Як діяти, коли Європейський регламент про захист даних (GDPR) застосовується поза своєю юрисдикцією? Пояснення методів відповіді

GDPR – це правила, встановлені ЄС, які регулюють захист персональних даних та їх обробку. Якщо ви розгортаєте товари чи послуги в межах ЄС, на вашу діяльність може поширюватися GDPR. Однак, можливо, ви не знаєте, чи підпадає ваша компанія під дію GDPR, і що робити у випадку, якщо це так.

У цій статті ми роз’яснимо, на кого поширюється GDPR, що потрібно робити у випадку його застосування та які заходи вимагаються. Також тут ви знайдете розділ з питаннями та відповідями про застосування GDPR, тож будь ласка, використовуйте цю інформацію для довідки.

Сфера застосування GDPR

Умови застосування Загального регламенту про захист даних (GDPR) визначені в статті 3 “Географічна сфера застосування”. Сфера застосування GDPR поділяється на два випадки: коли у суб’єкта є база в ЄС та коли її немає.

Коли у суб’єкта є база в ЄС, застосовуються наступні положення:

“Це застосовується до обробки персональних даних у контексті діяльності бази адміністратора або процесора в ЄС, незалежно від того, чи відбувається обробка в ЄС.”

Довідка: Комісія з захисту персональних даних | “Загальний регламент про захист даних (GDPR) тимчасовий японський переклад[ja]“

Тобто, якщо у суб’єкта є база адміністратора або процесора в ЄС, то GDPR застосовується.

Якщо у суб’єкта немає бази в ЄС, сфера застосування GDPR включає наступні два випадки:

1. Коли надаються товари або послуги особам у ЄС
2. Коли відстежується поведінка осіб, які перебувають у ЄС

GDPR накладає суворі обмеження на країни поза ЄС, і для вільного перенесення даних необхідно отримати “визнання достатності”. Визнання достатності – це схвалення, яке видається після консультацій з Європейською комісією, і воно надається країнам або регіонам, які забезпечують достатній рівень захисту персональних даних.

Країни та регіони, які не мають визнання достатності, повинні виконати процедури, такі як SCC або BCR, для передачі даних за межі ЄС.

З визнанням достатності змінюється необхідність виконання процедур, таких як SCC або BCR.

Визнання достатності для Японії було оголошено під час регулярних японсько-ЄС самітів у липні 2018 року (2018), коли було оголошено про просування ініціатив для забезпечення можливості передачі персональних даних. Після цього, 23 січня 2019 року (2019), Японія отримала визнання достатності, і було зроблено оголошення, що “ЄС та Японія взаємно визнали рівень захисту персональних даних як еквівалентний”.

Що мають робити компанії, на які поширюється GDPR?

Компанії, на які поширюється GDPR, мають виконати наступні два основні завдання:

• Призначення представника в ЄС/Великобританії
• Внесення відомостей до політики конфіденційності

Далі ми детально розглянемо кожен з цих пунктів.

Призначення представника в ЄС/Великобританії

Стаття 27 GDPR вимагає, що у випадку позатериторіального застосування GDPR, компанії повинні призначити представника в ЄС або Великобританії.

Такий представник, як правило, призначається в письмовій формі адміністратором або обробником і діє від імені адміністратора чи обробника щодо виконання обов’язків, передбачених GDPR.

Не всі компанії, які ведуть бізнес у межах ЄС, зобов’язані призначати представника. Винятки з цього правила (згідно зі статтею 27 GDPR) включають:

• Обробку даних, яка не є тимчасовою, і яка не включає велику кількість обробки “особливих категорій даних” або “даних, пов’язаних з кримінальними засудженнями та злочинами”, і коли, враховуючи характер, контекст, обсяг та цілі обробки, малоймовірно, що це створить ризик для прав чи свобод фізичних осіб
• Якщо компанія не є публічним органом чи організацією

Джерело: Комісія з захисту персональних даних | ‘Загальне регулювання захисту даних (GDPR) тимчасовий переклад японською мовою[ja]‘

Внесення відомостей до політики конфіденційності

Компанії, на які поширюється GDPR, повинні вказати у своїй політиці конфіденційності інформацію про призначеного представника.

Покарання за не призначення представника

Необхідно звернути увагу на те, що якщо ви не призначите представника, незважаючи на те, що ви підпадаєте під дію Японського Загального регламенту про захист даних (GDPR), вас можуть піддати штрафним санкціям. Розмір штрафу може складати до 1,000 євро або до 2% від загального світового обороту, залежно від того, яка сума більша (згідно з частиною 4 статті 84 GDPR).

Обов’язки агента

Якщо ви підпадаєте під дію Японського Загального регламенту про захист даних (GDPR), то вам, як правило, необхідно призначити агента. Але які саме обов’язки покладаються на агента? Давайте розглянемо це детальніше.

Обробка записів згідно з статтею 30

Адміністратори або обробники, які мають агентів у країнах ЄС, повинні ділитися з агентами своїми записами обробки. Агенти, в свою чергу, зобов’язані зберігати ці записи нарівні з адміністраторами чи обробниками (стаття 30 Японського GDPR).

До записів, які необхідно вести, відносяться:

• Імена та контактні дані адміністраторів, DPO (Офіцера з захисту даних) тощо
• Мета обробки
• Категорії суб’єктів даних та типи даних, що обробляються
• Терміни зберігання
• Терміни видалення

Суб’єкт даних – це ідентифікована або ідентифікована фізична особа, до якої відносяться особисті дані.

У разі запиту від наглядового органу, необхідно забезпечити доступ до цих записів обробки.

Відповідь на запити суб’єктів даних або наглядових органів

У випадку отримання запитів від суб’єктів даних або наглядових органів, агент повинен діяти від імені адміністратора або обробника та відповідати на запити суб’єктів даних чи наглядових органів (стаття 27(3) Японського GDPR). Наприклад, у випадку запиту від суб’єкта даних, адміністратор повинен надати інформацію протягом одного місяця (стаття 12(3) Японського GDPR). Також агент повинен співпрацювати з наглядовим органом у відповідь на його запити (стаття 31 Японського GDPR).

Запитання та відповіді щодо застосування GDPR

Нижче ми відповімо на поширені запитання, які виникають у зв’язку з застосуванням GDPR.

Чи потрібно дотримуватися GDPR, якщо немає планів на міжнародну експансію?

Як правило, якщо у вас немає планів на розширення бізнесу за кордон, то дотримання вимог GDPR не є обов’язковим. Однак, навіть без міжнародної експансії, потрібно бути уважним, якщо існує можливість отримання даних від осіб з країн ЄС.

Розглянемо такі можливі ситуації:

• Ви ведете електронну комерцію і отримали запит або замовлення від особи з ЄС
• Через перегляд вашого сайту ви отримали онлайн ідентифікатори осіб з ЄС (такі як IP-адреси або cookies)
• Ви отримали електронну адресу від особи з ЄС у відповідь на запит

Навіть якщо ви несвідомо отримали персональні дані осіб з ЄС, це не означає, що ви підпадаєте під географічну юрисдикцію, тому дотримання GDPR не є обов’язковим.

Пам’ятайте, що необхідність дотримання GDPR виникає лише у випадку, якщо у вас є представництво в країнах ЄС, або ж, навіть без представництва, якщо ви відповідаєте наступним двом критеріям:

1. Ви пропонуєте товари або послуги особам з ЄС
2. Ви моніторите поведінку осіб з ЄС

Які заходи необхідно вжити при запуску транскордонного Інтернет-магазину, що охоплює країни ЄС?

При запуску транскордонного Інтернет-магазину, який працює на території ЄС, можливе отримання персональних даних клієнтів з країн ЄС. До таких даних можуть належати:

• Ім’я
• Електронна адреса
• Домашня адреса
• Інформація про кредитну картку
• Інформація про покупки
• Геолокаційні дані
• IP-адреса та Cookie ID

При зборі цих даних необхідно дотримуватися правил Загального регламенту захисту даних (GDPR), оскільки вони відносяться до персональних даних.

Спочатку варто переглянути та оновити політику конфіденційності відповідно до GDPR, а також опублікувати оновлене повідомлення про конфіденційність.
Пов’язана стаття: Основні моменти створення політики конфіденційності, що відповідає GDPR![ja]

Після цього слід виконати наступні кроки:

1. Створити політику щодо Cookie та отримати згоду на їх використання від нових відвідувачів Інтернет-магазину
2. При зборі персональних даних отримати згоду на обробку персональних даних
3. Запровадити заходи безпеки для захисту персональних даних та запобігання їх витоку
4. Призначити уповноважену особу

Також, за потреби, перегляньте внутрішні правила компанії, створіть інструкції для відповідності GDPR та перегляньте умови договорів з підрядниками.

Чим відрізняється GDPR від UK GDPR?

UK GDPR — це Загальне регулювання захисту даних Великобританії. UK GDPR набуло чинності 1 січня 2021 року (Reiwa 3) у зв’язку з виходом Великобританії з ЄС. GDPR — це регулювання ЄС, яке не застосовується у Великобританії.

UK GDPR застосовується у наступних випадках:

1. Коли надаються товари або послуги особам, що перебувають у Великобританії
2. Коли здійснюється моніторинг поведінки осіб, що перебувають у Великобританії

Якщо ви ведете бізнес у Великобританії та в межах ЄС, вам потрібно відповідати вимогам як GDPR, так і UK GDPR.

Висновок: Якщо у вас виникають питання щодо сфери застосування GDPR, зверніться до фахівця

Якщо у вас є представництво в межах ЄС, або навіть якщо ви не маєте представництва, але надаєте товари чи послуги особам в ЄС або стежите за їхньою поведінкою, ви підпадаєте під дію GDPR. Компанії, на які поширюється GDPR, повинні призначити уповноваженого представника в ЄС та вказати це у своїй політиці конфіденційності.

Якщо не призначити уповноваженого представника, компанія може зіткнутися з великими штрафами. Компанії, які ведуть бізнес або планують вийти на ринок ЄС, повинні призначити уповноваженого представника для відповідності GDPR.

Якщо ви не впевнені, чи підпадає ваша компанія під дію GDPR, рекомендуємо звернутися за консультацією до фахівця з міжнародного права.

Інформація про заходи, що їх пропонує наша юридична фірма

Юридична фірма “Моноліт” спеціалізується на IT, зокрема на правових аспектах Інтернету, і має значний досвід у цих сферах. У зв’язку з тим, що глобальний бізнес розширюється з кожним роком, потреба у професійному юридичному аудиті також зростає. Наша фірма пропонує рішення у сфері міжнародного права.

Сфери діяльності юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]