Территория применения GDPR.

Кто попадает под действие GDPR?

Рассматривая вопрос о возможности применения норм общего Регламента по Защите Данных (GDPR / Регламент) к украинским компаниям, необходимо осуществить ряд мероприятий, которые могут стать определяющими в процессе принятия релевантного решения. Вместе с тем, следует учитывать особенности разъяснений, предоставляемых соответствующими европейскими органами.

Так, например, в ноябре 2018 года, Европейский Совет Защиты Данных (EDPB) разработал и опубликовал разъяснения по внедрению норм GDPR, в контексте принципа территориального применения (Guidelines 3 / 2018on the territorial scope of the GDPR), в частности, в контексте которого и написана эта статья.

Основной целью, которую ставила перед собой EDPB, готовя этот документ, была возможность исследовать и объяснить особенности применения норм GDPR к компаниям, которые находятся за пределами Европейского союза.

Так, например, ст. 3 GDPR отмечает, что для возможности определения круга субъектов, к которым будут применяться положения Регламента, нужно применять подход, основанный двух основных условиях:

  • Критерий место нахождения;
  • Критерий целевого направления деятельности.

Определение границ территориального применения GDPR должно осуществляться исключительно в контексте того, что нормы нового Регламента могут быть применены не только к субъектам, которые находятся на территории Европейского Союза или Европейской экономической зоны, как это было в соответствии с требованиями Директивы 95/46 / ЕС, но и к субъектам, которые находят на территории всего мира. А потому, нужно иметь в виду, что когда применяется один из вышеупомянутых критериев, деятельность субъекта должна быть проанализирована очень тщательно.

Когда компания, используя указанные выше критерии, устанавливает факт того, что она обязана действовать в соответствии с Регламентом, то не важно в каком статусе по отношению к обрабатываемым персональным данным она находится, то в статусе обработчика, то в статусе контроллера. Положения Регламента будут применены к компании в той мере, как это определено Регламентом по отношению к каждой из ролей.

Особенно важным остается вопрос о необходимости назначения представителя на территории ЕС, когда речь идет о применении к деятельности компании критерия целевого направления. Этот вопрос также будет раскрыто в данной статье.

Итак, в данной статье мы рассмотрим вопрос о том, в каких случаях украинские компании должны действовать в соответствии с требованиями GDPR и в каких случаях возникает необходимость назначения представителя на территории ЕС.

Критерий местонахождения

Пункт 1 статьи 3 GDPR предусматривает, что Регламент применяется к обработке персональных данных в контексте деятельности резиденции контроллера или обработчика в Европейском Союзе независимо от того, происходит собственно обработки в пределах Европейского Союза или нет.

Соответственно, рассматривая вопросы применения норм GDPR через призму использования критерия местонахождение, нужно понять, что же такое двор и как этот критерий может касаться украинского бизнеса.

Под центром, в понимании пункта 22 декларативной части GDPR, следует понимать стабильно действующее образования на территории ЕС, при этом, юридическая форма такого образования (представительство, дочерняя компания в форме отдельного юридического лица или иное) не играет никакой роли.

То есть, если образование, связанное с контроллером или обработчиком, проявляет активность на территории ЕС, даже минимальной, то в таком случае следует считать, что соответствующий контроллер или обработчик имеют двор на территории Европейского Союза.

Факт наличия резиденции украинской компании на территории ЕС — это фактор, который определяет обязанность украинской компании организовать свою деятельность и деятельность своего резиденции, которая касается обработки персональных данных, в соответствии с требованиями GDPR.

ПРИМЕР:

Вместе с тем, существуют случаи, когда компании не корректно определяют факт существует двор их компании на территории ЕС, и это приводит к тому, что некорректно применяются нормы законодательства и других документов.

Именно поэтому, Европейский Совет по Защите Данных рекомендует, чтобы в каждом отдельном случае, анализ наличия резиденции на территории ЕС и его деятельность осуществлялась подробно и всесторонне, с учетом всех особенностей соответствующего случая.

Критерий целевой направленности деятельности

Рассматривая вопрос о возможности применения критерия целевого направления деятельности, следует отметить, что пунктом 2 статьи 3 GDPR предусматривается возможность применения норм GDPR к обработке персональных данных субъектов персональных данных, которые находятся в Европейском Союзе, контроллером или обработчиком, который имеет двор за пределами Союза , если обработка персональных данных связана с:

  • поставкой товаров или предоставлением услуг субъектам персональных данных в Европейском Союзе, независимо от того, требуется оплата от таких субъектов персональных данных; или
  • мониторингом поведения субъектов персональных данных, если такое поведение имеет место в пределах Европейского Союза.

Следовательно, отсутствие на территории Европейского Союза резиденции, никоим образом не лишает украинскую компанию обязанности соблюдать требования GDPR, если деятельность компании связана с указанными выше условиями.

В своих разъяснениях, Европейский Совет по Защите Данных отмечает, что нужно использовать двусторонний подход в процессе определения того, должна компания, которая не имеет резиденции на территории ЕС, осуществлять свою деятельность в соответствии с требованиями GDPR, при этом, эти подходы заключаются в том, чтобы определить:

  • во-первых, обработка персональных данных действительно касается тех данных, которые принадлежат субъектам персональных данных, находящихся на территории ЕС;
  • во-вторых, обработка персональных данных действительно связана с поставками товаров и услуг или мониторингу поведения субъектов персональных данных на территории ЕС.

Определение субъекта персональных данных

Применения норм GDPR в контексте критерия целевого направления деятельности компании, не должно ограничиваться исключительно гражданством или юридическим статусом субъектов персональных данных, чьи персональные данные обрабатываются на территории ЕС. В частности, пункт 14 декларативной части Регламента отмечает, что защиту, предусмотренную GDPR, распространяется на физических лиц, независимо от их гражданства или места жительства, при обработке их персональных данных.

Вместе с тем, статья 8 Хартии основных прав Европейского Союза предусматривает, что защита персональных данных не должен касаться исключительно граждан ЕС, а предоставляется всем и каждому.

То есть, когда украинская компания предоставляет услуги, поставляет товары или осуществляет мониторинг поведения физических лиц находятся на территории ЕС, но при этом не являются гражданами или резидентами одной из стран-членов ЕС, такая компания обязана действовать в соответствии с требованиями Регламента.

ПРИМЕР:

Следует иметь в виду, что вопрос таргетинга довольно сложный и запутанный, а потому, для процесса и определения целевого круга физических лиц, в контексте предложения и реализации им конкретного товара, услуги и / или в рамках анализа их поведения, нужно обеспечивать детальный и всесторонний анализ каждого конкретного случая.

Определение факта предоставления услуг на территории ЕС.


На ряду с определением круга субъектов персональных данных, факт обработки персональных данных, которые обязывает компанию соблюдать условия GDPR, необходимо также исследовать и мониторинг поведения субъектов персональных данных, что действительно имеет место на территории Европейского Союза.

Так, пункт 23 декларативной части GDPR отмечает, что для установления факта предложения товаров или предоставления услуг субъектам персональных данных соответствующими контроллерами или обработчиками, находящихся на территории ЕС, необходимо убедиться в том, что очевиден тот факт, что контролеры или обработчики предусматривают возможность поставки услуг субъектам персональных данных в одной или нескольких странах-членах ЕС.


ПРИМЕР:

Такие факторы как использование языка или валюты является общепринятыми в одной или нескольких государствах-членах ЕС, возможность заказать товары или услуги официальным языком одной или нескольких государств-членов ЕС или упоминание потребителей или пользователей, находящихся на территории Европейского Союза, подтверждают тот факт, что контроллер предоставляет услуги и / или поставляет товары субъектам персональных данных в Европейском Союзе.

Вместе с тем, необходимо учитывать, что обычная возможность доступа к сайту компании на территории ЕС или возможность доступа к электронной почте или к другим средствам контакта с компанией не является достаточным основанием считать, что такая компания ориентирована на осуществление деятельности в пределах Европейского Союза.

Европейский Совет по Защите Данных в своем разъяснении рекомендует при определении того, осуществляет компания деятельность на территории ЕС, учитывать все имеющиеся факторы, которые могут быть определяющими в процессе определения того, действительно ли деятельность компании направлена ​​на рынок Европейского Союза.

Мониторинг поведения

Другим ключевым элементом, в процессе применения критерия целевого направления деятельности компании, вопрос мониторинга поведения субъекта персональных данных.

Компания будет обязана организовывать свою деятельность в соответствии с требованиями GDPR, в контексте мониторинга поведения, только в том случае, когда будут иметь место следующие условия:

Будет осуществляться мониторинг поведения именно субъекта персональных данных, в контексте Регламента;
— поведение субъекта персональных данных, мониторинг которой осуществляет компания, имеет место в пределах Европейского Союза.

Для того, чтобы понять осуществляет компания мониторинг или нет, прежде всего, необходимо выяснить, что такое мониторинг и когда он происходит в понимании GDPR.

Так, в соответствии с текстом Регламента, следует понимать, что подтверждение факта осуществления мониторинга возможно только после выяснения того, чье физические лица, поведение которых считается мониторится, объектами отслеживания в Интернете. Вместе с тем, нужно выяснить, может ли в процессе дальнейшего мониторинга поведения иметь место применение методик обработки персональных данных, состоящие в составлении профиля физического лица, в частности, для возможности принятия решений по такого физического лица или любых других действий.

Например можем рассмотреть ситуацию, когда финансовые учреждения осуществляют мониторинг поведения (скоринг) своих клиентов или потенциальных клиентов, путем создания профиля для дальнейшего принятия на основе полученных данных, решение о предоставлении или непредоставлении финансовых услуг таким клиентам.

В общем, EDPB в своих разъяснениях отмечает, что само понятие «мониторинг» предусматривает специфическую цель, которая заключается в сборе и последующем повторном использовании соответствующих данных о поведении физического лица в рамках Европейского Союза.

Например, Европейский Совет по Защите Данных отмечает примерный, но не исчерпывающий список видов деятельности, которые могут включать в себя мониторинг поведения. Этот список, в частности, включает:

  • осуществление рекламной деятельности;
  • деятельность, связанную с определением геолокации;
  • деятельность, связанную с онлайн отслеживанием через использование репяшка (cookies)
  • услуги по аналитике состояния здоровья или услуги по действует онлайн;
  • деятельность, связанную с осуществлением видеонаблюдения;
  • деятельность, связанную с маркетинговыми опросами и прочее.

Представитель в Европейском Союзе

ПРИМЕР:

Одним из самых актуальных вопросов для компаний из Украины, остается вопрос о необходимости назначения представителя на территории Европейского Союза в том случае, когда такая компания осуществляет деятельность в соответствии с положениями GDPR.

Положения Регламента предусматривают, что в случае, если компания, которая не имеет резиденции на территории ЕС, но при этом действует в соответствии с Регламентом, не назначает представителя на территории ЕС, то такая компания нарушает Регламент и к такой компании могут быть применены штрафные санкции.

Пункт 80 декларативной части GDPR предусматривает, что представителя необходимо назначать четко на основании письменного поручения контроллера или обработчика для возможности совершения действий от имени контроллера или обработчика, в контексте обязательств контроллера или обработчика, согласно Регламенту.

Стоит отметить, что представителем могут быть, как физические лица, так и юридические лица, при этом, главным требованием остается подтверждения факта того, что место регистрации представителя находится на территории ЕС. Не стоит исключать возможность того, что представителями могут быть юридические и консалтинговые компании, которые будут выступать представителем не только для одной компании, а для целого ряда компаний, не зарегистрированных в в ЕС.

Для украинской компании это означает лишь то, что она обязана заключить с представителем из Европейского Союза письменный договор (скорее всего договор о предоставлении услуг), которым уполномочит его действовать в своих интересах, а также с помощью которого будут регламентированы права и обязанности » Обязанности как компании, так и представителя, в контексте их взаимодействия.

Представитель должен быть назначен в той стране, в которой предоставляются услуги, поставляемые товары и / или в какой мониторится поведение субъектов персональных данных. Если же таких стран несколько, компания по собственному усмотрению выбирает одну из стран, в которой она желает иметь представителя.

В соответствии с требованиями статьи 27 GDPR назначение представителя в ЕС не обязательно, когда имеет место:

• обработка персональных денных для частного случая, если такая обработка не предусматривает: (1) больших объемов, (2) специальных категорий данных или (3) обработки данных о судимостях и уголовных преступлениях, и вероятно не приведет к возникновению риска для прав и свобод физических лиц;
• обработка персональных данных органом или другим учреждением публичной власти.

В любом случае, компании из Украины, которые ориентированы на рынок ЕС и / или осуществляющих обработку персональных данных субъектов персональных данных, в контексте GDPR, обязаны назначить представителя на территории Европейского Союза, заключить с ним соответствующий договор и предоставить ему возможность, от имени компании, осуществлять коммуникацию с субъектами персональных данных, данные которых обрабатываются, а также, при необходимости, сотрудничать с государственными контролирующими органами стран-членов ЕС.

Бесплатная первичная консультация по ІТ праву в твоем кейсе. Не медли ;)Твой вопрос ІТ юристам


Хочешь получать крутую инфу по IT-праву,
без спама и надоедливых акций?