Часто задаваемые вопросы о GDPR
Важно: представленная здесь информация не является заменой юридического помощи или консультации соответствующего органа. Для решения любых вопросов обращайтесь к юристу или в надзорный орган.
1. Что такое GDPR?
Регламент Европейского парламента и Совета Европейского Союза (ЕС) 2016/679 от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС (сокращенно – Общий регламент защиты персональных данных / General Data Protection Regulation / GDPR) вступил в силу 25 мая 2018 года.
GDPR направлен на обеспечение защиты персональных данных физических лиц и применяется в следующих случаях:
- если компания осуществляет свою деятельность на территории ЕС;
- если деятельность по обработке персональных данных связана с предоставлением товаров или услуг физическим лицам в ЕС;
- если осуществляется мониторинг поведения физических лиц в ЕС;
- если деятельность компании подпадает под применимое в ЕС законодательство.
Важно: GDPR не применяется к анонимной информации, то есть к информации, которая не относится к идентифицированному или к поддающемуся идентификации физическому лицу, а также к персональным данным, анонимизированным таким образом, что субъектов данных вообще или более не возможно идентифицировать. Регламент не следует применять к обработке такой анонимной информации, в том числе в статистических или научных целях.
2. Применим ли GDPR к деятельности моей компании?
Во-первых, вам необходимо определить, применим ли GDPR к деятельности вашей компании в целом (см. вопрос 1).
Во-вторых, необходимо определить, обрабатывает ли ваша компания персональные данные.
В соответствии с GDPR «персональные данные» означают любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу («субъекту данных»). Поддающееся идентификации физическое лицо – это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица.
В соответствии с GDPR «обработка» означает любое действие или совокупность действий, совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, хранение, адаптацию или изменение, извлечение, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение.
В соответствии с GDPR «контроллер» – это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
В соответствии с GDPR «процессор» – это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени и по поручению контроллера.
Пример 1. GDPR применяется, если вы являетесь работодателем и осуществляете мониторинг местоположения автомобилей, принадлежащих или назначенных вашим сотрудникам. Данные могут включать не только местоположение транспортного средства, но и местоположение конкретного сотрудника. В этом случае данные, полученные от автомобиля, могут помочь идентифицировать отдельного человека и его/ее местонахождение.
Пример 2. GDPR не применяется, если вы осуществляете мониторинг местоположения автомобилей, которые привязаны к IP-адресу компании и не могут быть причислены конкретному лицу.
Чтобы определить, могут ли собранные данные с разумной вероятностью использоваться для идентификации физического лица, следует принимать во внимание все объективные факторы, такие как затраты и время, необходимые для его идентификации, а также учитывать технологии, доступные на момент обработки персональных данных, и технологический прогресс.
Это важно, поскольку ваша компания может быть обязана выполнять определенные действия в соответствии с GDPR (см. вопрос 5). Мы рекомендуем вам обратиться к местному юристу или надзорному органу, чтобы определить, применяется ли GDPR к деятельности вашей компании.
3. Применим ли GDPR к деятельности Gurtam?
Gurtam не обрабатывает персональные идентифицируемые данные конечных пользователей своих партнеров.
Однако, когда партнер компании Gurtam обрабатывает персональные данные с использованием программного обеспечения Wialon Hosting, Gurtam может выступать в качестве процессора в соответствии с регламентом GDPR (см. вопрос 5). Какие действия предпринимает Gurtam для соблюдения GDPR? Gurtam предпринимает необходимые технические и организационные меры, направленные на соблюдение GDPR.
4. Как Gurtam получает согласие на обработку персональных данных от конечных пользователей своих программных продуктов?
Gurtam не запрашивает согласия у клиентов своих партнеров. В случае, если ваша компания обрабатывает персональные данные (см. вопрос 2), Gurtam обязана:
- Предпринимать определенные меры для соблюдения GDPR.
- Обеспечивать наличие действующего соглашения о защите данных с вашей компанией.
- Выполнять обязанности процессора в соответствии со Статьей 28 GDPR.
5. Какие действия должна предпринять наша компания для соблюдения GDPR?
Если ваша компания рассматривается в качестве контроллера или процессора данных в соответствии с GDPR (см. вопрос 2), вам необходимо выполнить определенные действия согласно Статьям 24–34 GDPR.
Описание этих действий также доступно по ссылке:
https://ec.europa.eu/justice/smedataprotect/index_en.htm#target-4
6. Буду ли я подвергнут штрафу, если действия моей компании не соответствуют GDPR?
Задача надзорного органа – обеспечить, чтобы в каждом конкретном случае нарушения GDPR налагаемые административные штрафы были эффективными, пропорциональными и оказывали сдерживающее воздействие.
Полномочия надзорного органа подробно описаны в Статье 58 GDPR.