Дата: 11/07/20

GDPR. Сфера применения. Кто должен соответствовать?

Как работать с персональными данными клиентов из ЕС?

Как избежать штрафа в размере до 20 млн. евро или до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше? 

Для того, чтобы ответить на эти вопросы, мы определим территориальную и предметную сферу применения GDPR, после чего разберем основные понятия Общего регламента по защите данных ЕС.  

Территориальная сфера применения GDPR  

Согласно статье 3 GDPR применяется:

  • к обработке персональных данных, полученных при деятельности контролера или процессора зарегистрированных в ЕС, независимо от того, происходит ли обработка в ЕС или нет.
  • к обработке персональных данных тех субъектов (физ. лиц), которые находятся в ЕС, контроллером или процессором, не зарегистрированным в ЕС, в случае если обработка данных связана с:
  • продажи или оферты к продаже товаров или услуг субъектам, которые находятся в ЕС, вне зависимости от того требуется ли оплата данных товаров или услуг от субъекта; или
  • мониторинг поведения субъектов, в случае если это поведение происходит внутри ЕС.
  • к обработке персональных данных контролером, не учрежденным в ЕС, но в месте, где законодательство государств-членов применяется на основании публичного международного права.

Предметная сфера применения GDPR  

Согласно статье 2 GDPR применяется:

  • к обработке персональных данных, которая происходит частично или полностью с использованием автоматизированных средств и к обработке неавтоматизированными средствами, если персональные данные составляют или будут составлять часть системы регистрации документов.
  • не применяется к обработке персональных данных:
  • в процессе деятельности, которая не входит в сферу, регулируемую правом ЕС;
  • осуществляемой государством-членом ЕС и попадающей под действие Главы 2 Раздела V ДЕС;
  • выполняемой физическим лицом исключительно в процессе личной деятельности или ведения домашнего хозяйства;
  • осуществляемой компетентными органами в целях предупреждения, расследования, выявления преступных деяний или привлечения к ответственности, или приведения в исполнение уголовных наказаний, в том числе для защиты от угроз общественной безопасности и их предотвращения.

Обработка персональных данных. Что это такое?

Данное словосочетание составлено из двух основных частей, определение которых, закреплено в ст, 4 GDPR. Согласно данной статьи они означают следующее.

«Персональные данные» – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных/субъект»); 

При этом идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, благодаря таким «идентификаторам» как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или благодаря одной или нескольким характеристикам свойственным указанному лицу, в частности, физическим, физиологическим, генетическим, духовным, экономическим, культурным или благодаря характеристикам социальной идентичности;

«Обработка» – это любая операция или набор операций, которые выполняются над персональными данными или над наборами персональных данных, автоматическими или неавтоматическими средствами, в частности, это определение включает в себя: сбор, запись, организацию, структурирование, хранение, адаптацию или изменение, просмотр, использование, раскрытие (путем передачи, распространения или иначе, делая их доступными), классификацию или комбинирование, ограничение, удаление или уничтожение;

Если описанное выше применимо к Вам, тогда Вашим следующим шагом должно стать приведение в соответствие внутренних политик компании, а также механизмов взаимодействия с персональными данными. 

В случае же, если у Вас возникли дополнительные вопросы, обращайтесь в чат за консультацией наших юристов. Юристы Legarithm имеют значительный опыт внедрения политик соответствия GDPR в деятельность компании.

click fraud detection