GDPR. Сфера застосування. Хто має відповідати?

Як працювати з персональними даними клієнтів з ЄС? Як уникнути штрафу в розмірі до 20 млн. євро або до 4% від річного світового обороту компанії за попередній фінансовий рік, залежно від того, що більше?

Для того, щоб відповісти на ці запитання, ми визначимо територіальну та предметну сферу застосування GDPR, після чого розберемо основні поняття Загального регламенту щодо захисту даних ЄС.

Територіальна сфера застосування GDPR

Згідно зі статтею 3 GDPR застосовується:

• До обробки персональних даних, отриманих під час діяльності контролера або процесора, зареєстрованих у ЄС, незалежно від того, відбувається обробка в ЄС чи ні.
• До обробки персональних даних тих суб’єктів (фіз. осіб), які перебувають у ЄС, контролером або процесором, що не зареєстрований у ЄС, у разі якщо обробка даних пов’язана з: продажем або офертою до продажу товарів або послуг суб’єктам, що перебувають у ЄС, незалежно від того, чи вимагається оплата таких товарів або послуг від суб’єкта; або моніторингом поведінки суб’єктів, у разі якщо ця поведінка відбувається всередині ЄС.
• До обробки персональних даних контролером, не заснованим в ЄС, але в місці, де законодавство держав-членів застосовується на підставі публічного міжнародного права.

Предметна сфера застосування GDPR

Згідно зі статтею 2 GDPR застосовується:

• до обробки персональних даних, що відбувається частково або повністю з використанням автоматизованих засобів, та до обробки неавтоматизованими засобами, якщо персональні дані становлять або становитимуть частину системи реєстрації документів.

GDPR не застосовується до обробки персональних даних:

• у процесі діяльності, що не належить до сфери, регульованої правом ЄС;
• здійснюваної державою-членом ЄС та такої, що потрапляє під дію Глави 2 Розділу V ДЄС;
• виконуваної фізичною особою виключно в процесі особистої діяльності або ведення домашнього господарства;
• здійснюваної компетентними органами з метою попередження, розслідування, виявлення злочинних діянь або притягнення до відповідальності, або приведення до виконання кримінальних покарань, зокрема для захисту від загроз громадській безпеці та їх запобігання.

Обробка персональних даних. Що це таке?

Це словосполучення складено з двох основних частин, визначення яких закріплено в ст. 4 GDPR.

Згідно з цією статтею вони означають наступне:

• “Персональні дані” – це будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи (“суб’єкт даних/суб’єкт”); При цьому ідентифікована фізична особа – це особа, яку можна ідентифікувати прямо або опосередковано, зокрема, завдяки таким “ідентифікаторам”, як ім’я, прізвище, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор, або завдяки одній чи декільком характеристикам, притаманним зазначеній особі, зокрема: фізичним, фізіологічним, генетичним, духовним, економічним, культурним і культурно-гуманітарним, та іншим.
• “Обробка” – це будь-яка операція або набір операцій, що виконуються над персональними даними або над наборами персональних даних, автоматичними або неавтоматичними засобами, зокрема, це визначення містить у собі: збирання, записування, організацію, структурування, зберігання, адаптування або зміну, перегляд, використання, розкриття (шляхом передання, розповсюдження або іншим способом, роблячи їх доступними), класифікацію або комбінування, обмеження, видалення або знищення;

Якщо описане вище стосується Вас, тоді Вашим наступним кроком має стати приведення у відповідність внутрішніх політик компанії, а також механізмів взаємодії з персональними даними.

У разі ж, якщо у Вас виникли додаткові питання, звертайтеся в чат за консультацією наших юристів. Юристи Legarithm мають значний досвід впровадження політик відповідності GDPR у діяльність компанії.