GDPR: в каких случаях его применение обязательно, и почему это может быть выгодно

Развитие бизнеса рано или поздно ставит перед его владельцами задачу о выходе на международный рынок. Это может быть открытие представительства в другой стране, расширение рынка сбыта, поиск иностранных подрядчиков или партнеров. 

Если такое расширение подразумевает "покорение" европейских стран, необходимо учитывать требования их законодательства в отношении обработки персональных данных. Как для того, чтобы обезопасить себя от возможной ответственности, так и для создания собственного положительного "имиджа". 

Дата 25.05.2018 стала "знаковой" для многих компаний, ведь в этот день вступил в силу Общий регламент правовой защиты персональных данных (он же General Data Protection Regulation, который также известен как GDPR). Дальше о том, как и на что это повлияло.

Интересно: Права субъектов персональных данных

Кто обязан применять GDPR?

Основная задача GDPR – регулирование обработки и охраны персональных данных (далее – ПД) в пределах Европейского Союза и Европейской экономической зоны (ЕС/ЕЭЗ), а также их экспорта за пределы указанных территорий. 

При этом ошибочно может показаться, что GDPR в обязательном порядке распространяется только на предприятия-резидентов стран ЕС/ЕЭЗ. На самом деле, GDPR может распространяться на предприятия в нескольких случаях.

Случай 1. Наличие офиса или сотрудников на территории ЕС/ЕЭЗ (т.н. организационная единица или establishment). 

В этом случае GDPR распространяется на предприятие, если его филиал, партнеры, представительства или представители располагаются на территории ЕС/ЕЭЗ на постоянной основе. 

При этом GDPR будет применяться к обработке только тех ПД, которые связаны с деятельностью указанных организационных единиц независимо от того, принадлежат ли обрабатываемые данные лицам из ЕС/ЕЭЗ или из других стран. 

Например, национальный производитель молочной продукции будет обязан соблюдать GDPR в случае привлечения европейской компании-партнера для рекламы такой продукции, но только в отношении тех данных, которые связаны с деятельностью компании-партнера (европейских Клиентов, сотрудников офиса и т.д.). 

Случай. 2. Предприятие расположено за пределами стран ЕС/ЕЭЗ, но предлагает жителям стран ЕС/ЕЭЗ товары и услуги. 

В этой ситуации нужно учесть, что одна только техническая возможность доступа вышеуказанных лиц к сайтам, приложениям или другим ресурсам, где можно получить товары/услуги, еще не обязывает предприятие применять GDPR. 

Такая обязанность возникает, если "коммерческое намерение" изначально ориентировано на европейских пользователей. 

Подтверждением этого могут быть, в частности, такие признаки: 

• верхнеуровневый домен сайта, зарегистрированній в одной из стран ЕС;
• прием оплаты, осуществляемый в евро;
• приложение, доступное на языках стран ЕС;
• доступные точки доставки товаров в странах ЕС/ЕЭЗ и т.д.

Случай 3. Предприятие осуществляет мониторинг Клиентов из ЕС/ЕЭЗ. 

Таким мониторингом можно считать сбор предприятием ПД европейцев с целью дальнейшего использования в своей деятельности, если такое предприятие осведомлено, что данные принадлежат именно лицам из стран ЕС/ЕЭЗ. 

Например: 

• получение информации о геолокации Клиентов; 
• исследование предпочтений Клиентов относительно товаров и услуг, если оно осуществляется на основе персонифицированных "профилей" клиентов; 
• сбор cookie-файлов и т.д. 

Узнать стоимость услуги.

Почему требования GDPR нужно и можно выполнять?

Следствием невыполнения требований GDPR (когда это обязательно) может быть наказание в виде штрафа: 4% от годового оборота предприятия и до 20 млн евро. 

В то же время, даже если предприятие не обязано применять GDPR, проводить обработку ПД по его правилам может быть выгодно по следующим причинам: 

• укрепление "HR-бренда" и привлечение высококвалифицированных сотрудников; 
• привлечение подрядчиков из ЕС/ЕЭЗ; 
• привлечение европейских инвесторов и пр. 

При этом внедрение GDPR осуществляется путем разработки и обязательного выполнения ряда специальных процедур, касающихся сбора, использования, хранения ПД и т.д. Конкретный порядок такого внедрения зависит от вида деятельности предприятия и других его особенностей. 

В любом случае репутация предприятия, которое применяет в своей деятельности требования GDPR, будет его конкурентным преимуществом на европейском рынке, а также на рынках Украины и других стран. 

Если Вы хотите получить комплекс услуг, направленный на работу Вашего предприятия в соответствии с требованиями GDPR - звоните нам. Мы позаботимся о защите персональных данных на Вашем предприятии.

Ззащита персональных данных компании