Перейти до основного вмісту

Питання та відповіді

Чи застосовується GDPR до моєї компанії?

Якщо ваша компанія зареєстрована на території Європейського Союзу, GDPR застосовується до діяльності вашої компанії автоматично ( частина 1 статті 3 GDPR). Якщо ваша компанія зареєстрована в країні, яка не входить до складу ЄС, GDPR буде застосовуватися до неї, якщо діяльність компанії пов’язана з:

  • пропонуванням товарів або послуг особам, що знаходяться на території ЄС, не залежно від того, чи стягується плата за такі послуги або товари;
  • моніторингом поведінки осіб, які знаходяться на території ЄС, в силу того, що реалізація такої поведінки відбувається на території Європейського Союзу.

Що таке персональні дані?

Персональні дані – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати, при цьому, фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;

Що таке чутливі персональні дані?

Чутливими персональними даними слід вважати дані, які стосуються етнічного чи расового походження, політичних поглядів, релігійних чи філософських переконань, участі в профспілках, генетичної інформації про особу, біометричної інформації про особу, будь-яких даних стосовно здоров’я особи, сексуального життя або ж сексуальної орієнтації. В деяких випадках, фото особи також може вважатися біометричною інформацією, в залежності від встановлених цілей обробки.

Чи вважаються файли cookie персональними даними?

Керуючись положеннями GDPR та роз’ясненнями компетентних контролюючих органів ЄС по питання охорони персональних даних, файли cookie слід вважати персональними даними, так як вони відносяться до онлайн ідентифікаторів, які можуть бути використані для ідентифікації особи.

Суб’єкти даних – це лише громадяни ЄС?

Суб’єктами даних є не тільки громадяни ЄС. У відповідності до положень GDPR, суб’єктами персональних даних є ідентифіковані особи або особи, які можуть бути ідентифіковані, що знаходяться на території Європейського союзу, незалежно від їхнього походження, громадянства та місця проживання.

Коли моя компанія буде вважатися контролером даних?

Компанія буде вважати контролером даних, коли така компанія самостійно або спільно з іншими компаніями визначає способи та цілі обробки персональних даних.

Коли моя компанія буде вважатися обробником даних?

Компанія буде вважати обробником даних, коли така компанія здійснює обробку персональних даних від імені контролера даних і не встановлює власних цілей обробки таких персональних даних.

Чи потрібно на сайті повідомляти суб’єктів даних про обробку їхніх персональних даних?

Якщо компанія здійснює свою діяльність через веб-сайт, у відповідності до положень GDPR, контролер повинен повідомляти суб’єктів даних про обробку їхніх персональних даних. Зокрема, контролер повинен надати інформацію, визначену в ст. 13 та ст. 14 GDPR.

Обробка повинна здійснюватися тільки на підставі згоди суб’єкта даних?

Не зовсім так. У відповідності до GDPR, окрім ситуацій, коли отримується згода, персональні дані можуть збиратися та оброблюватися у наступних випадках, коли:

  • Обробка є необхідною для виконання контракту, стороною якого є суб’єкт даних,
або для вжиття дій на запит суб’єкта даних до укладення договору;
  • Обробка є необхідною для дотримання встановленого законом зобов’язання, яке
поширюється на контролера;
  • Обробка є необхідною для того, щоб захистити життєво важливі інтереси суб’єкта
даних або іншої фізичної особи;
  • Обробка є необхідною для виконання завдання в суспільних інтересах або
здійснення офіційних повноважень, покладених на контролера;
  • Обробка є необхідною для цілей законних інтересів контролера або третьої сторони,
 окрім випадків, коли над такими інтересами переважають інтереси або фундаментальні права суб’єктів.

Чи потрібно розміщувати на сайті Privacy Policy.

У відповідності до вимог GDPR, наявність такого документу як Privacy Policy, є одним із інструментів реалізації принципу «відповідності» контролером, коли необхідно доводити, що компанія діє у відповідності до вимог GDPR.

Чи потрібно розміщувати на сайті Cookie Policy.

Так як файли cookie є персональними даними, вашій компанії необхідно повідомити суб’єктів даних про те, як використовуються файли cookie про них та як вони можуть управляти ними. Таку інформацію можливо надати як в окремому документі, що зветься Cookie Policy, так і в рамках окремого розділу Privacy Policy, в залежності від зручності використання.

Коли моїй компанії потрібно призначати DPO (Data Protection Officer)?

DPO (Data Protection Officer) повинен призначатися компанією у випадках, коли:

  • основні види діяльності компанії включають операції з обробки, які,
в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і
широкомасштабного моніторингу суб’єктів даних;
  • oсновні види діяльності компанії становлять широкомасштабне
опрацювання чутливих персональних даних.

Загалом же, призначення DPO (Data Protection Officer) є питанням добровільним, якщо ви самі вбачаєте в цьому необхідність.

Коли моя компанія буде вважатися спільним контролером?

Якщо два чи декілька контролерів спільно визначають цілі та засоби обробки персональних даних, вони є спільними контролерами.

Чи повинна моя компанія призначати представника на території ЄС?

Якщо ваша компанія зареєстрована в країні, яка не входить до складу ЄС, а її діяльність пов’язана з пропонуванням товарів або послуг особам, що знаходяться на території ЄС, не залежно від того, чи стягується плата за такі послуги або товари або моніторингом поведінки осіб, які знаходяться на території ЄС, в силу того, що реалізація такої поведінки відбувається на території Європейського Союзу, то в такому випадку вам необхідно призначити представника на території ЄС.

Які штрафи можуть бути застосовані до моєї компанії за порушення GDPR?

У відповідності до GDPR, штрафи діляться на дві категорії. Перша категорія – це штраф у розмірі 10 мільйонів євро або 2 % від річного обороту компанії. Друга категорія - це штраф у розмірі 20 мільйонів євро або 4 % від річного обороту компанії. Обидві категорії штрафів застосовуються в залежності від ступеню порушення умов обробки персональних даних. Разом з тим, кожна країна – член ЄС може самостійно визначати розмір відповідальності, яку повинна нести компанія, в залежності від внутрішнього законодавства такої країни.