Штрафы – это не самое страшное, если вы работаете на рынке ЕС без соблюдения правил защиты персональных данных
Практически любой бизнес, который работает на рынке ЕС, должен соответствовать требованиям местного законодательства. Только не цепляйтесь за слово «практически» — это оговорка для тех, кто не обрабатывает персональные данные, то есть не работает с людьми. Так что, вы попадаете под действие Регламента в сфере защиты персональных данных (GDPR).
Возможно, вы хоть раз в новостях встречали, как оштрафовали очередную компанию. Суммы точно вас удивляли своими размерами, ведь основная единица измерения не тысячи, а миллионы.
Финансовые взыскания это не самое страшное. Бизнес, который работает в сегменте B2B, может потерять клиентов и партнёров, а также рискует попасть в список не рекомендованных к сотрудничеству контрагентов.
Тем более, если вы основатель компании, то наверняка знаете, что такое риск и почему его так важно исключать при возможности. Теперь к сути.
Согласно GDPR компания может играть следующие роли во взаимоотношениях с контрагентами: контролёр (решает, какие системы будут подключаться) и процессор (системы, которые подключаются). Любая компания является и процессором, и контролёром – зависит от ситуации.
Допустим, вам нужен сервис для подготовки e-mail рассылок и вы составляете технические требования. Если вы заботитесь о приватности клиентов (а без этого никак на рынке ЕС), то обязательно внесёте соответствие GDPR в критерии подбора, наравне с возможностью создавать автоматизированные цепочки писем, сегментировать базу и верстать красивые дизайны. В этом случае ваша компания – контролёр.
Когда вы работаете в сегменте B2B и предоставляете сервис компаниям, то ваша роль с клиентами – процессор. Получается, что вас подбирают согласно характеристикам. Будьте уверены, что бизнесы в ЕС включат соответствие GDPR как обязательное условие оформления сделки с контрагентом. Исключением может стать только ситуация, если вы монополист в своей сфере, и никто больше не предоставляет такой сервис.
А почему контролёру так важно, чтобы компания-подрядчик соответствовала GDPR? По Регламенту наказание за утечку персональных данных, которая может произойти у процессора, распространяется и на контролёра, и процессора. Репутационные проблемы даже в большей степени коснутся контролёра, ведь ваши клиенты доверили данные именно вам, а вы их не смогли уберечь.
Поэтому зачем принимать риски, когда их можно легко предусмотреть, работая только с порядочными компаниями? Это риторический вопрос.
