Для компаній поза межами ЄС (нерезидентів), вимоги GDPR(General Data Protection Regulation -далі Регламент) мають значний вплив і застосовуються під час обробки персональних даних фізичних осіб з ЄС.
Дотримання компаніями-нерезидентами положень GDPR є обов’язковим при здійсненні наступних видів діяльності:
продаж товарів або послуг фізичним особам на території Європейського Союзу: компанії, зареєстровані за межами Європейського Союзу, повинні дотримуватися вимог GDPR за умов реалізації товарів або послуг кінцевому споживачу в ЄС. Наприклад, якщо компанія-нерезидент продає товари/послуги фізичним особам на території Євросоюзу або надає їм можливість вибрати на сайті компанії валюту та/або мову країни ЄС, та/або наявна опція доставки товару чи послуги замовнику в країну(-и) ЄС відповідно, дотримання компанією вимог Регламенту є обов’язковим;
моніторинг поведінки фізичних осіб на території ЄС: Регламент застосовується до компаній, які обробляють персональні дані фізичних осіб в межах Євросоюзу, включаючи відстеження їх онлайн-активності, збір даних геолокації, профілювання користувачів(з метою персоналізації контенту) для аналізу та прогнозування поведінки та інтересів. Веб-сайти, що використовують технології відстеження, такі як файли cookies, повинні відображати банери файлів cookie, надаючи можливість надання згоди на обробку даних тим суб’єктам даних які це потребують, в тому числі під час використання систем управління взаємовідносин з клієнтами (CRM - Customer Relationship Management);
транскордонна передача даних: під час передачі персональних даних з ЄС у країну, яка не визнана Європейською Комісією такою, яка забезпечує адекватний рівень захисту персональних даних (наприклад Україна) необхідною вимогою є додаткові гарантії належного захисту. Одним з інструментів, який дозволяє компаніям законно передавати персональні фізичних осіб з ЄС до країн за межами Європейського Союзу, є стандартні договірні положення (SCC - Standard Contractual Clauses), при цьому, договірними сторонами є контролер (він же володілець) та процесор (він же розпорядник) персональних даних. Впровадження SCC забезпечує високий рівень захисту та безпеки даних і допомагають досягти адекватності вимогам Регламенту.
Дотримання положень GDPR – це не лише уникнення штрафів у сфері захисту персональних даних, а й можливість покращити управління даними, підвищити ефективність операцій та надати їм конкурентну перевагу. Більше того, клієнти та партнери віддають перевагу компаніям, які діють прозоро та відповідально. Разом з тим, працюючи у правовому полі компанія підтверджує свою репутацію та позитивний імідж.
Читайте також:
