Как работать с персональными данными клиентов из ЕС? Как избежать штрафа в размере до 20 млн. евро или до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше?
Для того, чтобы ответить на эти вопросы, мы определим территориальную и предметную сферу применения GDPR, после чего разберем основные понятия Общего регламента по защите данных ЕС.
Территориальная сфера применения GDPR
Согласно статье 3 GDPR применяется:
- К обработке персональных данных, полученных при деятельности контролера или процессора зарегистрированных в ЕС, независимо от того, происходит ли обработка в ЕС или нет.
- К обработке персональных данных тех субъектов (физ. лиц), которые находятся в ЕС, контроллером или процессором, не зарегистрированным в ЕС, в случае если обработка данных связана с: продажи или оферты к продаже товаров или услуг субъектам, которые находятся в ЕС, вне зависимости от того требуется ли оплата данных товаров или услуг от субъекта; или мониторинг поведения субъектов, в случае если это поведение происходит внутри ЕС.
- К обработке персональных данных контролером, не учрежденным в ЕС, но в месте, где законодательство государств-членов применяется на основании публичного международного права.
Предметная сфера применения GDPR
Согласно статье 2 GDPR не применяется:
- к обработке персональных данных, которая происходит частично или полностью с использованием автоматизированных средств и к обработке неавтоматизированными средствами, если персональные данные составляют или будут составлять часть системы регистрации документов.
- к обработке персональных данных: в процессе деятельности, которая не входит в сферу, регулируемую правом ЕС; осуществляемой государством-членом ЕС и попадающей под действие Главы 2 Раздела V ДЕС;
- к обработке выполняемой физическим лицом исключительно в процессе личной деятельности или ведения домашнего хозяйства; осуществляемой компетентными органами в целях предупреждения, расследования, выявления преступных деяний или привлечения к ответственности, или приведения в исполнение уголовных наказаний, в том числе для защиты от угроз общественной безопасности и их предотвращения.
Обработка персональных данных. Что это такое?
Данное словосочетание составлено из двух основных частей, определение которых, закреплено в ст, 4 GDPR.
Согласно данной статьи они означают следующее.
- «Персональные данные» – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных/субъект»); При этом идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно, в частности, благодаря таким «идентификаторам» как имя, фамилия, идентификационный номер, данные о местоположении, онлайн-идентификатор или благодаря одной или нескольким характеристикам свойственным указанному лицу, в частности, физическим, физиологическим, генетическим, духовным, экономическим, культурным или благодаря характеристикам социальной идентичности;
- «Обработка» – это любая операция или набор операций, которые выполняются над персональными данными или над наборами персональных данных, автоматическими или неавтоматическими средствами, в частности, это определение включает в себя: сбор, запись, организацию, структурирование, хранение, адаптацию или изменение, просмотр, использование, раскрытие (путем передачи, распространения или иначе, делая их доступными), классификацию или комбинирование, ограничение, удаление или уничтожение;
Если описанное выше применимо к Вам, тогда Вашим следующим шагом должно стать приведение в соответствие внутренних политик компании, а также механизмов взаимодействия с персональными данными.
В случае же, если у Вас возникли дополнительные вопросы, обращайтесь в чат за консультацией наших юристов. Юристы Legarithm имеют значительный опыт внедрения политик соответствия GDPR в деятельность компании.