Соответствие GDPR: правила экспорта персональных данных из Европейского Союза
Соответствие GDPR — актуальный вопрос, так как за последние годы при попадании на любой интернет-ресурс активные пользователи всемирной паутины отметили изменение в политике конфиденциальности, а также обновление этой системы.
Произошло также изменение вида запроса на сохранение cookie (куки) – временных файлов и возможности пользование персональными данными.
Это связано с вступлениями обновленного Регламента GDPR(GeneralDataProtectionRegulation) Евросоюза № 2016/679, который распространяется на все страницы сети Интернет с 25.05.2018 года.
Правила экспорта ПД из Евросоюза, согласно Регламенту GDPR
Документ GDPR выдвигает основные требования и правила касательно использования персональных данных (ПД), а также ко всем участникам Регламента.
Очень актуальным вопросом GDPR касательно организаций вне Евросоюза есть требования к экспорту (перемещению) ПД за пределы территории союза Европейских государств.
Основной необходимостью подчиниться требованиям Регламента GDPR есть тот случай, когда компания выступает:
- контролером ПД(datacontroller), а именно распоряжается самостоятельно своим банком данных на территории ЕС;
- обработчиком ПД (dataprocessor), что подразумевает соприкосновение с банком личных данных членов Европейского Союза.
За несоблюдение требований существует ряд санкций, поэтому все компании, которые так или иначе работают с пользователями из ЕС, обязаны придерживаться GDPR.
Понятие «экспорта ПД из Европейского союза» и субъекты распространения GDPR
Перемещение ПД из стран Евросоюза происходит между такими субъектами импорта и экспорта данных:
- от обработчика в Евросоюзе – субобработчику, который расположен за пределами Европейского союза;
- от контролера, находящегося в Европейском Союзе, – обработчику вне ЕС;
- от контролера в Евросоюзе – контролеру вне Евросоюза.
Регламент экспорта персональных данных по GDPR
Основополагающий принцип гл. 5 Регламента GDPR о разрешенном экспорте ПД за границы Евросоюза гласит о том, что вне зависимости от места обрабатывания ПД, Регламент гарантирует установленный уровень защиты прав физлиц.
Данный регламент полностью распространяется на страны Европейского экономического пространства (ЕЭП), в число которых помимо стран Евросоюза включены и Лихтенштейн, Исландия, Норвегия.
Экспорт персональной информации между ЕС и ЕЭП позиционируется как перемещение ПД по территории ЕС.
Какие действия предпринимать неевропейским веб-ресурсам, работающим с резидентами Евросоюза?
Страны, которые находятся не на территории ЕС, но являются импортерами данных, обязаны быть готовыми к возникновению подобных запросов на согласование с правилами GDPR, без ответа на которые ведение бизнеса на территории ЕС станет нелегитимным.
Вне зависимости от места расположения страны-импортера данных, на него действуют все пункты GDPR по вопросам организации нужных мер защиты ПД, а также назначение в отдельных ситуациях представителя в Евросоюзе, и инспектора защиты базы данных (DataProtectionOfficer, DPO).
Только после подписания двустороннего договора возможно будет осуществления обработки ПД по поручительству контролера из ЕС.
Специалисты Eternity Law International помогут Вам в оказании правовой помощи в установлении соответствия вашей бизнес-структуры Регламенту GDPR. Любые трудности преодолимы.
Мы подскажем вам какую юрисдикцию в ЕС или вне его выбрать для регистрации и ведения вашего дела. Поможем написать положения Privacypolicy и другие пункты в соответствии с GDPR.