Якщо ваша компанія зареєстрована на території Європейського Союзу, GDPR застосовується до діяльності вашої компанії автоматично ( частина 1 статті 3 GDPR). Якщо ваша компанія зареєстрована в країні, яка не входить до складу ЄС, GDPR буде застосовуватися до неї, якщо діяльність компанії пов’язана з:
Персональні дані – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати, при цьому, фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;
Чутливими персональними даними слід вважати дані, які стосуються етнічного чи расового походження, політичних поглядів, релігійних чи філософських переконань, участі в профспілках, генетичної інформації про особу, біометричної інформації про особу, будь-яких даних стосовно здоров’я особи, сексуального життя або ж сексуальної орієнтації. В деяких випадках, фото особи також може вважатися біометричною інформацією, в залежності від встановлених цілей обробки.
Керуючись положеннями GDPR та роз’ясненнями компетентних контролюючих органів ЄС по питання охорони персональних даних, файли cookie слід вважати персональними даними, так як вони відносяться до онлайн ідентифікаторів, які можуть бути використані для ідентифікації особи.
Суб’єктами даних є не тільки громадяни ЄС. У відповідності до положень GDPR, суб’єктами персональних даних є ідентифіковані особи або особи, які можуть бути ідентифіковані, що знаходяться на території Європейського союзу, незалежно від їхнього походження, громадянства та місця проживання.
Компанія буде вважати контролером даних, коли така компанія самостійно або спільно з іншими компаніями визначає способи та цілі обробки персональних даних.
Компанія буде вважати обробником даних, коли така компанія здійснює обробку персональних даних від імені контролера даних і не встановлює власних цілей обробки таких персональних даних.
Якщо компанія здійснює свою діяльність через веб-сайт, у відповідності до положень GDPR, контролер повинен повідомляти суб’єктів даних про обробку їхніх персональних даних. Зокрема, контролер повинен надати інформацію, визначену в ст. 13 та ст. 14 GDPR.
Не зовсім так. У відповідності до GDPR, окрім ситуацій, коли отримується згода, персональні дані можуть збиратися та оброблюватися у наступних випадках, коли:
У відповідності до вимог GDPR, наявність такого документу як Privacy Policy, є одним із інструментів реалізації принципу «відповідності» контролером, коли необхідно доводити, що компанія діє у відповідності до вимог GDPR.
Так як файли cookie є персональними даними, вашій компанії необхідно повідомити суб’єктів даних про те, як використовуються файли cookie про них та як вони можуть управляти ними. Таку інформацію можливо надати як в окремому документі, що зветься Cookie Policy, так і в рамках окремого розділу Privacy Policy, в залежності від зручності використання.
DPO (Data Protection Officer) повинен призначатися компанією у випадках, коли:
Загалом же, призначення DPO (Data Protection Officer) є питанням добровільним, якщо ви самі вбачаєте в цьому необхідність.
Якщо ваша компанія зареєстрована в країні, яка не входить до складу ЄС, а її діяльність пов’язана з пропонуванням товарів або послуг особам, що знаходяться на території ЄС, не залежно від того, чи стягується плата за такі послуги або товари або моніторингом поведінки осіб, які знаходяться на території ЄС, в силу того, що реалізація такої поведінки відбувається на території Європейського Союзу, то в такому випадку вам необхідно призначити представника на території ЄС.