ruua

Внедрение gdpr в контракты с европейскими клиентами: как и зачем?

Украинский IT-рынок стремится брать заказы из ЕС. Прайс выше, проекты интереснее и масштабнее. Но вместе с прайсом растут и требования, в том числе юридические. Договор с заказчиком из ЕС должен включать раздел об обработке персональных данных. IT-юристы Stalirov&Co рассказали зачем он и как его составить.

Внедрение gdpr в контракты с европейскими клиентами: как и зачем?

Зачем в договор с заказчиком из ЕС добавлять раздел про обработку персональных данных?

Когда IT-компания получает информацию о сотрудниках и клиентах европейского заказчика, начинают действовать правила регламента GDPR. Документ регулирует процессы сбора и обработки персональных данных. 

Минимальное действие для выполнения требований — пункты в договоре на оказание IT-услуг про обработку персональных данных.

Как внедрить GDPR в контракт?

Ниже найдете советы по составлению пунктов в договоре.

Определение персональных данных

Классический договор начинается с определений. Добавьте в этот разел трактовку персональный данных. Например, обозначьте, что это любая информация, которая касается конкретного лица или лица, которое может быть идентифицировано. - сослаться на GDPR

Двустороннее обязательство по защите личных данных

Ответственность за сохранность информации несет не только IT-компания, но и заказчик. Ведь он тоже получает доступ к данных о команде проекта. Сформулировать пункт в договоре можно так: стороны соглашаются обеспечивать безопасность информации об идентифицированных лицах.

Цель обработки

IT-компания имеет право обрабатывать личную информацию только в целях предоставления услуг по договору, а также в случаях, предусмотренных законодательством (включая борьбу с отмыванием денег, законами о финансах, валюте и взыскании долгов). 

Как спроектировать раздел про обработку данных в аутстаффинговом контракте?

Если в аутсорсинговой модели больше информации получает IT-компания, то в аутстаффинге — заказчик, который нанимает удаленную команду и менеджерит разработку IT-продукта самостоятельно. В этом случае IT-юристы советуют добавить перечень конфиденциальной информации о сотрудниках. Например:

  • имя, фамилия, отчество, дата рождения, паспортные данные;
  • идентификационный номер, данные выписки из единого государственного реестра юридических лиц и физических лиц-предпринимателей, в т.ч. по системе налогообложения;
  • информация о квалификации;
  • номер средств связи, электронных идентификационных данных (IP-адрес, телефон, e-mail).

Какие еще требования может выдвинуть заказчик?

Раздел о доступе к персональным данным — это минимальное требование для IT-бизнеса. Часто, заказчики из ЕС присылают GDPR-опросники, в которых вы найдете требование по GDPR Compliance: подписание Data Protection Agreement, разработка политики информационной безопасности, политики уровней доступа, порядка поведения с персональными данными и процедуры международной передачи данных. 

Такие документы требуют те заказчики, которые предоставляют разработчикам доступ к подробной информации о клиентах. Например, FinTech, MedTech и InsurTech проекты. IT-компания получает доступ к сенситив данным, за утечку и нарушение сохранности которых заказчику придется заплатить штраф.

Оставить отзыв
Ваша оценка: