Територія застосування GDPR.
З моменту набрання чинності General Data Protection Regulation (GDPR) у 2018 залишилось дуже мало людей, котрі не чули про нього та не задавались логічним питанням: чи діє цей Регламент Європейського Союзу на українські компанії, і, якщо так – то в яких випадках?
Перш за все, треба звернутися до відповідної статті GDPR – Стаття 3. Територіальна сфера дії.
- Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.
- Цей Регламент застосовують до опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов’язано з:
(a) постачанням товарів чи наданням послуг таким суб’єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб’єктів даних; або
(b) моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах Союзу. - Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.
Виходячи з тексту цієї статті, існує вичерпний перелік із декількох підстав, при яких GDPR буде поширюватись на компанії за територіальними ознаками. Розберемо кожен випадок окремо, беручи до уваги Guidelines 3/2018 on the territorial scope of the GDPR (Роз’яснення щодо територіального застосування GDPR).
Критерій осідку / Establishment criteria
Перш ніж переходити до визначення осідку, треба звернути увагу на те, що пункт 1 статті 3 GDPR передбачає визначення осідку по відношенню саме контролера чи оператора. Для того, щоб визначити чи будете ви вважатися контролером чи оператором, потрібно ознайомитись з визначеннями, передбаченими статтею 4 GDPR:
«контролер» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена, контролер або спеціальні критерії його призначення може бути передбачено законодавством Союзу чи держави-члена.
«оператор» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера.
Як встановлено відповідною прецедентною практикою Суду Європейського Союзу та попереднім висновком Working Party 29, визначення того, чи є суб’єкт господарювання контролером або оператором для цілей законодавства ЄС про захист даних – є ключовим елементом оцінки застосування GDPR до обробки персональних даних.
Хоча основний текст GDPR не містить визначення поняття “осідок”, Преамбула 22 зазначає наступне:
Осідок передбачає ефективне та реальне здійснення діяльності через стабільні структури. Юридична форма таких структур, будь то філія чи правосуб’єктне дочірнє підприємство, не є визначальним фактором у цьому відношенні.
• Поріг для «стабільної структури» насправді може бути досить низьким, якщо діяльність контролера пов’язана з наданням послуг в Інтернеті. В результаті, за деяких обставин, присутність навіть одного єдиного працівника non-EU компанії на території ЄС може бути достатньою підставою для визначення стабільної структури, якщо такий працівник діє з достатнім ступенем стабільності.
• Також, повинен існувати зв’язок між діяльністю, для якої обробляються дані, та діяльністю осідку в ЄС. Такий зв’язок має бути “нерозривним” (“inextricable”).
Отже, якщо певне утворення проявляє будь-яку активність на території ЄС та має певний зв’язок з контролером чи оператором, то буде вважатися, що такий контролер чи оператор має осідок на території ЄС.
Такий аналіз щодо відповідності певної компанії згаданому критерію повинен бути всебічним і унікальним для кожного випадку. Завдяки цьому, можна ефективно та достовірно визначити наявність осідку в ЄС та коректно застосовувати норми законодавства.
Приклад: Компанія з виробництва кросівок в Україні має повноцінне працююче відділення, що розташоване в Бельгії та самостійно контролює всі свої операції в Європі, включаючи проведення маркетингових кампаній. Бельгійське відділення можна вважати стабільною структурою, яка здійснює реальну та ефективну діяльність у світлі характеру економічної діяльності, яку здійснює компанія-виробник кросівок. Таким чином, бельгійське відділення може розглядатися як таке, що має осідок у Європейському Союзі у розумінні GDPR.
Критерій цільового спрямування діяльності (таргетингу)
Навіть за відсутності осідку в ЄС, ваша компанія може підпадати під дію GDPR. Пункт 2 статті 3 GDPR визначає підстави, за яких контролер чи оператор, що не має осідку в ЄС підпадає під дію Регламенту, а саме коли діяльність такого контролера чи оператора пов’язана з:
• постачанням товарів чи наданням послуг таким суб’єктам даних у ЄС, незалежно від того, чи вимагають оплату від таких суб’єктів даних; або
• моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах ЄС.
EDPB відмічає, що при визначення відповідності цьому критерію, треба брати до уваги:
• вид діяльності з обробки, чи підпадає він під перелік, передбачений пунктом 2 статті 3 GDPR;
• чи стосується така обробка суб’єктів даних, що знаходяться в ЄС.
Визначення наявності суб’єкта персональних даних
Пункт 2 статті 3 GDPR пише про суб’єктів даних, що перебувають в ЄС, а отже критерій цільового спрямування не обмежується громадянами ЄС. Преамбула 14 вказує, що “захист, передбачений цим Регламентом, повинен застосовуватися до фізичних осіб, незалежно від їх громадянства або місця проживання, у зв’язку з обробкою їхніх персональних даних.”
Разом з тим, EDPB згадує статтю 8 Хартії основних прав Європейського Союзу, що передбачає, що захист персональних даних не повинен стосуватися виключно громадян ЄС, а надається всім та кожному (“everyone”).
Отже, коли українська компанія обробляє дані осіб, що знаходяться на території ЄС, в не залежності від їхнього громадянства – така обробка буде підпадати під дію Регламенту. Цей фактор повинен бути оцінений у момент, коли відбувається відповідна ініціативна діяльність (“trigger activity”), тобто у момент пропозиції товарів чи послуг або при моніторингу.
Однак EDPB вважає, що положення стосовно діяльності з обробки, пов’язаної з пропозицією послуг, спрямоване саме на діяльність, яка навмисно, а не випадково, орієнтована на осіб у ЄС. Отже, якщо обробка стосується послуги, яка пропонується лише особам за межами ЄС, але послуга не припиняється, коли такі особи в’їжджають до ЄС, відповідна обробка не підпадає під дію GDPR, адже вона не пов’язана з навмисним націлюванням на осіб у ЄС.
Приклад: Українська компанія пропонує послуги з освітлення спортивних новин, переважно щодо українського футболу. Користувачі можуть отримувати щоденні або щотижневі оновлення. Послуга пропонується виключно користувачам з України, які під час реєстрації мають вказати український номер телефону та підтвердити його. Один з користувачів цього сервісу їде на відпочинок до Іспанії та продовжує користуватися сервісом. Хоча український абонент буде користуватися послугою під час перебування в ЄС, послуга не “націлена” на осіб у Союзі, тому обробка персональних даних такою українською компанією не входить у сферу дії GDPR.
Надання послуг на території ЄС
Критерій таргетингу щодо пропозиції товарів чи послуг застосовується незалежно від того, чи від суб’єкта даних вимагається оплата за товари чи послуги. Ключовим критерієм для визначення того, чи пропонує контролер чи оператор свої послуги або товари – це демонстрування такого наміру з боку контролера чи оператора.
Преамбула 23 вказує, що:
• Щоб визначити, чи пропонує такий контролер або оператор товари або послуги суб’єктам даних, що знаходяться в ЄС, слід встановити очевидність того, що контролер або оператор має намір пропонувати послуги суб’єктам даних в одному або декількох державах-членах.
• Такі фактори, як доступність веб-сайту контролера чи оператора в ЄС, адреси електронної пошти, інші контактні дані або використання мови третьої країни, в якій заснований контролер, є недостатніми для встановлення подібних намірів.
Наступний перелік факторів може бути використаний для визначення того, чи пропонуються послуги або товари на території ЄС:
• ЄС в цілому або принаймні одна держава-член зазначається у зв’язку з товаром чи послугою, що пропонується;
• контролер даних або оператор оплачують пошуковій системі за послуги з інтернет-довідки з метою полегшення доступу споживачів у ЄС до свого сайту; або контролер чи оператор проводить маркетингові та рекламні кампанії, спрямовані на аудиторію країн ЄС;
• міжнародний характер діяльності, наприклад, туристична діяльність;
• згадка про адреси або номери телефонів, доступні для жителів ЄС;
• використання відповідного доменного імені, наприклад “.de”, “.eu”;
• використання мови або валюти, відмінної від тієї, що зазвичай використовується в країні постачальника товарів чи послуг, особливо мова чи валюта однієї чи кількох держав-членів ЄС;
• контролер даних пропонує доставку товарів у держави-члени ЄС.
Якщо брати деякі з перерахованих вище факторів окремо, вони можуть не показувати чіткого наміру контролера даних пропонувати товари чи послуги суб’єктам даних у ЄС, проте кожен з цих факторів слід враховувати впродовж будь-якого аналізу задля визначення факту постачання послуг/товарів на території ЄС.
Приклад: Веб-сайт, що базується та управляється з України пропонує послуги зі створення унікальних 3D-моделей дизайнів для квартир. Веб-сайт доступний англійською, французькою, іспанською та німецькою мовами, а платежі можна здійснювати в євро. Веб-сайт вказує, що моделі можна доставити лише поштою у Францію та Німеччину. У цьому випадку зрозуміло, це буде вважатися послугою у значенні законодавства ЄС. Той факт, що веб-сайт доступний чотирма мовами ЄС, і що моделі можуть бути доставлені поштою у шість держав-членів ЄС, свідчить про те, що український веб-сайт має намір пропонувати свої послуги людям у ЄС.
Моніторинг поведінки
Другий вид діяльності, що ініціює застосування пункту 2 статті 3 GDPR – це моніторинг поведінки суб’єктів даних, коли це відбувається в межах ЄС. Преамбула 24 вказує, що для того, щоб визначити чи здійснюється моніторинг поведінки, треба “встановити, чи спостерігаються фізичні особи в Інтернеті, включаючи можливе подальше використання методів обробки персональних даних, що включають профілювання фізичної особи, в тому числі, з метою прийняття рішення стосовно цієї особи або задля аналізу передбачення її особистих переваг, поведінки і відносин.”
EDPB наводить приклади діяльності, яка може вважатися моніторингом:
- Поведінкова реклама;
- Відстеження геолокації, зокрема для маркетингових цілей;
- Онлайн-відстеження за допомогою використання файлів cookie або інших методів відстеження, таких як відбитки пальців;
- Персоналізовані послуги аналізу щодо здоров’я в Інтернеті;
- Відеоспостереження;
- Регулярне звітування про стан здоров’я людини.
Приклад: Консультаційна компанія, що створена в Австралії, надає консультації щодо торгівлі супермаркету у Німеччині на основі аналізу переміщення клієнтів по всьому магазину, зібраного за допомогою відстеження Wi-Fi. Аналіз переміщення клієнтів у магазині за допомогою відстеження Wi-Fi буде вважатися моніторингом поведінки людей, адже відстеження поведінки відбувається у ЄС. |
Призначення представника
Положення GDPR у статті 27 прямо вимагають контролерів або операторів у випадках, передбачених пунктом 2 статті 3 GDPR (контролери або оператори, що мають осідок за межами ЄС та пропонують свої товари чи послуги в ЄС, або здійснюють моніторинг на території ЄС) призначити представника в ЄС.
З цього випливає, що на контролерів або операторів, на яких поширюється дія GDPR згідно з пунктом 1 статті 3 (обробка персональних даних за наявності осідку в ЄС) не поширюється вимога щодо призначення представника. EDPB також підтверджує, що призначення представника не призводить до “осідку” та не ініціює дію GDPR.
Крім того, в інструкціях зазначено, що посада представника сумісний з роллю зовнішнього Data Protection Officer (DPO) згідно з GDPR, оскільки
• DPO може не отримувати жодних вказівок щодо виконання своїх завдань і має бути незалежним, тоді як на представника поширюється наказ (“mandate”), а отже, інструкції; та
• поєднання обох ролей може призвести до конфлікту інтересів.
Преамбула 80 вказує, що “такий представник повинен виконувати свої завдання згідно з наказом, отриманим від контролера або оператора, в тому числі щодо співпраці з компетентними наглядовими органами щодо будь-яких дій, вжитих з метою забезпечення відповідності цього Регламенту.”
Відповідно до вимог статті 27 GDPR призначення представника в ЄС необов’язкове, якщо має місце:
• обробка персональних даних, що призначена для окремого випадку та яка не передбачає: (1) великих обсягів, (2) обробки спеціальних категорій даних або (3) обробки даних про судимості чи кримінальні злочини, та ймовірно не призведе до виникнення ризику для прав і свобод фізичних осіб;
• обробка персональних даних органом чи установою публічної влади.
В будь-якому випадку, компанії з України, які орієнтовані на ринок ЄС та/або які здійснюють обробку персональних даних суб’єктів персональних даних, в контексті GDPR, зобов’язані призначити представника на території Європейського Союзу, укласти з ним відповідний договір та надати йому можливість, від імені компанії, здійснювати комунікацію з суб’єктами персональних даних, дані яких оброблюються, а також, при необхідності, співпрацювати з державними контролюючими органами країн-членів ЄС.