Как действовать, когда GDPR применяется вне своей юрисдикции? Объяснение методов реагирования

GDPR – это регламент, устанавливающий защиту и обработку персональных данных, определенный Европейским Союзом. Если вы разворачиваете товары или услуги в пределах ЕС, на вас может распространяться GDPR. Однако некоторые компании не знают, подпадают ли они под действие GDPR и что делать в случае, если это так.

В данной статье мы объясним, кого касается GDPR, что необходимо делать при его применении и какие меры следует предпринять. Также здесь вы найдете раздел вопросов и ответов по GDPR, который может быть вам полезен.

Область применения GDPR

Условия применения GDPR определены в статье 3 «Территориальная область применения» GDPR. Область применения GDPR делится на два случая: когда у организации есть база в ЕС и когда её нет.

Содержание, предусмотренное для случаев, когда у организации есть база в ЕС, следующее:

«Применяется к обработке персональных данных в контексте деятельности базы администратора или обработчика в ЕС, независимо от того, происходит ли обработка в ЕС»

Ссылка: Комиссия по защите личных данных｜«Общий регламент по защите данных (GDPR) предварительный перевод на японский[ja]»

То есть, если у организации есть база администратора или обработчика в ЕС, то GDPR будет применяться.

В случаях, когда у организации нет базы в ЕС, область применения GDPR включает следующие два аспекта:

1. Предоставление товаров или услуг лицам в ЕС
2. Мониторинг поведения лиц в ЕС

GDPR устанавливает строгие ограничения для стран вне ЕС, и для свободной передачи данных требуется «решение о достаточности». Решение о достаточности — это одобрение, принимаемое после консультаций с Европейской комиссией, которое предоставляется странам и регионам, обеспечивающим достаточный уровень защиты персональных данных.

Страны и регионы, не имеющие решения о достаточности, должны следовать процедурам, таким как SCC или BCR, для передачи данных за пределы ЕС.

Решение о достаточности изменяет ситуацию, устраняя необходимость следовать процедурам, таким как SCC или BCR.

Решение о достаточности для Японии было объявлено в ходе регулярных переговоров между Японией и ЕС в июле 2018 года (2018), с целью разработки рамок для передачи персональных данных. После этого, 23 января 2019 года (2019), Япония получила решение о достаточности, и было объявлено, что «ЕС и Япония приняли решение о взаимном признании эквивалентности уровней защиты персональных данных».

Что должны делать компании, на которые распространяется GDPR

Если на компанию распространяется GDPR, она должна выполнить следующие два обязательных действия:

• Назначение представителя в ЕС/Великобритании
• Включение информации в политику конфиденциальности

Далее мы подробно рассмотрим каждый из этих пунктов.

Назначение представителя в ЕС/Великобритании

Статья 27 GDPR гласит, что в случае внешнего применения GDPR, компания обязана назначить представителя, находящегося в ЕС или Великобритании.

Под представителем понимается лицо, назначенное в письменной форме администратором или обработчиком, которое представляет администратора или обработчика в обязанностях, предусмотренных GDPR.

Не все компании, работающие в ЕС, обязаны назначать представителя. Исключения из обязанности назначения представителя приведены в статье 27 GDPR и включают следующие случаи:

• Обработка данных, на которую распространяется GDPR, не является временной, и при этом не включает в себя массовую обработку «особых категорий данных» или данных, связанных с уголовными приговорами и преступлениями, и учитывая характер, контекст, объем и цели обработки, маловероятно, что она представляет риск для прав или свобод физических лиц
• Компания не является публичным органом или организацией

Ссылка: Комиссия по защите личных данных｜«Общий регламент по защите данных (GDPR) – временный перевод на японский[ja]»

Включение информации в политику конфиденциальности

Компании, на которые распространяется GDPR, должны указать в своей политике конфиденциальности информацию о назначенном представителе.

Последствия неназначения представителя

Необходимо уделять особое внимание тому, чтобы назначить представителя в соответствии с GDPR, поскольку в противном случае вы рискуете подвергнуться штрафным санкциям. Размер штрафа может составлять до 1,000 евро или до 2% от глобального годового оборота компании, в зависимости от того, какая сумма окажется больше (согласно статье 84(4) GDPR).

Обязанности представителя

Если вы подпадаете под действие GDPR, то вам, как правило, необходимо назначить представителя. Но какие обязанности возлагаются на представителя? Давайте подробно рассмотрим обязанности представителя.

Обработка записей согласно статье 30

Администраторы или обработчики, которые имеют представителя в странах ЕС, должны делиться с ним своими записями обработки данных. Кроме того, представитель обязан хранить эти записи наравне с администратором или обработчиком (статья 30 GDPR).

Записи должны содержать следующую информацию:

• Имена и контактные данные администратора, DPO (Офицера по защите данных) и других лиц
• Цели обработки данных
• Категории субъектов данных и типы обрабатываемых данных
• Сроки хранения данных
• Сроки удаления данных

Субъект данных – это идентифицированное или идентифицируемое физическое лицо, на которое относятся персональные данные.

По запросу надзорного органа необходимо предоставить доступ к этим записям обработки данных.

Ответы на запросы субъектов данных или надзорных органов

В случае запросов от субъектов данных или надзорных органов, представитель должен действовать от имени администратора или обработчика и отвечать на запросы субъектов данных и надзорных органов (пункт 3 статьи 27 GDPR). Например, если субъект данных подает запрос, администратор должен предоставить информацию в течение одного месяца (пункт 3 статьи 12 GDPR). Кроме того, представитель должен сотрудничать с надзорным органом и отвечать на его запросы (статья 31 GDPR).

Вопросы и ответы о применении GDPR

Ниже мы ответим на часто задаваемые вопросы, касающиеся применения Общего регламента по защите данных (GDPR).

Нужно ли соблюдать GDPR, если у вас нет планов на выход на зарубежные рынки?

В основном, если у вас нет планов на выход на зарубежные рынки, то соблюдение GDPR не требуется. Однако, даже если вы не работаете за рубежом, необходимо быть внимательным, если есть вероятность получения данных от физических лиц внутри ЕС.

Возможны следующие ситуации:

• Вы управляете интернет-магазином и получаете запросы или заказы от физических лиц внутри ЕС
• При посещении вашего сайта вы получаете онлайн-идентификаторы физических лиц внутри ЕС (такие как IP-адреса или Cookie)
• Вы получаете электронные адреса при ответе на запросы от физических лиц внутри ЕС

Даже если вы непреднамеренно получили данные физических лиц внутри ЕС, это не означает, что вы попадаете под географическую юрисдикцию GDPR, и поэтому соблюдение этого регламента не требуется.

Необходимо помнить, что соблюдение GDPR требуется только в случае, если у вас есть представительства внутри ЕС, или даже если представительств нет, но вы соответствуете одному из следующих двух условий:

1. Вы предоставляете товары или услуги физическим лицам внутри ЕС
2. Вы осуществляете мониторинг поведения физических лиц внутри ЕС

Какие меры необходимо предпринять при запуске трансграничного интернет-магазина, ориентированного на страны ЕС?

При запуске трансграничного интернет-магазина, ориентированного на страны ЕС, возможен сбор персональных данных внутри ЕС. К таким данным могут относиться:

• Имя
• Электронная почта
• Адрес
• Информация о кредитной карте
• Информация о покупках
• Геолокационные данные
• IP-адрес и Cookie ID

При сборе этих данных необходимо соблюдать правила GDPR, так как они относятся к персональным данным.

В первую очередь, стоит пересмотреть политику конфиденциальности в соответствии с GDPR и обновить или опубликовать уведомление о конфиденциальности.
Связанная статья: Ключевые моменты создания политики конфиденциальности, соответствующей GDPR![ja]

Затем следует выполнить следующие шаги:

1. Создать политику использования Cookie и получить согласие на их использование от посетителей интернет-магазина при первом визите
2. При сборе персональных данных получить согласие на обработку персональных данных
3. Принять меры безопасности для защиты персональных данных и предотвращения их утечки
4. Назначить представителя

Кроме того, при необходимости следует пересмотреть внутренние правила компании, создать руководства для соответствия GDPR и пересмотреть условия контрактов с подрядчиками.

В чем разница между GDPR и UK GDPR?

UK GDPR – это Общий регламент по защите данных Великобритании. UK GDPR вступил в силу 1 января 2021 года (2021) в связи с выходом Великобритании из ЕС. GDPR является регулированием ЕС и не применяется в Великобритании.

UK GDPR применяется в следующих случаях:

1. Когда предоставляются товары или услуги лично для жителей Великобритании
2. Когда осуществляется мониторинг поведения людей, находящихся в Великобритании

Если вы ведете бизнес в Великобритании и в ЕС, то необходимо соответствовать требованиям как GDPR, так и UK GDPR.

Заключение: При затруднениях с определением сферы применения GDPR обращайтесь к специалистам

Если у вашей компании есть представительства в ЕС или даже без наличия представительств, вы предоставляете товары или услуги лицам в ЕС или осуществляете мониторинг их поведения, то ваша деятельность подпадает под действие GDPR. Компании, на которые распространяется GDPR, должны назначить уполномоченного представителя в ЕС и указать это в своей политике конфиденциальности.

Не назначение уполномоченного представителя может привести к необходимости уплаты значительных штрафов. Компании, которые ведут бизнес в ЕС или планируют выход на этот рынок, должны назначить представителя для соответствия требованиям GDPR.

Если вы не уверены, подпадает ли ваша компания под действие GDPR, рекомендуем проконсультироваться с экспертом в области международного права.

Информация о мерах, предпринимаемых нашей фирмой

Юридическая фирма “Монолит” обладает богатым опытом в области IT, особенно в интернете и праве. В последние годы глобальный бизнес продолжает расширяться, и потребность в профессиональной юридической проверке увеличивается. Наша фирма предоставляет решения в области международного права.

Сферы деятельности юридической фирмы “Монолит”: Международное право и зарубежный бизнес[ja]