Перейти к основному содержанию

Вопросы и ответы

Применяется GDPR к моей компании?

Если ваша компания зарегистрирована на территории Европейского Союза, GDPR применяется к деятельности вашей компании автоматически (часть 1 статьи 3 GDPR). Если ваша компания зарегистрирована в стране, не входящей в ЕС, GDPR будет применяться к ней, если деятельность компании связана с:

  • предложением товаров или услуг лицам, находящимся на территории ЕС, независимо от того, взимается плата за такие услуги или товары;
  • мониторингом поведения лиц, находящихся на территории ЕС, в силу того, что реализация такого поведения происходит на территории Европейского Союза.

Что такое персональные данные?

Персональные данные - это любая информация, касающаяся физического лица, которое идентифицировано или которое можно идентифицировать, при этом, физическое лицо, которое можно идентифицировать, является таким лицом, которое можно идентифицировать, прямо или косвенно, в частности, по таким идентификаторами как имя я, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному или нескольким факторам, которые являются определяющими для физической, физиологической, генетической, умственной, экономической, культурной или социальной сущности такого физического лица;

Что такое чувствительные персональные данные?

Чувствительными персональными данными следует считать данные, касающиеся этнического или расового происхождения, политических взглядов, религиозных или философских убеждений, участия в профсоюзах, генетической информации о лице, биометрической информации о лице, каких-либо данных относительно здоровья человека, сексуальной жизни или сексуальной ориентации. В некоторых случаях, фото лица также может считаться биометрической информацией, в зависимости от поставленных целей обработки.

Считаются ли файлы cookie персональными данными?

Руководствуясь положениями GDPR и разъяснениями компетентных контролирующих органов ЕС по вопросам безопасности персональных данных, файлы cookie следует считать персональными данными, так как они относятся к онлайн идентификаторам, которые могут быть использованы для идентификации личности.

Субъекты данных - это только граждане ЕС?

Субъектами данных являются не только граждане ЕС. В соответствии с положениями GDPR, субъектами персональных данных являются идентифицированные лица или лица, которые могут быть идентифицированы, находящиеся на территории Европейского союза, независимо от их происхождения, гражданства и места жительства.

Когда моя компания будет считаться контроллером данных?

Компания будет считать контроллером данных, когда такая компания самостоятельно или совместно с другими компаниями определяет способы и цели обработки персональных данных.

Когда моя компания будет считаться обработчиком данных?

Компания будет считать обработчиком данных, когда такая компания осуществляет обработку персональных данных от имени контроллера данных и не устанавливает собственных целей обработки таких персональных данных.

Нужно ли на сайте уведомлять субъектов данных об обработке их персональных данных?

Если компания осуществляет свою деятельность через веб-сайт в соответствии с положениями GDPR, контроллер данных должен уведомлять субъектов данных об обработке их персональных данных. В частности, контроллер должен предоставить информацию, определенную в ст. 13 и ст. 14 GDPR.

Обработка должна осуществляться только на основании согласия субъекта данных?

Не совсем так. В соответствии с GDPR, кроме ситуаций, когда получается согласие, персональные данные могут собираться и обрабатываться в следующих случаях, когда:

  • Обработка необходима для выполнения контракта, стороной которого является субъект данных, или для принятия действий, на запрос субъекта данных, до заключения договора;
  • Обработка необходима для соблюдения установленного законом обязательства, которое распространяется на контролера;
  • Обработка необходима для того, чтобы защитить жизненно важные интересы субъекта данных или другого физического лица;
  • Обработка необходима для выполнения задания в общественных интересах или осуществления официальных полномочий, возложенных на контролера;
  • ООбработка необходима для целей законных интересов контроллера или третьей стороны, кроме случаев, когда над такими интересами преобладают интересы и фундаментальные права физических лиц.

Нужно ли размещать на сайте Privacy Policy.

В соответствии с требованиями GDPR, наличие такого документа как Privacy Policy, является одним из инструментов реализации принципа «соответствия» контроллером, когда необходимо доказывать, что компания действует в соответствии с требованиями GDPR.

Нужно ли размещать на сайте Cookie Policy.

Так как файлы cookie являются персональными данными, вашей компании необходимо уведомить субъектов данных о том, как используются их файлы cookie и как они могут управлять ими. Такую информацию можно предоставить как в отдельном документе, называемом Cookie Policy, так и в рамках отдельного раздела Privacy Policy, в зависимости от удобства использования.

Когда моей компании нужно назначать DPO (Data Protection Officer)?

DPO (Data Protection Officer) должен назначаться компанией в случаях, когда:

  • основные виды деятельности компании включают операции по обработке, которые, в силу их специфики, объемов и / или целей, требуют регулярного, систематического и широкомасштабного мониторинга субъектов данных;
  • основной вид деятельности компании составляет широкомасштабную обработку чувствительных персональных данных.

В целом же, назначение DPO (Data Protection Officer) является вопросом добровольным, если вы сами видите в этом необходимость.

Когда моя компания будет считаться общим контроллером?

Если два или несколько контроллеров совместно определяют цели и средства обработки персональных данных, они являются общими контроллерами.

Должна моя компания назначать представителя на территории ЕС?

Если ваша компания зарегистрирована в стране, не входящей в ЕС, а ее деятельность связана с предложением товаров или услуг лицам, находящимся на территории ЕС, независимо от того, взимается плата за такие услуги или товары или с мониторингом поведения лиц, находящихся на территории ЕС, в силу того, что реализация такого поведения происходит на территории Европейского Союза, то в таком случае вам необходимо назначить представителя на территории ЕС.

Какие штрафы могут быть применены к моей компании за нарушение GDPR?

В соответствии с GDPR, штрафы делятся на две категории. Первая категория - это штраф в размере 10000000 евро или 2% от годового оборота компании. Вторая категория - это штраф в размере 20000000 евро или 4% от годового оборота компании. Обе категории штрафов применяются в зависимости от степени нарушения условий обработки персональных данных. Вместе с тем, каждая страна - член ЕС может самостоятельно определять размер ответственности, которую должна нести компания, в зависимости от внутреннего законодательства такой страны.