Если ваша компания зарегистрирована на территории Европейского Союза, GDPR применяется к деятельности вашей компании автоматически (часть 1 статьи 3 GDPR). Если ваша компания зарегистрирована в стране, не входящей в ЕС, GDPR будет применяться к ней, если деятельность компании связана с:

• предложением товаров или услуг лицам, находящимся на территории ЕС, независимо от того, взимается плата за такие услуги или товары;
• мониторингом поведения лиц, находящихся на территории ЕС, в силу того, что реализация такого поведения происходит на территории Европейского Союза.

Персональные данные — это любая информация, касающаяся физического лица, которое идентифицировано или которое можно идентифицировать, при этом, физическое лицо, которое можно идентифицировать, является таким лицом, которое можно идентифицировать, прямо или косвенно, в частности, по таким идентификаторами как имя я, идентификационный номер, данные о местонахождении, онлайн-идентификатор или по одному или нескольким факторам, которые являются определяющими для физической, физиологической, генетической, умственной, экономической, культурной или социальной сущности такого физического лица;

Чутливими персональними даними слід вважати дані, які стосуються етнічного чи расового походження, політичних поглядів, релігійних чи філософських переконань, участі в профспілках, генетичної інформації про особу, біометричної інформації про особу, будь-яких даних стосовно здоров’я особи, сексуального життя або ж сексуальної орієнтації. В деяких випадках, фото особи також може вважатися біометричною інформацією, в залежності від встановлених цілей обробки.

Руководствуясь положениями GDPR и разъяснениями компетентных контролирующих органов ЕС по вопросам безопасности персональных данных, файлы cookie следует считать персональными данными, так как они относятся к онлайн идентификаторам, которые могут быть использованы для идентификации личности.

Субъектами данных являются не только граждане ЕС. В соответствии с положениями GDPR, субъектами персональных данных являются идентифицированные лица или лица, которые могут быть идентифицированы, находящиеся на территории Европейского союза, независимо от их происхождения, гражданства и места жительства.

Компания будет считать контроллером данных, когда такая компания самостоятельно или совместно с другими компаниями определяет способы и цели обработки персональных данных.

Компания будет считать обработчиком данных, когда такая компания осуществляет обработку персональных данных от имени контроллера данных и не устанавливает собственных целей обработки таких персональных данных.

Если компания осуществляет свою деятельность через веб-сайт в соответствии с положениями GDPR, контроллер данных должен уведомлять субъектов данных об обработке их персональных данных. В частности, контроллер должен предоставить информацию, определенную в ст. 13 и ст. 14 GDPR.

Не совсем так. В соответствии с GDPR, кроме ситуаций, когда получается согласие, персональные данные могут собираться и обрабатываться в следующих случаях, когда:

• Обработка необходима для выполнения контракта, стороной которого является субъект данных, или для принятия действий, на запрос субъекта данных, до заключения договора;
• Обработка необходима для соблюдения установленного законом обязательства, которое распространяется на контролера;
• Обработка необходима для того, чтобы защитить жизненно важные интересы субъекта данных или другого физического лица;
• Обработка необходима для выполнения задания в общественных интересах или осуществления официальных полномочий, возложенных на контролера;
• ООбработка необходима для целей законных интересов контроллера или третьей стороны, кроме случаев, когда над такими интересами преобладают интересы и фундаментальные права физических лиц.

В соответствии с требованиями GDPR, наличие такого документа как Privacy Policy, является одним из инструментов реализации принципа «соответствия» контроллером, когда необходимо доказывать, что компания действует в соответствии с требованиями GDPR.

Так как файлы cookie являются персональными данными, вашей компании необходимо уведомить субъектов данных о том, как используются их файлы cookie и как они могут управлять ими. Такую информацию можно предоставить как в отдельном документе, называемом Cookie Policy, так и в рамках отдельного раздела Privacy Policy, в зависимости от удобства использования.

DPO (Data Protection Officer) должен назначаться компанией в случаях, когда:

• основные виды деятельности компании включают операции по обработке, которые, в силу их специфики, объемов и / или целей, требуют регулярного, систематического и широкомасштабного мониторинга субъектов данных;
• основной вид деятельности компании составляет широкомасштабную обработку чувствительных персональных данных.

В целом же, назначение DPO (Data Protection Officer) является вопросом добровольным, если вы сами видите в этом необходимость.

Если ваша компания зарегистрирована в стране, не входящей в ЕС, а ее деятельность связана с предложением товаров или услуг лицам, находящимся на территории ЕС, независимо от того, взимается плата за такие услуги или товары или с мониторингом поведения лиц, находящихся на территории ЕС, в силу того, что реализация такого поведения происходит на территории Европейского Союза, то в таком случае вам необходимо назначить представителя на территории ЕС.