Соответствие GDPR

Соответствие GDPR: правила экспорта персональных данных из Европейского Союза

Соответствие GDPR — актуальный вопрос, так как за последние годы при попадании на любой интернет-ресурс активные пользователи всемирной паутины отметили изменение в политике конфиденциальности, а также обновление этой системы.

Произошло также изменение вида запроса на сохранение cookie (куки) – временных файлов и возможности пользование персональными данными.

Это связано с вступлениями обновленного Регламента GDPR(GeneralDataProtectionRegulation) Евросоюза № 2016/679, который распространяется на все страницы сети Интернет с 25.05.2018 года.

Правила экспорта ПД из Евросоюза, согласно Регламенту GDPR

Документ GDPR выдвигает основные требования и правила касательно использования персональных данных (ПД), а также ко всем участникам Регламента.

Очень актуальным вопросом GDPR касательно организаций вне Евросоюза есть требования к экспорту (перемещению) ПД за пределы территории союза Европейских государств.

Основной необходимостью подчиниться требованиям Регламента GDPR есть тот случай, когда компания выступает:

• контролером ПД(datacontroller), а именно распоряжается самостоятельно своим банком данных на территории ЕС;
• обработчиком ПД (dataprocessor), что подразумевает соприкосновение с банком личных данных членов Европейского Союза.

За несоблюдение требований существует ряд санкций, поэтому все компании, которые так или иначе работают с пользователями из ЕС, обязаны придерживаться GDPR.

Понятие «экспорта ПД из Европейского союза» и субъекты распространения GDPR

Перемещение ПД из стран Евросоюза происходит между такими субъектами импорта и экспорта данных:

• от обработчика в Евросоюзе – субобработчику, который расположен за пределами Европейского союза;
• от контролера, находящегося в Европейском Союзе, – обработчику вне ЕС;
• от контролера в Евросоюзе – контролеру вне Евросоюза.

Регламент экспорта персональных данных по GDPR

Основополагающий принцип гл. 5 Регламента GDPR о разрешенном экспорте ПД за границы Евросоюза гласит о том, что вне зависимости от места обрабатывания ПД, Регламент гарантирует установленный уровень защиты прав физлиц.

Данный регламент полностью распространяется на страны Европейского экономического пространства (ЕЭП), в число которых помимо стран Евросоюза включены и Лихтенштейн, Исландия, Норвегия.

Экспорт персональной информации между ЕС и ЕЭП позиционируется как перемещение ПД по территории ЕС.

Какие действия предпринимать неевропейским веб-ресурсам, работающим с резидентами Евросоюза?

Страны, которые находятся не на территории ЕС, но являются импортерами данных, обязаны быть готовыми к возникновению подобных запросов на согласование с правилами GDPR, без ответа на которые ведение бизнеса на территории ЕС станет нелегитимным.

Вне зависимости от места расположения страны-импортера данных, на него действуют все пункты GDPR по вопросам организации нужных мер защиты ПД, а также назначение в отдельных ситуациях представителя в Евросоюзе, и инспектора защиты базы данных (DataProtectionOfficer, DPO).

Только после подписания двустороннего договора возможно будет осуществления обработки ПД по поручительству контролера из ЕС.

Специалисты Eternity Law International помогут Вам в оказании правовой помощи в установлении соответствия вашей бизнес-структуры Регламенту GDPR. Любые трудности преодолимы.

Мы подскажем вам какую юрисдикцию в ЕС или вне его выбрать для регистрации и ведения вашего дела. Поможем написать положения Privacypolicy и другие пункты в соответствии с GDPR.