
Типові помилки Compliance
Уникайте цих частих помилок компаній з GDPR
Treating GDPR as IT-Only
GDPR compliance requires legal, operational, and technical changes. Treating it as purely a technology problem leads to incomplete compliance.
Рішення: Form cross-functional team including legal, IT, marketing, HR, and operations.
Relying on Consent Alone
Over-relying on consent when other lawful bases are more appropriate. Consent must be freely given and easily withdrawn.
Рішення: Assess all lawful bases for each processing activity. Use contract or legitimate interests where appropriate.
Ignoring Vendor Compliance
Assuming your vendors are GDPR compliant without verification. You're responsible for your processors' compliance.
Рішення: Execute DPAs with all vendors, verify their compliance, and maintain processor inventory.
Inadequate Breach Response
Not having a tested breach response plan. GDPR requires notification within 72 hours of becoming aware.
Рішення: Document breach response procedures, assign responsibilities, and conduct tabletop exercises.
Cookie Consent Theater
Implementing cookie banners that don't actually block cookies until consent, or use dark patterns to manipulate consent.
Рішення: Implement proper consent management platform that blocks non-essential cookies until affirmative consent.
Incomplete Data Subject Rights
Having no process or inadequate process for handling data subject requests within the required timeframe.
Рішення: Build DSAR intake process, train staff, implement technical capabilities for access/deletion/portability.
Потрібна допомога з GDPR Compliance?
Наші експерти з приватності допомагають компаніям орієнтуватися у вимогах GDPR. Від gap assessments до впровадження — ми проведемо вас через весь процес.
Отримайте безкоштовну оцінку безпеки та інфраструктури
Зрозумійте поточний стан безпеки, виявіть критичні ризики та отримайте пріоритетний план покращень.
Що ви отримаєте
Без зобов'язань. Оцінка займає 48 годин. Звіт залишається у вас.
Попередній перегляд оцінки
Області, які ми оцінюємо у вашій безкоштовній оцінці
Стан безпеки
Рейтинг A-F
Інфраструктура
Перевірка стану
Контроль доступу
Аналіз прогалин
Вразливості
Оцінка ризиків
Приклад звіту
Подивіться, що ви отримаєте