Територія застосування GDPR.

Хто потрапляє під дію GDPR

Розглядаючи питання щодо можливості застосування норм Загального Регламенту по Захисту Даних (GDPR/Регламент)до українських компаній, необхідно здійснити ряд заходів, які можуть стати визначальними в процесі прийняття релевантного рішення. Разом з цим, варто враховувати особливості роз’яснень, які надаються відповідними європейськими органами.  

Так, наприклад, в листопаді 2018 року, Європейська Рада Захисту Даних (EDPB) розробила та оприлюднила Роз’яснення щодо впровадження норм GDPR в контексті принципу територіального застосування (Guidelines 3/2018on the territorial scope of the GDPR), зокрема, в контексті якого і написана ця стаття.

Основною метою, яку ставила перед собою  EDPB, готуючи  цей документ, була можливість дослідити та роз’яснити особливості застосування норм GDPR до компаній, які знаходять по за межами ЄвропейськогоСоюзу.

Так, наприклад, ст. 3 GDPR зазначає, що для можливості визначення кола суб’єктів, до яких  будуть застосовуватися положення Регламенту, потрібно застосовувати підхід, який ґрунтується двох основних критеріях:

  • Критерій місце знаходження;
  • Критерій цільового спрямування діяльності.

Визначення меж територіального застосування GDPR повинне здійснюватися виключно в контексті того, що норми нового Регламенту можуть бути застосовані не тільки до суб’єктів, які знаходяться на території Європейського Союзу або Європейської Економічної Зони, як це було відповідно до вимог Директиви 95/46/ЕС, а й  до суб’єктів, які знаходять на території всього світу. А тому, потрібно мати на увазі, що коли застосовується один із вище згаданих критеріїв, діяльність суб’єкта повинна бути проаналізована дуже ретельно.  

Коли компанія,використовуючи зазначені вище критерії,  встановлює факт того, що вона зобов’язана діяти у відповідності з Регламентом, то не важливо в якому статусі по відношенню до оброблюваних персональних даних вона перебуває, чи то в статусі обробника, чи то в статусі контролера. Положення Регламенту будуть застосовані до компанії в тій мірі, як це визначено Регламентом по відношенню до кожної із ролей.

Особливо важливим залишається питання щодо необхідності призначення представника на території ЄС,коли мова йде про застосування до діяльності компанії критерію цільового спрямування. Це питання також буде розкрите в даній статті.

Отже, в даній статті ми розглянемо питання про те, у яких випадках українські компанії повинні діяти у відповідності до вимог GDPR та в яких випадках виникає необхідність призначення представника на  території ЄС.

Бажаєш перевірити відповідність до GDPR?

Запитати юристів

Критерій місцезнаходження

Пункт 1 Статті 3 GDPR передбачає, що Регламент застосовується до обробки персональних даних в контексті діяльності осідку контролера або обробника в Європейському Союзі незалежно від того, чи відбувається власне опрацювання в межах Європейського Союзу чи ні.

Відповідно, розглядаючи питання застосування норм GDPR через призму використання критерію місцезнаходження, потрібно зрозуміти, що ж таке осідок та як цей критерій може стосуватися українського бізнесу.

Під осідком, в розумінні пункту 22 декларативної частини GDPR, слід розуміти стабільно діюче утворення на території ЄС, при цьому, юридична форма такого утворення (представництво, дочірня компанія у формі окремої юридичної особи чи інше) не грає жодної ролі.

Тобто, якщо утворення, яке пов’язане з контролером або обробником, проявляє активність натериторії ЄС, навіть мінімальну, то в такому випадку слід вважати, що відповідний контролер чи обробник мають осідок на території Європейського Союзу.

Факт наявності осідку української компанії на території ЄС – це фактор, який визначає обов’язок української компанії організувати свою діяльність та діяльність свого осідку, яка стосується обробки персональних даних, у відповідності до вимог GDPR.

ПРИКЛАД:

Разом з цим, існують випадки, коли компанії не коректно визначають факт того чи існує осідок їхньої компанії на території ЄС, і це призводить до того, що некоректно застосовуються норми законодавства та інших документів.

Саме тому, Європейська Рада з Захисту Даних рекомендує, щоб у кожному окремому випадку, аналіз наявності осідку на території ЄС та його діяльність здійснювалась детально та всебічно, з врахуванням всіх особливостей відповідного випадку.   

Критерій цільового спрямування діяльності

Розглядаючи питання щодо можливості застосування критерію цільового спрямування діяльності, необхідно підкреслити, що пунктом 2 статті 3 GDPR передбачається можливість застосування норм GDPR до обробки персональних даних суб’єктів персональних даних, які перебувають у Європейському Союзі, контролером або обробником, який має осідок поза межами Союзу, якщо обробка персональних даних пов’язана з:

  • постачанням товарів чи наданням послуг суб’єктам персональних даних у Європейському Союзі, незалежно від того, чи вимагається оплата від таких суб’єктів персональних даних; або
  • моніторингом поведінки суб’єктів персональних даних, якщо така поведінка має місце у межах Європейського Союзу.

Отже, відсутність на території Європейського Союзу осідку, ніяким чином не позбавляє українську компанію обов’язку дотримуватися вимог GDPR, якщо діяльність компанії пов’язана із зазначеними вище умовами.

У своїх роз’ясненнях, Європейська Рада з Захисту Даних зазначає, що потрібно використовувати двосторонній підхід в процесі визначення того, чи повинна компанія, яка не має осідку на території ЄС, здійснювати свою діяльність у відповідності до вимог GDPR, при цьому, ці підходи полягають в тому, щоб визначити:
– по-перше, чи обробка персональних даних дійсно стосується тих даних, які належать суб’єктам персональних даних, що знаходяться на території ЄС;
– по-друге, чи обробка персональних даних дійсно пов’язана з постачанням  товарів та послуг або з моніторингом поведінки суб’єктів персональних даних на території ЄС.

Визначення суб’єкта персональних даних

Застосуваннянорм GDPR, в контексті критерія цільового спрямування діяльності компанії, неповинно обмежуватися виключно громадянством або юридичним статусом суб’єктів персональних даних, чиї персональні дані оброблюються на території ЄС. Зокрема, пункт 14 декларативної частини Регламенту зазначає, що захист, передбачений GDPR, поширюється на фізичних осіб, незалежно від їхнього громадянства чи місця проживання, під час опрацювання їхніх персональних даних.

Разом з тим, стаття 8 Хартії основних прав Європейського Союзу передбачає, що захист персональних даних не повинен стосуватися виключно громадян ЄС, а надається всім та кожному.

Тобто, коли українська компанія надає послуги, постачає товари або здійснює моніторинг поведінки фізичних осіб  які знаходяться на території ЄС, але при цьому не є громадянами або резидентами жодної з країн-членів ЄС, така компанія зобов’язана діяти у відповідності з вимогами Регламенту.

ПРИКЛАД

Варто мати на увазі, що питання таргетингу є доволі складним та заплутаним, а тому, в процес і визначення цільового кола фізичних осіб, в контексті пропонування та реалізації їм конкретного товару, послуги та/або в рамках аналізу їхньої поведінки, потрібно забезпечувати детальний та всебічний аналіз кожного окремо взятого випадку.

Визначення факту надання послуг на території ЄС.

На ряду з визначенням кола суб’єктів персональних даних, факт обробки персональних данихяких зобов’язує компанію дотримуватися умов GDPR, необхідно також дослідити чи моніторинг поведінки суб’єктів персональних даних дійсно має місце на території Європейського Союзу.

Так, пункт 23 декларативної частини GDPR зазначає, що для встановлення факту пропонування товарів або постачання послуг суб’єктам персональних даних відповідними контролерами або обробниками, що перебувають на території ЄС, необхідно переконатися у тому,чи є очевидним той факт, що контролери або обробники передбачають можливість постачання послуг суб’єктам персональних даних в одній або декількох країнах-членах ЄС.

Такі фактори як використання мови або валюти, що є загально прийнятими в одній або декількох державах-членах ЄС, можливість замовити товари чи послуги офіційною мовою однією або декількох держав-членів ЄС або згадування споживачів чи користувачів, що перебувають на території Європейського Союзу, підтверджують той факт, що контролер надає послуги та/або постачає товари суб’єктам персональних даних у Європейському Союзі.

Разом з тим, необхідно враховувати, що звичайна можливість доступу до веб-сайту компанії на території ЄС або можливість доступу до електронної пошти чи до других засобів контактування з компанією не є достатньою підставою вважати, що така компанія орієнтована на здійснення діяльності в межах Європейського Союзу. 

Європейська Рада з Захисту Даних в своєму роз’ясненні рекомендує, при визначенні того, чи здійснює компанія діяльність на території ЄС, враховувати всі наявні фактори, що можуть бути визначальними в процесі визначення того, чи дійсно діяльність компанії спрямована на ринок Європейського Союзу.  

Моніторинг поведінки

Іншим ключовим елементом, в процесі застосування критерію цільового спрямування діяльності компанії, є питання моніторингу поведінки суб’єкта персональних даних.

Компанія буде зобов’язана організовувати свою діяльність у відповідності довимог GDPR, в контексті моніторингу поведінки, тільки в тому випадку, коли будуть мати місце наступні умови:

  • буде здійснюватися моніторинг поведінки саме суб’єкта персональних даних, в контексті Регламенту;
  • поведінка суб’єкта персональних даних, моніторинг якої здійснює компанія, має місце у межах Європейського Союзу.

Для того, щоб зрозуміти чи здійснює компанія моніторинг чи ні, перш за все, необхідно з’ясувати що таке моніторинг та коли він відбувається в розумінні GDPR.

Так, у відповідності до тексту Регламенту, слід розуміти, що підтвердження факту здійснення моніторингу можливе тільки після вияснення  того, чиє фізичні особи, поведінка яких вважається такою, що моніториться,  об’єктами відстежування в Інтернеті. Разом з цим, потрібно з’ясувати, чи може в процесі подальшого моніторингу поведінки мати місце застосування методик опрацювання персональних даних, що полягають в складанні профайлу фізичної особи, зокрема, для можливості прийняття рішень щодо такої фізичної особи або будь-яких інших дій.

Для прикладу можемо розглянути ситуацію,коли фінансові установи здійснюють моніторинг поведінки (скоринг) своїх клієнтів або потенційних клієнтів, шляхом створення профайлу для подальшого прийняття, на основі отриманих даних,  рішення про надання чи ненадання фінансових послуг таким клієнтам.

Загалом, EDPB у своїх роз’ясненнях зазначає, що саме поняття «моніторинг» передбачає специфічну ціль,яка полягає в збиранні та подальшому повторному використанні відповідних даних про поведінку фізичної особи в рамках Європейського Союзу.

Для прикладу, Європейська Рада з Захисту Даних зазначає приблизний, але не вичерпний список видів діяльності, які можуть містити в собі моніторинг поведінки. Цей список, зокрема,  включає:

  • здійснення рекламної діяльності;
  • діяльність пов’язану з визначенням геолокації;
  • діяльність пов’язану з онлайн відстежуванням через використання реп’яшків (cookies);
  • послуги з аналітики стану здоров’я або послуги щодо діє онлайн;
  • діяльність пов’язану зі здійсненням відеоспостереження;
  • діяльність пов’язану з маркетинговими опитуваннями та інше.

 Представник в Європейському Союзі

ПРИКЛАД

Одним із найактуальніших питань для компаній з України, залишається питання щодо необхідності призначення представника на території Європейського Союзу у тому випадку, коли така компанія здійснює діяльність у відповідності з положеннями GDPR.

Положення Регламенту передбачають, що у разі коли компанія, яка не має осідку на території ЄС, але при цьому діє у відповідності з Регламентом, не призначить представника на території ЄС, то така компаніє порушує Регламент і до такої компанії можуть бути застосовані штрафні санкції.

Пункт 80 декларативної частини GDPR передбачає, що представника необхідно призначати чітко на підставі письмового доручення контролера або обробника для можливості вчинення дій від імені контролера або обробника, у контексті зобов’язань контролера або обробника,згідно з Регламентом.

Варто наголосити, що представником можуть біти як фізичні особи, так і юридичні особи, при цьому, головною вимогою залишається підтвердження факту того, що місце реєстрації представника знаходиться на території ЄС. Не варто виключати можливість того, що представниками можуть бути юридичні та консалтингові компанії, які виступатимуть представником не лише для однієї компанії, а для цілого ряду компаній, не зареєстрованих в ЄС.

Для української компанії це означає лиш те, що вона зобов’язана укласти з представником з Європейського Союзу письмовий договір (скоріш за все договір про надання послуг), яким уповноважить його діяти в своїх інтересах, а також з допомогою якого будуть регламентовані права та обов’язки як компанії, так і представника, в контексті їхньої взаємодії.

Представник повинен бути призначений в тій країні, в якій надаються послуги, постачаються товари та/або в якій моніториться поведінка суб’єктів персональних даних.  Якщо ж таких країн декілька, компанія на власний розсуд обирає одну із країн, в якій вона бажає мати представника.

Регламент також передбачає випадки, коли призначення представника не є обов’язковим. Це, зокрема, наступні випадки:

  • Обробка персональних даних не здійснюється у великих масштабах;
  • Не здійснюється обробка спеціальних категорій персональних даних;
  • Не здійснюється обробка персональних даних про судимості і кримінальні злочини, вказані в статті 10 Регламенту, та ймовірно не призведе до виникнення ризику для прав і свобод фізичних осіб, з огляду на специфіку, контекст, масштаб іцілі опрацювання;
  • Обробка персональних даних здійснюється органом чи установою публічної влади.

В будь-якому випадку, компанії з України, які орієнтовані на ринок ЄС та/або які здійснюють обробку персональних даних суб’єктів персональних даних, в контексті GDPR, зобов’язані призначити представника на території Європейського Союзу, укласти з ним відповідний договір та надати йому можливість, від імені компанії, здійснювати комунікацію з суб’єктами персональних даних, дані яких оброблюються, а також, при необхідності, співпрацювати з державними контролюючими органами країн-членів ЄС.

Безкоштовна первинна консультація по ІТ праву у твоєму кейсі. Не зволікай ;)Твоє запитання ІТ юристам


Отримуй сповіщення про нові статті :)