Территория применения GDPR.

С момента вступления в силу General Data Protection Regulation (GDPR) в 2018 году осталось очень мало людей, которые не слышали о нем и не задавались логичным вопросом: действует ли этот Регламент Европейского Союза на украинские компании, и, если да — то в каких случаях?

Прежде всего, надо обратиться к соответствующей статье GDPR — Статья 3. Территориальная сфера действия.

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет. 2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются: (a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо (b) мониторинга их поведения, если такое поведение происходит в Союзе. 3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где, согласно международному публичному праву, действует законодательство государства-члена.

Исходя из текста этой статьи, существует исчерпывающий перечень из нескольких оснований, при которых GDPR будет распространяться на компании по территориальным признакам. Разберем каждый случай отдельно, принимая во внимание Guidelines 3/2018 on the territorial scope of the GDPR (Разъяснение относительно территориального применения GDPR).

Критерий наличия организационной единицы/ Establishment criteria

Прежде чем переходить к определению организационной единицы, надо обратить внимание на то, что пункт 1 статьи 3 GDPR предусматривает определение организационной единицы по отношению именно к контроллеру или оператору. Для того, чтобы определить будете ли вы считаться контроллером или процессором, нужно ознакомиться с определениями, предусмотренными статьей 4 GDPR:

«контроллер» — это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных; контролёр или критерии для его определения могут быть установлены законодательством Союза или государства-члена в случаях, когда цели и средства этой обработки определяются законодательством Союза или государства-члена.   «процессор» — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролёра.

Как установлено соответствующей прецедентной практикой Суда Европейского Союза и предварительному заключению Working Party 29 определения того, является ли субъект  контроллером или процессором для целей законодательства ЕС о защите данных — является ключевым элементом оценки применения GDPR к такой обработке персональных данных.

Хоть и основной текст GDPR не включает в себя понятие “организационная единица”, Преамбула 22 указывает следующее:

Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

• Порог для «стабильной структуры» на самом деле может быть достаточно низким, если деятельность контроллера связана с предоставлением услуг в Интернете. В результате, при некоторых обстоятельствах, присутствие даже одного единственного работника non-EU компании на территории ЕС может быть достаточным основанием для наличия постоянной структуры, если такой работник действует с достаточной степенью стабильности.
• Также, должна существовать связь между деятельностью, для которой обрабатываются данные, и деятельностью организационной единицы в ЕС. Такая связь должна быть «неразрывной» («inextricable»).

Итак, если определенная структура проявляет любую активность на территории ЕС и имеет определенную связь с контроллером или процессором, то будет считаться, что такой контроллер или процессор имеет организационную единицы на территории ЕС.

Такой анализ на соответствие определенной компании упомянутому критерию должен быть всесторонним и особенным для каждого случая. Благодаря этому, можно эффективно и достоверно определить наличие организационной единицы в ЕС и корректно применять нормы законодательства.

Пример: Компания по производству кроссовок в Украине имеет полноценное работающее отделение, расположенное в Бельгии, и самостоятельно контролирует все свои операции в Европе, включая проведение маркетинговых кампаний. Бельгийское отделение можно считать стабильной структурой, осуществляющей реальную и эффективную деятельность в свете характера экономической деятельности, которую осуществляет компания-производитель кроссовок. Таким образом, бельгийское отделение может рассматриваться как организационная единица в Европейском Союзе в понимании GDPR.

Критерий целевого направления деятельности (таргетинга)

Даже при отсутствии организационной единицы в ЕС, ваша компания может подпадать под действие GDPR. Пункт 2 статьи 3 GDPR определяет основания, по которым контроллер или процессор, не имеющий организационной единицы в ЕС, подпадает под действие Регламента, а именно, если процессы обработки данных касаются:

• предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо
• мониторинга их поведения, если такое поведение происходит в Союзе.

EDPB отмечает, что при определении соответствия этому критерию, надо принимать во внимание:

• вид деятельности по обработке, подпадает ли он под перечень, предусмотренный пунктом 2 статьи 3 GDPR;
• касается такая обработка субъектов данных, находящихся в ЕС.
  

Определение наличия субъекта персональных данных

Пункт 2 статьи 3 GDPR пишет о субъектах данных, находящихся в ЕС, а следовательно критерий целевого направления не ограничивается гражданами ЕС.Преамбула 14 указывает, что “защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных.”

Вместе с тем, EDPB вспоминает статью 8 Хартии основных прав Европейского Союза, предусматривающий, что защита персональных данных не должна касаться исключительно граждан ЕС, а предоставляется всем и каждому («everyone»).

Итак, когда украинская компания обрабатывает данные лиц, находящихся на территории ЕС, в независимости от их гражданства — такая обработка будет подпадать под действие Регламента. Этот фактор должен быть оценен в момент, когда происходит соответствующая инициативная деятельность («trigger activity»), т. е. в момент предложения товаров или услуг или при мониторинге.

Однако EDPB считает, что положение о деятельности по обработке, связанной с предложением услуг, направлено именно на деятельность, которая намеренно, а не случайно, ориентирована на лиц в ЕС. Итак, если обработка касается услуги, которая предлагается только лицам за пределами ЕС, но услуга не прекращается, когда такие лица въезжают в ЕС, соответствующая обработка не подпадает под действие GDPR, ведь она не связана с умышленным таргетингом лиц в ЕС.

Пример: Украинская компания предлагает услуги по освещению спортивных новостей, преимущественно касательно украинского футбола. Пользователи могут получать ежедневные или еженедельные обновления. Услуга предлагается исключительно пользователям из Украины, при регистрации они должны указать украинский номер телефона и подтвердить его. Один из пользователей этого сервиса едет на отдых в Испанию и продолжает пользоваться сервисом. Хотя украинский абонент будет пользоваться услугой во время пребывания в ЕС, услуга не «нацелена» на лиц в Союзе, поэтому обработка персональных данных такой украинской компанией не входит в сферу действия GDPR.

Предоставление услуг на территории ЕС

Критерий таргетинга по предложению товаров или услуг применяется независимо от того, требуется ли от субъекта данных оплата за товары или услуги. Ключевым критерием для определения того, предлагает контроллер или оператор свои услуги или товары — это демонстрации такого намерения со стороны контроллера или оператора.Преамбула 23 определяет, что:

• Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах.
• Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

Следующий перечень факторов может быть использован для определения того, предлагаются услуги или товары на территории ЕС:

• ЕС в целом или по крайней мере одно государство-член отмечается в связи с товаром или услугой, которая предлагается;

• контроллер данных или процессор оплачивают поисковой системе за услуги по интернет-справке с целью облегчения доступа потребителей из ЕС к своему сайту; или контроллер или процессор проводит маркетинговые и рекламные кампании, направленные на аудиторию стран ЕС;

• международный характер деятельности, например, туристическая деятельность;

• упоминание об адресах или номера телефонов, доступные для жителей ЕС;

• использование соответствующего доменного имени, например «.de», «.eu»;

• использование языка или валюты, отличной от той, что обычно используется в стране поставщика товаров или услуг, особенно язык или валюта одной или нескольких государств-членов ЕС;

• контроллер данных предлагает доставку товаров в государства-члены ЕС.

Если брать некоторые из перечисленных выше факторов в отдельности, они могут не показывать четкого намерения контроллера данных предлагать товары или услуги субъектам данных в ЕС, однако каждый из этих факторов следует учитывать в течение проведения анализа для определения факта поставки услуг/товаров на территории ЕС.

Пример: Сайт, основанный и управляемый из Украины предлагает услуги по созданию уникальных 3D-моделей дизайнов для квартир. Сайт доступен на английском, французском, испанском и немецком языках, а платежи можно осуществлять в евро. Сайт указывает, что модели можно доставить только по почте во Францию ​​и Германию. В этом случае понятно, это будет считаться услугой в смысле законодательства ЕС. Тот факт, что веб-сайт доступен на четырех языках ЕС, и модели могут быть доставлены по почте в шесть государств-членов ЕС, свидетельствует о том, что украинский сайт намерен предлагать свои услуги людям в ЕС.

Мониторинг поведения

Второй вид деятельности, который инициирует применение пункта 2 статьи 3 GDPR — это мониторинг поведения субъектов данных, когда это происходит в пределах ЕС. Преамбула 24 указывает, что для того, чтобы определить осуществляется ли мониторинг поведения, надо «установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.»

EDPB приводит примеры деятельности, которая может считаться мониторингом:

• Поведенческая реклама;
• Отслеживание геолокации, в частности для маркетинговых целей;
• Онлайн-отслеживание с помощью использования файлов cookie или других методов отслеживания, таких как отпечатки пальцев;
• Персонализированные услуги анализа относительно здоровья в Интернете;
• Видеонаблюдение;
• Регулярные отчетности о состоянии здоровья человека.

Пример: Консультационная компания, созданная в Австралии, предоставляет консультации по торговле для супермаркета в Германии на основе анализа перемещения клиентов по всему магазину, собранного с помощью отслеживания Wi-Fi. Анализ перемещения клиентов в магазине с помощью отслеживания Wi-Fi будет считаться мониторингом поведения людей, ведь отслеживания поведения происходит в ЕС.

Назначение представителя

Положение GDPR в статье 27 прямо требует контроллеров или процессоров в случаях, предусмотренных пунктом 2 статьи 3 GDPR (контроллеры или процессоры, расположенные за пределами ЕС и предлагают свои товары или услуги в ЕС, или осуществляют мониторинг на территории ЕС) назначить представителя в ЕС. Из этого следует, что на контролеров или процессоров, на которых распространяется действие GDPR согласно пункту 1 статьи 3 (обработка персональных данных при наличии резиденции в ЕС) не распространяется требование о назначении представителя. EDPB также подтверждает, что назначение представителя не влечет к наличию «организационной единицы» и не инициирует действие GDPR.

Кроме того, в инструкциях указано, что должность представителя не совместима с ролью внешнего Data Protection Officer (DPO) по GDPR, поскольку

• DPO может не получать никаких указаний по выполнению своих задач и должен быть независимым, тогда как на представителя распространяется приказы («mandate»), а следовательно, инструкции; и
• сочетание обоих ролей может привести к конфликту интересов.

Преамбула 80 указывает, что “такой представитель должен выполнять свои задачи согласно предписанию, полученному от контролёра или процессора, в том числе сотрудничать с компетентными надзорными органами в отношении любых действий, предпринятых в целях обеспечения соответствия настоящему Регламенту.”

В соответствии с требованиями статьи 27 GDPR назначении представителя в ЕС необязательно, если имеет место:

• обработка, которая носит нерегулярный характер, не включает, в большом масштабе, обработку особых категорий данных, указанных в статье 9(1), или обработку персональных данных, относящихся к уголовным приговорам и преступлениям, указанным в статье 10, и которая с малой долей вероятности может привести к риску для прав и свобод физических лиц с учетом характера, контекста, масштаба и целей обработки; или

• обработка осуществляется государственными органами или учреждениями.

В любом случае, компании из Украины, которые ориентированы на рынок ЕС и/или осуществляющие обработку персональных данных субъектов персональных данных, в контексте GDPR, обязаны назначить представителя на территории Европейского Союза, заключить с ним соответствующий договор и предоставить ему возможность, от имени компании, осуществлять коммуникацию с субъектами персональных данных, данные которых обрабатываются, а также, при необходимости, сотрудничать с государственными контролирующими органами стран-членов ЕС.