Navigace
ONOOÚ (GDPR) > Статья 3. Территориальная сфера действия
Stáhnout

Статья 3 GDPR. Территориальная сфера действия

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет.

Pokyny & Case Law Body odůvodnění

(22) Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно на территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

(14) Защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных юридических лиц и, в частности, на предприятия, созданные как юридические лица, включая наименование и организационно-правовую форму юридического лица, а также и реквизиты юридического лица.

Související texty

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

Související texty

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

Body odůvodnění

(23) В целях обеспечения защиты физических лиц, право на которую они имеют в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющим организационной единицы в Союзе, подпадает под действие настоящего Регламента в случаях, когда обработка связана с предложением товаров или услуг субъектам данных, независимо от того, требуется ли от них оплата, или нет. Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах. Несмотря на доступность веб-сайта контролёра, процессора или посредника в Союзе, адреса электронной почты, иные контактные данные либо использование языка третьей страны, в которой учреждён контролёр, являются недостаточными для установления подобных намерений. Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

Související texty

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

Body odůvodnění

(24) Обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, также должна регулироваться настоящим Регламентом в случаях, связанных с мониторингом поведения таких субъектов данных в той мере, в какой их деятельность происходит в Союзе. Чтобы определить, можно ли признать деятельность по обработке как «мониторинг проведения» субъекта данных, необходимо установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.

Související texty

3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где согласно международному публичному праву действует законодательство государства-члена.

Body odůvodnění

(25) В случаях, когда согласно международному публичному праву действует законодательство государства-члена, данный Регламент должен также применяться к контролёру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.

Odborný komentář Body odůvodnění Pokyny & Case Law Zanechat komentář
Odborný komentář

(EN) One of the most frequent questions asked is whether a company falls within the scope of the GDPR. It relates, among other things, to the definition of the European regulation’s territorial scope.

Here you can find a little self-assessment test:

Does the GDPR apply in these cases?

  1. A Russian mobile application processes the geolocation data of Russian and foreign nationals in the EU.
  2. A Belarusian dating site collects contact information from all its users. Americans and Europeans who come to Belarus and want to meet local women can also register on the site.
  3. An Italian chain has opened a new hotel in Kyiv, where both Europeans and citizens of other countries stay. Guests registration is carried out on the Italian site, and data are processed in the head office of the management company in Italy.
  4. An American training platform uses personal data to sell online courses around the world.
  5. EU nationals, who are on vacation in India, came to an Austrian airline’s local office in Mumbai to fly to Bali for a couple of days. For this purpose, their passport information and bank card data were collected, as well as the information that the passengers are vegetarians.
  6. EU users visit the site of a company from Rostov-on-Don 2-3 times a month and order flower deliveries in the city for their loved ones. The site is in Russian. Deliveries are only in Rostov. The currency of payment is the Russian ruble.

If you doubt the answers, go on reading and you will find the detailed analysis in the video lesson at the bottom of this article (in Russian).

Here are three cases, which show when it is necessary to observe the GDPR:

  1. When data are processed in the context of the activities of an establishment in the EU. In other words, if the office is physically located in any of the EU countries and the data are processed in that office, the GDPR applies. Thus, the correct answer to the third question concerning the Italian hotel is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, this paragraph does not apply only to a physical office or a registered legal entity. There are many other unobvious examples of what should be considered as the “context of the activities of an establishment”. We describe them in detail in the video.

  1. When the data subject is in the EU and the processing relates to the supply of goods and services. In this case, “data subject” does not refer only to European citizens, but also to people from other countries who are passing through, traveling, or staying temporary in Europe. At the same time, the goods and services do not necessarily have to be paid for. For example, a free mobile app that you have downloaded.

Therefore, if, for example, a Russian citizen, being in Latvia, has used a Russian mobile application, she or he is protected by the GDPR. So the correct answer to the first question is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, according to this paragraph, the GDPR also applies to other cases, which we have mentioned at the beginning of this article. For instance, in the second case, the Belarusian dating site provides a service to European citizens, as well as the American platform from the fourth case.

In comparison, in the fifth case concerning the purchase of tickets to Bali, the GDPR is not applicable, as these people have left the EU and are buying tickets in the office in India.

Do you know why in the sixth case concerning the flower delivery the GDPR does not apply, although the data of European citizens are processed? The reason is that the exception described in the recitals of the Regulation is based on a specific judicial precedent.

For more details on these recitals and court precedent, please see our video lesson.

  1. When you monitor behaviour within the EU. These situations are rare. And that rule does not apply to any of the cases from this article. More detailed information can be found in the video.

We hope that the information was helpful. Share it with your colleagues and make sure to see our detailed video lesson below in which you will find:

  • A detailed explanation of the diagram “the territorial scope of the GDPR”;
  • Explanation of articles, recitals, judicial precedents, and clarification by the supervisory authority;
  • Further examples and cases from practice;
  • Detailed case analysis from this article.

(EN) […]


to read the full text

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Body odůvodnění

(22) Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно на территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

(23) В целях обеспечения защиты физических лиц, право на которую они имеют в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющим организационной единицы в Союзе, подпадает под действие настоящего Регламента в случаях, когда обработка связана с предложением товаров или услуг субъектам данных, независимо от того, требуется ли от них оплата, или нет. Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах. Несмотря на доступность веб-сайта контролёра, процессора или посредника в Союзе, адреса электронной почты, иные контактные данные либо использование языка третьей страны, в которой учреждён контролёр, являются недостаточными для установления подобных намерений. Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

(24) Обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, также должна регулироваться настоящим Регламентом в случаях, связанных с мониторингом поведения таких субъектов данных в той мере, в какой их деятельность происходит в Союзе. Чтобы определить, можно ли признать деятельность по обработке как «мониторинг проведения» субъекта данных, необходимо установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.

(25) В случаях, когда согласно международному публичному праву действует законодательство государства-члена, данный Регламент должен также применяться к контролёру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.

Pokyny & Case Law Zanechat komentář
[js-disqus]