Территориальная сфера действия Общего регламента защиты персональных данных [1] (GDPR или Регламент) определяется статьей 3 Регламента и представляет собой существенную эволюцию законодательства ЕС в области защиты данных по сравнению с тем, что было определено в Директиве 95/46 / EC [ 2]. В частности, GDPR подтверждает выбор, сделанный законодателем ЕС и Судом Европейского Союза (CJEU) в контексте Директивы 95/46 / EC. Тем не менее, были введены новые важные элементы. Важнее всего то, что основная цель статьи 4 Директивы состояла в определении, национальное законодательство какого государства-члена является применимым, тогда как в статье 3 GDPR определяется территориальный сфера действия непосредственно применимого текста. Более того, хотя статья 4 Директивы ссылалась на «использование компьютерного оборудования» на территории Союза в качестве основы для привлечения контролеров, которые «не были созданы на территории Сообщества», в сферу действия закона ЕС о защите данных, такая ссылка появляется в статье 3 GDPR.
[1] Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободном перемещении таких данных и отмене Директивы 95 / 46 / EC (Общие Регламент о защите данных).
[2] Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 года о защите физических лиц в связи с обработкой персональных данных и о свободном перемещении таких данных.
Статья 3 GDPR отражает намерение законодателя обеспечить всестороннюю защиту прав субъектов данных в ЕС и установить равные условия, с точки зрения требований к защите данных, для компаний, работающих на рынках ЕС, в контексте мировых потоков данных.
Статья 3 GDPR определяет территориальную сферу действия Регламента на основе двух основных критериев: критерий “организационной единицы” в соответствии со статьей 3 (1) и критерий «таргетинг» в соответствии со статьей 3 (2). При выполнении одного из этих двух критериев соответствующие положения GDPR будут применяться к соответствующей обработке персональных данных заинтересованным контролером или процессором. Кроме того, статья 3 (3) подтверждает, что GDPR применяется к обработке, где право государства-члена применяется в силу международного публичного права.
Посредством единого толкования, представленного органами по защите данных в ЕС, настоящие руководящие принципы призваны обеспечить последовательное применение GDPR при оценке того, попадает ли конкретная обработка, проводимая контролером или процессором, под действие новой правовой базы ЕС. В представленных руководящих принципах EDPB устанавливает и разъясняет критерии для определения территориальной сферы действия GDPR. Единое толкование также имеет важное значение для контролеров и процессоров, находящихся как в ЕС, так и за его пределами, для предоставления возможности оценить, необходимо ли им соблюдать GDPR для данной обработки данных.
Поскольку контролеры или процессоры, которые не были созданы в ЕС, но занимаются обработкой, и подпадают под действие Статьи 3(2), обязаны назначить представителя в Союзе, настоящие руководящие принципы также дадут разъяснение относительно процесса назначения этого представителя согласно Статье 27, а также относительно его обязанностей и ответственности.
В качестве общего принципа EDPB устанавливает, что если обработка персональных данных относится к территориальной сфере действия GDPR, к такой обработке применяются все положения Регламента. В настоящих руководящих принципах будут указаны различные сценарии, которые могут возникнуть в зависимости от типа деятельности по обработке, организации, выполняющей эту деятельность по обработке, или местоположения таких организаций, а также будут подробно изложены положения, применимые к каждой ситуации. Поэтому важно, чтобы контролеры и процессоры, особенно те, которые предлагают товары и услуги на международном уровне, предпринимали тщательную и фактическую оценку своей деятельности по обработке, чтобы определить, подпадает ли связанная с этим обработка персональных данных под сферу GDPR.
EDPB подчеркивает, что применение статьи 3 направлено на определение того, подпадает ли конкретная деятельность по обработке, а не физическое или юридическое лицо в сферу действия GDPR. Следовательно, в зависимости от деятельности по обработке, определенная обработка персональных данных, осуществляемая контролером или процессором, может подпадать под действие Регламента, тогда как другая обработка персональных данных, осуществляемая этим же контролером или процессором, может не подпадать.
Статья 3(1) GDPR предусматривает, что “Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится ли обработка на территории Союза”.
В статье 3(1) GDPR упоминается деятельность организационной единицы не только контролёра, но и процессора. В результате обработка персональных данных процессором также может быть предметом регулирования законодательства ЕС, поскольку процессор имеет организационную единицу, расположенную в пределах ЕС.
Статья 3(1) гарантирует, что GDPR применяется к обработке контролёром или процессором, выполняемой в контексте деятельности организационной единицы этого контролёра или процессора в Союзе, независимо от фактического места обработки. Поэтому EDPB рекомендует тройной подход при определении того, попадает ли обработка персональных данных в сферу действия GDPR в соответствии со Статьей 3(1).
В настоящих разделах разъясняется порядок применения критерия организационной единицы, во-первых, через рассмотрение определения «имеющий организационную единицу» в ЕС в значении закона ЕС о защите данных, во-вторых, через выяснение того, что подразумевается под «обработкой в контексте деятельности организационной единицы в Союзе», и, наконец, через подтверждение , что GDPR будет применяться независимо от того, происходит ли обработка, осуществляемая в контексте деятельности этой единицы, в Союзе или за его пределами.
Прежде чем рассматривать то, что подразумевается под «организационной единицей в Союзе», необходимо определить, кто является контролёром или процессором для данного процесса обработки. В соответствии с определением, указанным в статье 4(7) GDPR, контролером является «любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных». Согласно статье 4(8) GDPR, процессор – это «физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролёра». Как установлено соответствующим прецедентным правом CJEU и предыдущим мнением WP29, определение того, является ли организация для целей законодательства ЕС о защите данных контролером или процессором, является ключевым элементом в оценке применения GDPR к рассматриваемой обработке персональных данных.
[3] G 29 WP169 – Мнение 1/2010 о концепциях «контролёра» и «процессора», принятое 16 февраля 2010 года и пересматриваемое EDPB.
Хотя понятие «основная организационная единица» определено в Статье 4(16), GDPR не дает определения «организационная единица» для целей Статьи 3[4]. Тем не менее, Преамбула 22[5] поясняет, что «Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором».
[4] Определение «основной организационной единицы» в большей степени относится к цели определения компетенции заинтересованных надзорных органов в соответствии со статьей 56 GDPR. См. Руководство WP29 для определения ведущего надзорного органа контролера или процессора (16 / EN WP 244 rev.01) – одобрено EDPB.
[5] Преамбула 22 GDPR: “Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно не территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором”.
Данная формулировка идентична формулировке из Преамбулы 19 Директивы 95/46 / ЕС, ссылка на которую была сделана в нескольких постановлениях CJEU, расширяющих толкование термина «организационная единица», отличного от формального подхода, согласно которому предприятия создаются исключительно в том месте, где они зарегистрированы [6]. Действительно, CJEU постановил, что понятие организационной единицы распространяется на любую реальную и эффективную деятельность – даже минимальную – осуществляемую посредством постоянных структур [7]. Чтобы определить, имеет ли организация, расположенная за пределами Союза, организационную единицу в государстве-члене, следует учитывать как степень постоянства структур, так и эффективности осуществления деятельности в этом государстве-члене с учетом специфики экономической деятельности и предоставлением связанных с этим услуг. Это особенно актуально для предприятий, предлагающих услуги исключительно через Интернет [8].
[6] В частности, см. Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12), Weltimmo v NAIH (C230/14), Verein für Konsumenteninformation v Amazon EU (C-191/15) и Wirtschaftsakademie SchleswigHolstein (C-210/16).
Порог для «постоянных структур [9]» может быть довольно низким, когда деятельность контролера сосредоточена на предоставлении услуг в режиме онлайн. В результате в некоторых обстоятельствах присутствие в Союзе одного единственного сотрудника или агента не-ЕС-организации, может быть достаточным для создания постоянной структуры (приравненной к «организационной единице» для целей статьи 3(1)), если этот сотрудник или агент действует с достаточной степенью постоянства. И наоборот, когда сотрудник находится в ЕС, но обработка не выполняется в Союзе в контексте деятельности сотрудника из ЕС (т. е. Обработка относится к действиям контролера за пределами ЕС), простое присутствие сотрудника в ЕС не приведет к тому, что эта обработка попадет в сферу действия GDPR. Другими словами, простого присутствия работника в ЕС недостаточно для применения GDPR, поскольку для того, чтобы рассматриваемая обработка попадала в сферу действия GDPR, она также должна выполняться в контексте деятельности сотрудника из ЕС.
Тот факт, что организация, не являющаяся членом ЕС, ответственна за обработку данных, не имеет филиала или дочерней компании в государстве-члене, не исключает возможности наличия ее организационной единицы в значении закона ЕС о защите данных. Хотя понятие организационной единицы является широким, оно не без ограничений. Невозможно сделать вывод о том, что организация не из ЕС, имеет организационную единицу в Союзе только потому, что веб-сайт организации доступен в Союзе [10].
[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Дело C‑191/15, 28 Июль 2016, параграф 76 (далее – “Verein für Konsumenteninformation”).
Пример 1: Компания по производству автомобилей со штаб-квартирой в США имеет полностью принадлежащий ей филиал в Брюсселе, который контролирует всю ее деятельность в Европе, включая маркетинг и рекламу.
Бельгийский филиал можно считать постоянной структурой, которая осуществляет реальные и эффективные действия с учетом специфики экономической деятельности автомобильной компании. Таким образом, по смыслу GDPR бельгийский филиал может рассматриваться как организационная единица в Союзе.
После того, как будет сделан вывод о том, что контролёр или процессор имеет организационную единицу в ЕС, должен последовать фактический анализ, чтобы определить, выполняется ли рассматриваемая обработка в контексте деятельности этой организационной единицы, с целью выяснить, применяется ли статья 3(1). Если контролер или процессор, имеющий организационную единицу за пределами Союза, осуществляет “реальную и эффективную деятельность – даже минимальную” – посредством постоянных структур , независимо от его организационной формы (например, дочерняя компания, филиал, офис…), на территории государства-члена, этот контролёр или процессор может рассматриваться как организационная единица в этом государстве-члене [11]. Поэтому важно рассмотреть вопрос о том, осуществляется ли обработка персональных данных «в контексте деятельности» такой организационной единицы, как это подчеркивается в Преамбуле 22.
[11] В частности, смотри параграф 29 Решения Weltimmo , в котором особое значение придается гибкому определению понятия «организационная единица» и уточняется, что «степень постоянства структур и эффективного осуществления деятельности в этом другом государстве-члене должна интерпретироваться в свете особого характера экономической деятельности и предоставления соответствующих услуг.
Статья 3(1) подтверждает, что отсутствует необходимость в осуществлении рассматриваемой обработки «самой» организационной единицей ЕС; на контролёра или процессора будут распространяться обязательства по GDPR всякий раз, когда обработка выполняется «в контексте деятельности» его действующей организационной единицы в Союзе. EDPB рекомендует, определять то, выполняется ли обработка в контексте организационной единицы контролёра или процессора в Союзе для целей Статьи 3(1), на индивидуальной основе и на основе анализ in concreto . Каждый сценарий должен оцениваться по существу, с учетом конкретных обстоятельств дела.
EDPB считает, что для целей статьи 3(1) «обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора» должна пониматься исходя из соответствующего прецедентного права. С одной стороны, с целью достижения цели обеспечения эффективной и полной защиты, значение «в контексте деятельности организационной единицы» не может толковаться ограничительно [12]. С другой стороны, существование организационной единицы по смыслу GDPR не следует толковать слишком широко, чтобы сделать вывод о том, что существование какого-либо присутствия на территории ЕС, имеющего даже самые отдаленные связи с деятельностью организации, расположенной не на территории ЕС, по обработке данных будет достаточным, чтобы включить эту обработку в сферу действия закона ЕС о защите данных. Некоторая коммерческая деятельность, осуществляемая организацией, расположенной не на территории ЕС, в государстве-члене, действительно может быть настолько не связана с обработкой персональных данных этой организацией, что осуществление коммерческой деятельности на территории ЕС будет недостаточным для отнесения обработки данных организацией, не расположенной на территории ЕС, к сфере действия закона ЕС о защите данных [13].
[13] G29 WP 179 обновление – Обновление мнения 8/2010 о применимом праве в свете CJEU решения Google Испания, 16 декабря 2015.
Рассмотрение следующих двух факторов может помочь определить, выполняется ли обработка контролёром или процессором в контексте его организационной единицы в Союзе.
i) Отношения между контролёром данных или процессором, находящегося за пределами Союза, и его организационной единицей в Союзе
Деятельность контролёра или процессора данных, имеющих организационную единицу за пределами ЕС, по обработке данных может быть неразрывно связана с деятельностью местной организационной единицы в государстве-члене и, таким образом, может инициировать применимость законодательства ЕС, даже если эта местная организационная единица фактически не принимает какое-либо участие в самой обработке данных [14]. Если в каждом конкретном случае анализ фактов показывает, что существует неразрывная связь между обработкой персональных данных, осуществляемой контроллером или процессором, не находящихся в ЕС, и деятельностью организационной единицы, расположенной в ЕС, то закон ЕС будет применяться к такой обработке организации, расположенной за пределами ЕС, вне зависимости от организационной единицы, расположенной в ЕС, в этой обработке данных [15].
[15] G29 WP 179 обновление – обновление мнения 8/2010 о применимом праве в свете решения CJEU Google Испания, 16 декабря 2015
Получение доходов в ЕС местной организационной единицей в той степени, в которой такая деятельность может рассматриваться как «неразрывно связанная» с обработкой персональных данных, происходящей за пределами ЕС, и обработкой персональных данных отдельных лиц в ЕС, может свидетельствовать об обработке контролёром или процессором, расположенным за пределами ЕС, осуществляемой «в контексте деятельности организационной единицы в ЕС» и может быть достаточным для применения законодательства ЕС к такой обработке [16].
[16] Это может потенциально иметь место, например, для любого иностранного оператора с офисом продаж или некоторым другим присутствием в ЕС, даже если этот офис не играет никакой роли в фактической обработке данных, в частности, когда обработка происходит в контексте деятельности по продажам в ЕС и деятельности организационной единицы, ориентированной на жителей государств-членов, в которых находится организационная единица(обновление WP179).
EDPB рекомендует организациям, не расположенным в ЕС, провести оценку своей деятельности по обработке, во-первых, определив, обрабатываются ли персональные данные, и, во-вторых, выявив потенциальные связи между деятельностью, для которой обрабатываются данные, и деятельностью, связанной с любым присутствием организации в Союзе. Если такая связь идентифицирована, характер этой связи будет ключевым при определении того, применяется ли GDPR к рассматриваемой обработке, и должен оцениваться, в частности, по двум элементам, перечисленным выше.
Пример 2: Сайт электронной торговли управляется компанией, расположенной в Китае. Обработка персональных данных производится исключительно в Китае. Китайская компания уже основала европейский офис в Берлине для того, чтобы вести и реализовывать коммерческие поисковые и маркетинговые компании на рынке ЕС.
Таким образом, можно полагать, что действия европейского отделения в Берлине неразрывно связаны с обработкой персональных данных, проводимой китайским сайтом электронной торговли, до такой степени пока коммерческие поисковые и маркетинговые компании на рынке ЕС явно служат с целью принесения прибыли сайту электронной торговли. Обработка персональных данных, проводимая китайской компанией в отношении европейских продаж, и правда неразрывно связана с действиями европейского отделения в Берлине, которое занимается коммерческими поисковыми и маркетинговыми компаниями на европейском рынке. Обработка персональных данных производимая китайской компанией, связанная с продажами в ЕС, следовательно, может считаться проведенной в контексте деятельности европейского офиса, как организационной единицы в Союзе (ЕС). Такая деятельность по обработке, производимая китайской компанией, следовательно, будет осуществляться в соответствии с положениями GDPR согласно Статье 3(1)
Пример 3: Сеть отелей и курортов в Южной Африке предлагает пакетные соглашения через вебсайт, доступный на английском, немецком, французском и испанском. У компании нет никакого офиса, представителя или же постоянного расположения в ЕС.
В таком случае, при отсутствии представительства или постоянной структуры сети отелей и курортов на территории ЕС, представляется, что отсутствие организации, которая была бы связана с контролёром данных в Южной Африке, и которое может считаться организационной единицей в ЕС по смыслу GDPR. Следовательно рассматриваемая обработка не может предметом регулирования положениями GDPR, согласно Статье 3(1)
Согласно статье 3(1), обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе инициирует применение GDPR и связанных с этим обязательств для соответствующего контролёра или процессора данных.
В тексте GDPR указывается, что Регламент применяется к обработке в контексте деятельности организационной единицы в ЕС «независимо от того, происходит ли обработка на территории Союза» . Само присутствие контролёра или процессора данных на территории ЕС через организационную единицу и тот факт, что обработка происходит в контексте деятельности этой организационной единицы, инициируют применение GDPR к его обработке. Поэтому место обработки не имеет значения при определении того, попадает ли обработка, осуществляемая в контексте деятельности организационной единицы ЕС, в сферу действия GDPR.
Пример 4. Французская компания разработала приложение для каршеринга автомобилей, предназначенное исключительно для клиентов в Марокко, Алжире и Тунисе. Услуга доступна только в этих трех странах, но все действия по обработке персональных данных выполняются контролёром данных во Франции.
Хотя сбор персональных данных осуществляется в государствах, не входящих в ЕС, последующая обработка персональных данных в этом случае осуществляется в контексте деятельности организационной единицы контролёра данных в Союзе. Следовательно, даже если обработка относится к персональным данным субъектов данных, которые не входят в Союз, положения GDPR будут применяться к обработке, осуществляемой французской компанией, согласно статье 3(1).
Пример 5. Фармацевтическая компания со штаб-квартирой в Стокгольме разместила всю свою деятельность по обработке персональных данных в отношении данных клинических испытаний в своем филиале в Сингапуре.
В этом случае, когда обработка данных осуществляется в Сингапуре, эта обработка осуществляется в контексте деятельности фармацевтической компании в Стокгольме, то есть контролера данных, имеющего организационную единицу в Союзе. Таким образом, положения GDPR применяются к такой обработке в соответствии со статьей 3(1).
При определении территориальной сферы действия GDPR, географическое местоположение будет иметь важное значение в соответствии со статьей 3(1) в отношении места организационной единицы:
– любого присутствия в бизнесе контролёра или процессора, расположенного за пределами ЕС (есть ли у него организационная единица в Союзе?)
Однако географическое местоположение не имеет значения для целей статьи 3(1) в отношении места, в котором выполняется обработка, или в отношении местоположения рассматриваемых субъектов данных
Текст статьи 3(1) не ограничивает применение GDPR к обработке персональных данных лиц, которые находятся в Союзе. Поэтому EDPB считает, что любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе подпадает под действие GDPR, независимо от местонахождения или национальности субъекта данных, чьи персональные данные находятся в обработке. Этот подход подтверждается Преамбулой 14 GDPR, в котором говорится, что «защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их национальной принадлежности или места жительства, в связи с обработкой их персональных данных».
Что касается деятельности по обработке, подпадающей под сферу действия статьи 3(1), то EDPB считает, что такие положения применяются к контролёрам и процессорам, чья деятельность по обработке осуществляется в контексте деятельности их соответствующей организационной единицы в ЕС. Признавая, что требования по установлению отношений между контролёром и процессором [17] не изменяются в зависимости от географического положения организационной единицы контролёра или процессора, EDPB придерживается мнения, что если речь заходит об идентификации различных обязательств, вызванных применимостью GDPR в соответствии со статьей 3(1), то обработка каждой организации должна рассматриваться отдельно.
[17] В соответствии со статьей 28 EDPB напоминает, что деятельность процессора по обработки от имени контролёра регулируется договором или другим правовым актом в соответствии с законодательством Союза или государств-членов, который является обязательным для процессора в отношениях с контролёром, и что контролёры должны использовать услуги только тех процессоров, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям GDPR и обеспечивала защиту прав субъектов данных.
GDPR предусматривает различные и специальные положения или обязательства, применимые к контролёрам и процессорам. Так, например, если контролёр или процессор подпадает под действие GDPR в соответствии со статьей 3(1), соответствующие обязательства будут применяться к ним соответственно и отдельно. В этом плане EDPB считает, что процессор в ЕС не должен рассматриваться как организационная единица контролёра данных в соответствии со статьей 3(1), то есть просто на основании его статуса процессора, действующего от имени контроллера.
Само существование отношений между контролёром и процессором не обязательно приводит к применению GDPR к обоим организациям, если одна из этих двух организаций не будет иметь организационную единицу Союзе.
Организация, обрабатывающая персональные данные от имени и по поручению другой организации (компании-клиента), будет выполнять функции процессора для компании-клиента (контролера). Если процессор имеет организационную единицу в Союзе, он должен будет выполнять обязательства, налагаемые на процессора положениями GDPR («обязательства процессора GDPR»). Если контролёр, дающий поручение процессору, также находится в Союзе, этот контролёр должен будет выполнять обязательства, налагаемые на контролёра положениями GDPR («обязательства контролёра GDPR»). Деятельность по обработке, которая, когда она выполняется контролёром, подпадает в сферу действия GDPR в соответствии со статьей 3(1), не будет выходить за рамки Регламента просто потому, что контролёр даёт указанию процессору, не имеющему организационную единицу в Союзе, выполнять эту обработку от его имени.
i) Обработка контролёром, который имеет организационную единицу в ЕС, отдающим распоряжения процессору, не имеющему организационную единицу в Союзе
В тех случаях, когда контролёр, попадающий в сферу действия GDPR, решает использовать услуги процессора, расположенного за пределами Союза, для данной деятельности по обработке, контролёру все еще необходимо обеспечить обработку данных процессором по контракту или иному правовому акту в соответствии с GDPR. Статья 28(3) предусматривает, что обработка процессором регулируется договором или иным правовым актом. Следовательно, контролер должен убедиться, что он заключил контракт с процессором, отвечающий всем требованиям, изложенным в Статье 28(3). Кроме того, вполне вероятно, что для подтверждения того, что он выполнил свои обязательства по статье 28(1), – использовать услуги только того процессора, который обеспечивает достаточные гарантии для осуществления мер таким образом, чтобы обработка отвечала требованиям Регламента, и защищать права субъектов данных – контролеру, возможно, придется рассмотреть вопрос об обязательном включении в контракт обязательств, которые возложены GDPR на процессоров, на которых он распространяется. Другими словами, контролер должен обеспечить, чтобы процессор, не подпадающий под действие GDPR, выполнял обязательства, регулируемые договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, и упомянутые в статье 28(3).
Таким образом, на процессора, расположенного за пределами Союза, будут косвенно распространяться обязательства, налагаемые контролерами в соответствии с GDPR в силу договорных соглашений согласно статье 28. Кроме того, могут применяться положения главы V GDPR.
Финский научно-исследовательский институт проводит исследования, касающиеся народа саами. Институт запускает проект, который касается только саамов в России. Для этого проекта институт пользуется услугами процессора из Канады.
Финский контролер обязан использовать только тех процессоров, которые предоставляют достаточные гарантии для реализации соответствующих мер таким образом, чтобы обработка соответствовала требованиям GDPR и обеспечивала защиту прав субъектов данных. Финский контролёр должен заключить соглашение об обработке данных с канадским процессором, и обязанности процессора будут оговорены в этом правовом акте.
В то время как прецедентное право дает нам четкое представление о следствиях обработки, осуществляемой в контексте деятельности организационной единицы контролера, находящегося на территории ЕС, то следствия обработки, осуществляемой в контексте деятельности организационной единицы процессора, находящегося на территории ЕС, менее понятен.
EDPB подчеркивает, что важно учитывать организационные единицы контролёра и процессора отдельно при определении того, имеет ли каждая сторона «организационную единицу в Союзе».
Первый вопрос заключается в том, имеет ли сам контролёр организационную единицу на территории Союза и осуществляет ли он обработку в контексте деятельности этой организационной единицы. Предполагая, что контролёр не обрабатывает данные в контексте его собственной организационной единицы в Союзе, на этого контролера не будут распространяться обязательства контролера, предусмотренные GDPR, в силу Статьи 3(1) (хотя на него все еще может распространяться Статья 3(2) ). Если нет других факторов, то организационная единица процессора, находящаяся на территории ЕС, не будет считаться организационной единицей в отношении контролера.
Тогда возникает отдельный вопрос о том, осуществляет ли процессор обработку в контексте своей организационной единицы, находящейся в Союзе. Если это так, то на процессора будут распространяться обязательства процессора, предусмотренные GDPR, согласно статье 3(1). Тем не менее, это не приводит к тому, что на контролера, не расположенного в ЕС, распространяются обязательства контролера, предусмотренные GDPR. То есть контроллер «не находящийся на территории ЕС» (как описано выше) не будет подпадать под действие GDPR просто потому, что он решит использовать услуги процессора, находящегося на территории Союза.
По поручению процессора, находящегося на территории Союза, контролёр, не подпадающий под действие GDPR, не выполняет обработку «в контексте деятельности процессора, находящегося на территории Союза». Обработка выполняется в контексте собственной деятельности контролёра; процессор просто предоставляет услугу по обработке [18], которая не является «неразрывно связанной» с действиями контролёра. Как указывалось выше, в случае с процессором данных, который имеет организационную единицу в Союзе и выполняющим обработку от имени контролёра данных, имеющего организационную единицу за пределами Союза и не подпадающего под действие GDPR в соответствии со статьей 3(2), EDPB считает, что деятельность по обработке Контролёром данных не будет считаться подпадающей под территориальную сферу действия GDPR только потому, что он обрабатывается от его имени процессором, который имеет организационную единицу в Союзе. Однако, хотя контролёр данных не имеющего организационную единицу в Союзе и не подпадает под положения GDPR согласно Статье 3(2), на процессора данных, так как он имеет организационную единицу в Союзе, будут распространяться соответствующие положения GDPR согласно статье 3(1).
[18] Предложение услуг по обработке в этом контексте не может рассматриваться как предложение услуг субъектам данных в Союзе.
Пример 7. Мексиканская компания розничной торговли заключает контракт с процессором, у которого есть организационная единица в Испании, для обработки персональных данных, относящихся к клиентам мексиканской компании. Мексиканская компания предлагает и направляет свои услуги исключительно на мексиканский рынок, а ее обработка касается исключительно субъектов данных, расположенных за пределами Союза.
В этом случае мексиканская компания розничной торговли не нацеливается на лиц на территории Союза посредством предложения им товаров или услуг, а также не отслеживает поведение людей на территории Союза. Поэтому обработка контролёром данных, имеющего организационную единицу за пределами Союза, не подлежит регулированию GDPR согласно Статье 3(2).
Положения GDPR не применяются к контролеру данных в силу статьи 3(1), поскольку он не обрабатывает персональные данные в контексте деятельности организационной единицы в Союзе. Процессор данных имеет организационную единицу в Испании, и поэтому его обработка будет попадать в сферу действия GDPR в силу статьи 3(1). Процессор должен будет соблюдать обязательства процессора, налагаемые регламентом применительно к любой обработке, осуществляемой в контексте его деятельности.
Когда речь идет о процессоре данных, который имеет организационную единицу в Союзе, который выполняет обработку от имени контролёра данных, не имеющего организационной единицы в Союзе для деятельности по обработке, и который не подпадает под территориальную сферу действия GDPR согласно статье 3(2) на процессора распространяются следующие положения GDPR, непосредственно применимые к процессорам данных:
– Обязательства, налагаемые на процессоров согласно статьям 28(2), (3), (4), (5) и (6), об обязанности заключить соглашение об обработке данных,за исключением тех, которые касаются помощи контролеру данных в выполнении его (контролера) собственных обязательств по GDPR.
– Процессор и любое лицо, действующее под руководством контролёра или процессора, которое имеет доступ к персональным данным, не должны обрабатывать эти данные, кроме как по поручению контролёра, если только это не требуется в соответствии с законодательством Союза или государства-члена, как согласно статье 29 и статье 32(4).
– При необходимости, согласно статье 30(2) процессор должен вести учет всех категорий обработок, выполняемых от имени контролера.
– При необходимости, в соответствии со статьей 31 процессор должен по запросу сотрудничать с надзорным органом при выполнении своих задач.
– В соответствии со статьей 32 процессор должен принять технические и организационные меры для обеспечения уровня безопасности, соответствующие риску.
– Согласно статье 33 процессор после того, как ему станет известно об утечке персональных данных, без неоправданной задержки должен уведомить об этом контролёра.
– При необходимости, процессор назначает инспектора по защите данных в соответствии со статьями 37 и 38.
– Положения о передаче персональных данных третьим государствам или международным организациям согласно главе V.
Кроме того, поскольку такая обработка будет выполняться в контексте деятельности организационной единицы процессора в Союзе, EDPB напоминает, что процессор должен будет обеспечить, чтобы его обработка оставалась законной в отношении других обязательств в соответствии с законодательством ЕС или национальным законодательством. В статье 28(3) также уточняется, что «процессор незамедлительно информирует контролёра, если он считает, что выданное ему распоряжение нарушает настоящий Регламент или иные нормы Союза или государств-членов о защите персональных данных».
В соответствии c позициями, занятыми ранее Рабочей группой по Статье 29, EDPB считает, что территория Союза не может быть использована в качестве «хранилища данных», например, когда процесс обработки влечет за собой недопустимые этические проблемы [19], и что определенные юридические обязательства, выходящие за рамки применения законодательства ЕС о защите данных, в частности европейских и национальных правил в отношении общественного порядка, в любом случае должны соблюдаться любым процессором обработки данных, имеющим организационную единицу в Союзе, независимо от местоположения контролёра данных. Это также учитывает тот факт, что при реализации законодательства ЕС положения, вытекающие из GDPR и связанных с ним национальных законов, подпадают под действие Хартии Европейского союза по правам человека [20]. Однако это не накладывает дополнительных обязательств на контроллеров за пределами Союза в отношении обработки, не подпадающей под территориальную сферу действия GDPR.
Отсутствие организационной единицы в Союзе не обязательно означает, что обработки, осуществляемые контролером или процессором данных, созданными в третьей стране, будут исключены из сферы действия GDPR, поскольку в статье 3(2) изложены обстоятельства, при которых GDPR применяется к контролеру или процессору, не имеющим организационной единицы в Союзе, в зависимости от их осуществляемых ими обработок.
В этом контексте EDPB подтверждает, что в отсутствие организационной единицы в Союзе контролер или процессор не могут воспользоваться механизмом единого окна, предусмотренным в статье 56 GDPR. Действительно, механизм сотрудничества и согласованности GDPR применяется только к контролерам и процессорам, имеющим организационную единицу или единицы в Европейском союзе [21].
[21] G29 WP244 ред.1, 13 декабря 2016 года, Руководство по идентификации ведущего надзорного органа контролера или процессора – одобрено EDPB.
Хотя настоящее Руководство направлено на разъяснение территориального сферы действия GDPR, EDPB также хочет подчеркнуть, что контролерам и процессорам также необходимо будет учитывать другие применимые тексты, такие как, например, отраслевое законодательство ЕС или государств-членов и национальные законы. Некоторые положения GDPR действительно позволяют государствам-членам вводить дополнительные условия и определять конкретные рамки защиты данных на национальном уровне в определенных областях или в связи с конкретными ситуациями обработки.
Контролеры и процессоры должны поэтому гарантировать, что они осведомлены и соблюдают эти дополнительные условия и рамки, которые могут варьироваться от одного государства-члена к другому. Такие различия в положениях о защите данных, применяемых в каждом государстве-члене, особенно заметны в связи с положениями статьи 8 (при условии, что возраст, в котором дети могут дать действительное согласие в отношении обработки их данных службами информационного общества, может варьироваться между 13 и 16), статьи 9 (в отношении обработки специальных категорий данных), статьи 23 (ограничения) или относительно положений, содержащихся в главе IX GDPR (свобода выражения мнений и распространения информации; доступ общественности к официальным документам; национальный идентификационный номер; контекст занятости; обработки для архивных целей в интересах общества, для целей научного или исторического исследования или в статистических целях; секретность; церкви и религиозные организации).
Статья 3(2) GDPR предусматривает, что «настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются: (a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, (b) мониторинга их поведения, если такое поведение происходит в Союзе.».
Применение «критерия таргетинга» к субъектам данных, которые находятся в Союзе, согласно Статье 3(2), может быть вызвано обработками, выполняемыми контролером или процессором, не имеющими организационной единицы в Союзе, которые относятся к двум отдельным и альтернативным видам деятельности при условии, что эти обработки относятся к субъектам данных, которые находятся в Союзе. Помимо применимости только к обработкам, осуществляемым контролером или процессором, не имеющим организационной единицы в Союзе, критерий таргетинга в основном фокусируется на том, к чему относятся «действия по обработке», что следует рассматривать в каждом конкретном случае.
EDPB подчеркивает, что на некоторые обработки контролера или процессора может распространяться GDPR, в то время как на другие обработки – нет. Определяющим элементом территориального применения GDPR, согласно статье 3(2), является рассмотрение отдельной обработки.
Поэтому при оценке условий применения критерия таргетинга EDPB рекомендует двоякий подход, чтобы сначала определить, что обработка относится к персональным данным субъектов данных, которые находятся в Союзе, и, во-вторых, относится ли обработка к предложению товаров или услуг или к мониторингу поведения субъектов данных в Союзе.
Формулировка статьи 3(2) относится к «персональным данным субъектов данных, которые находятся в Союзе» . Таким образом, применение критерия таргетинга не ограничивается гражданством, местом жительства или другим типом правового статуса субъекта данных, чьи личные данные обрабатываются. Пункт 14 декларативной части подтверждает это толкование и гласит, что «защита, предоставляемая настоящим Регламентом, должна применяться к обработкам персональных данных физических лиц вне зависимости от их национальности или места жительства».
Это положение GDPR отражает императивный закон ЕС, который также устанавливает широкие возможности для защиты персональных данных, не ограничиваясь гражданами ЕС, а статья 8 Хартии об основных прав предусматривает, что право на защиту персональных данных не является ограниченным, а применимо для «всех» [22].
[22] Хартия Европейского Союза об основных прав, статья 8(1), «Каждый имеет право на защиту персональных данных, касающихся его или ее».
Хотя местонахождение субъекта данных на территории Союза является определяющим фактором для применения критерия таргетинга согласно статье 3(2), EDPB считает, что гражданство или правовой статус субъекта данных, который находится в Союзе, не могут ограничивать или сужать территориальную сферу действия Регламента.
Требование, чтобы субъект данных находился в Союзе, должно оцениваться в момент, когда происходит соответствующая таргетинговая деятельность, то есть в момент предложения товаров или услуг или в момент, когда поведение отслеживается, независимо от продолжительности предложения или мониторинга.
EDPB считает, однако, что в отношении обработок, связанных с предложением услуг, требование направлено на действия, которые преднамеренно, а не случайно или неумышленно, нацелены на отдельных лиц в ЕС. Следовательно, если обработка относится к услуге, которая предлагается только физическим лицам за пределами ЕС, но эта услуга не прекращается, когда такие лица попадают на территорию ЕС, соответствующая обработка не будет подпадать под действие GDPR. В этом случае обработка не связана с преднамеренным таргетингом на отдельных лиц в ЕС – она относится к таргетингу лиц за пределами ЕС, которая будет продолжаться независимо от того, остаются ли они за пределами ЕС или въезжают в Союз.
Пример 8. Австралийская компания предлагает услугу мобильных новостей и видеоконтента на основе предпочтений и интересов пользователей. Пользователи могут получать ежедневные или еженедельные обновления. Услуга предоставляется исключительно пользователям, находящимся в Австралии, которые должны указать австралийский номер телефона при подписке.
Австралийский подписчик сервиса отправляется в отпуск в Германию и продолжает пользоваться данной услугой.
Несмотря на то, что австралийский подписчик будет использовать эту услугу, находясь в ЕС, она не предназначена для отдельных лиц в Союзе, а предназначена только для физических лиц в Австралии, поэтому обработка личных данных австралийской компанией не входит в сферу действия GDPR.
Пример 9: Стартап, созданный в США, без какого-либо делового присутствия или организационной единицы в ЕС, предоставляет туристам картографическое приложение. Приложение обрабатывает персональные данные о местонахождении клиентов, использующих приложение (субъекты данных), как только они начинают использовать приложение в городе, который они посещают, чтобы предложить целевую рекламу мест для посещения, ресторанов, баров и отелей. Приложение доступно для туристов, когда они посещают Нью-Йорк, Сан-Франциско, Торонто, Париж и Рим.
Американский стартап через свое приложение для картографирования городов осуществляет точечный таргетинг на людей в Союзе (а именно в Париже и Риме), предлагая им свои услуги, когда они находятся в Союзе. Обработка персональных данных субъектов данных, находящихся в ЕС, в связи с предложением услуги входит в сферу применения GDPR согласно статье 3(2)a. Кроме того, посредством обработки данных о местонахождении субъектов для предоставления целевой рекламы на основе их местоположения, осуществляемые обработки также связаны с мониторингом поведения отдельных лиц в Союзе. Таким образом, осуществляемые стартапом обработки также попадают под действие GDPR согласно Статье 3(2)b.
EDPB подчеркивает, что сам факт обработки персональных данных отдельного лица в Союзе недостаточен для того, чтобы повлечь применение GDPR для обработок контролера или процессора, не имеющих организационной единицы в Союзе. Элемент «таргетинга» на отдельных лиц в ЕС посредством предложения им товаров или услуг либо отслеживания их поведения (как будет разъяснено ниже), всегда должен присутствовать дополнительно.
Пример 10. Гражданин США путешествует по Европе во время отпуска. Находясь в Европе, он загружает и использует новостное приложение, предлагаемое американской компанией. Приложение предназначено исключительно для рынка США, что подтверждается условиями использования приложения и указанием доллара США в качестве единственной валюты, доступной для оплаты. Сбор личных данных американского туриста через приложение, осуществляемый компанией из США, не попадает под действие GDPR.
Кроме того, следует отметить, что обработка персональных данных граждан или резидентов ЕС, которая происходит в третьей стране, не влечет применения GDPR, если обработка не связана с конкретным предложением, адресованным отдельным лицам в ЕС или для мониторинга их поведения в Союзе.
Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть – любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».
[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.
В статье 3(2)(а) указывается, что критерий таргетинга, касающийся предложения товаров или услуг, применяется независимо от того, требуется ли платеж от субъекта данных. Поэтому вопрос о том, следует ли рассматривать деятельность контролера или процессора, не имеющих организационной единицы в Союзе, как предложение товара или услуги, не зависит от того, произведен ли платеж в обмен на предоставленные товары или услуги [24].
[24] См., в частности, CJEU, C-352/85, Bond van Adverteerders and Others vs. The Netherlands State, 26 апреля 1988 г., пар. 16) и CJEU, C-109/92, Wirth [1993] Racc. I-6447, пар. 15.
Пример 13: Американская компания без какой-либо организационной идиницы в ЕС обрабатывает персональные данные своих сотрудников, которые находились во временной командировке во Франции, Бельгии и Нидерландах в целях управления персоналом, в частности, чтобы возместить свои расходы на проживание и выплата их суточных, которые варьируются в зависимости от страны, в которой они находятся.
В этой ситуации, хотя процесс обработки непосредственно связан с лицами на территории Союза (то есть с работниками, временно находящимися во Франции, Бельгии и Нидерландах), он не связан с предложением услуг этим лицам, а скорее является частью обработки, необходимой работодателю для выполнения его договорных обязательств и кадровых обязанностей, связанных с работой по найму. Деятельность по обработке не относится к предложению услуг и, следовательно, не подпадает под положения GDPR согласно Статье 3(2)a.
Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».
В последующих пунктах говорится, что «тогда как простая доступность веб-сайта контролера, процессора или посредника в Союзе, адреса электронной почты или других контактных данных, или использование языка, обычно используемого в третьей стране, где контролер создан, недостаточно для выяснения такого намерения; такие факторы, как использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказа товаров и услуг на этом другом языке, или упоминание клиентов или пользователей которые находятся в Союзе, позволяют понять, что контролер предусматривает предложение товаров или услуг субъектам данных в Союзе».
Элементы, перечисленные в пункте 23 декларативной части, повторяют и соответствуют прецедентному праву CJEU, основанному на Постановлении Совета 44/2001 [25] о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам, и, в частности, статьи 15(1)(с). В деле Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (объединенные дела C-585/08 и C-144/09) Суду было предложено разъяснить, что означает «прямая деятельность» по смыслу статьи 15(1)(c) Регламента 44/2001 (Brussels I). CJEU постановил, что для того, чтобы определить, можно ли считать, что трейдер «направляет» свою деятельность в государство-член по месту жительства потребителя, по смыслу статьи 15(1)(c) Brussels I, трейдер должен проявить намерение установить коммерческие отношения с такими потребителями. В этом контексте CJEU рассмотрел доказательства, демонстрирующие, что трейдер намеревался вести бизнес с потребителями, проживающими в государстве-члене.
[25] Постановление Совета (ЕС) № 44/2001 от 22 декабря 2000 года о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам.
Хотя понятие «направление деятельности» отличается от «предложения товаров или услуг», EDPB считает, что прецедентное право, а именно Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (Объединенные дела C-585/08 и C -144/09) [26] может оказаться полезным при рассмотрении вопроса о том, предлагаются ли товары или услуги субъекту данных в Союзе. Принимая во внимание конкретные обстоятельства дела, можно, среди прочего, учитывать следующие факторы, возможно, в сочетании друг с другом:
[26] Это тем более имеет отношение, потому что в соответствии со статьей 6 Регламента (ЕС) № 593/2008 Европейского парламента и Совета от 17 июня 2008 года о праве, применимом к договорным обязательствам (Рим I), при отсутствии выбора права критерий «направления деятельности» в страну обычного проживания потребителя принимается во внимание, чтобы выбрать закон обычного проживания потребителя в качестве права, применимого к договору.
– ЕС или, по крайней мере, одно государство-член обозначено по имени со ссылкой на предлагаемый товар или услугу;
– Контролер данных или процессор платят оператору поисковой системы за службу интернет-ссылок, чтобы облегчить доступ к сайту для потребителей в Союзе; или контролер или процессор начали маркетинговые и рекламные компании, направленные на аудиторию стран ЕС
– международный характер рассматриваемой деятельности, такой как определенные виды туристической деятельности;
– использование доменного имени верхнего уровня, отличного от имени третьей страны, в которой установлен контролер или процессор, например «.de», или использование нейтральных доменных имен верхнего уровня, таких как «.eu»;
– описание инструкций по поездке из одного или нескольких других государств-членов ЕС в место, где предоставляется услуга;
– упоминание международной клиентуры, состоящей из клиентов, проживающих в различных государствах-членах ЕС, в частности, путем представления аккаунтов, созданных такими клиентами;
– использование языка или валюты, отличной от той, которая обычно используется в стране трейдера, особенно языка или валюты одной или нескольких стран-членов ЕС;
Как уже упоминалось, некоторые из перечисленных выше элементов, если они взяты по отдельности, могут не являться четким указанием на намерение контролера данных предлагать товары или услуги субъектам данных в Союзе, однако каждый из них должен учитываться в любом фактическом анализе, чтобы определить, может ли совокупность факторов, относящихся к коммерческой деятельности контролера данных, рассматриваться вместе как предложение товаров или услуг, адресованное субъектам данных в Союзе.
Однако важно напомнить, что пункт 23 декларативной части подтверждает, что простая доступность веб-сайта контролера, процессора или посредника в Союзе, упоминание на веб-сайте его адреса электронной почты или географического адреса, или его телефонного номера без международного кода само по себе не представляет достаточных доказательств, чтобы продемонстрировать намерение контролера или процессора предложить товары или услуги субъекту данных, расположенному в Союзе. В этом контексте EDPB напоминает, что когда товары или услуги непреднамеренно или случайно предоставляются лицу на территории Союза, соответствующая обработка персональных данных не попадает в территориальные рамки GDPR.
Пример 14. Веб-сайт, расположенный и администрируемый в Турции, предлагает услуги по созданию, редактированию, печати и доставке персонализированных фотоальбомов семейных фотографий. Сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию.
В этом случае становится очевидным, что создание, редактирование и печать персонализированных фотоальбомов для семьи составляют услугу по смыслу законодательства ЕС. Тот факт, что веб-сайт доступен на четырех языках ЕС и что фотоальбомы могут быть доставлены по почте в шесть государств-членов ЕС, демонстрирует намерение турецкого веб-сайта предлагать свои услуги отдельным лицам в Союзе.
Как следствие, ясно, что обработка, выполняемая турецким веб-сайтом в качестве контролера данных, относится к предложению услуги субъектам данных в Союзе и поэтому подчиняется обязательствам и положениям GDPR согласно его статья 3(2)(а).
Пример 15: Частная компания, базирующаяся в Монако, обрабатывает персональные данные своих сотрудников в целях выплаты заработной платы. Большое количество сотрудников компании являются резидентами Франции и Италии.
В этом случае, хотя обработка, выполняемая компанией, относится к субъектам данных во Франции и Италии, она не происходит в контексте предложения товаров или услуг. Действительно, управление человеческими ресурсами, включая выплату заработной платы компанией из третьей страны, не может рассматриваться как предложение услуг по смыслу статьи 3(2)a. Данная обработка не относится к предложению товаров или услуг субъектам данных в Союзе (ни к мониторингу поведения) и, как следствие, не подпадает под положения GDPR по смыслу статьи 3.
Пример 16. Швейцарский университет в Цюрихе начинает процесс отбора на получение степени магистра, предоставив онлайн-платформу, где кандидаты могут загрузить свое резюме и сопроводительное письмо, а также свои контактные данные. Процесс отбора открыт для любого студента с достаточным уровнем немецкого и английского языков, имеющего степень бакалавра. Университет специально не таргетирует рекламу на студентов в университетах ЕС, а принимает оплату только в швейцарской валюте.
Поскольку нет никаких отличий или спецификаций для студентов из Союза в процессе подачи заявок и отбора для получения этой степени магистра, нельзя установить, что Швейцарский университет намерен осуществлять таргетинг на студентов из определенных стран-членов ЕС. Достаточный уровень немецкого и английского является общим требованием, которое применяется к любому заявителю, будь то резидент Швейцарии, лицо в Союзе или студент из третьей страны. Без других факторов, указывающих на конкретную целевую аудиторию студентов в государствах-членах ЕС, поэтому невозможно установить, что рассматриваемая обработка относится к предложению образовательных услуг субъекту данных в Союзе, и поэтому такая обработка не будет подпадать под положения GDPR.
Швейцарский университет также предлагает летние курсы по международным отношениям и специально рекламирует это предложение в немецких и австрийских университетах, чтобы максимизировать посещаемость курсов. В этом случае у Швейцарского университета есть четкое намерение предложить такую услугу субъектам данных, которые находятся в Союзе, и GDPR будет применяться к соответствующим обработкам.
Вторым видом деятельности, влекущим применение Статьи 3(2), является мониторинг поведения субъектов данных в отношении их поведения в рамках Союза.
Пункт 24 декларативной части разъясняет, что «обработка персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не имеющими организационной единицы в Союзе, также должна подпадать под действие настоящего Регламента, если она связана с мониторингом поведение таких субъектов данных в Союзе».
Для того, чтобы статья 3(2)(b) повлекла применение GDPR, отслеживаемое поведение должно сначала относиться к субъекту данных в Союзе, и, как совокупный критерий, отслеживаемое поведение должно иметь место на территории Союза.
Характер процесса обработки, который можно рассматривать как поведенческий мониторинг, дополнительно описан в пункте 24 декларативной части, в котором говорится, что «для того чтобы определить, можно ли рассматривать обработку в качестве мониторинга поведения субъектов данных, следует определить, отслеживаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, которые включают в себя профилирование физического лица, особенно для принятия решений, касающихся его или ее или для анализа или прогнозирования ее или его личных предпочтений, поведения и отношений». В то время как пункт 24 декларативной части относится исключительно к мониторингу поведения посредством отслеживания человека в Интернете, EDPB считает, что отслеживание через другие типы сетей или технологий, включающих обработку персональных данных, также должно приниматься во внимание при определении того, составляет ли обработка мониторинг поведения, например, через портативные и другие умные устройства.
В отличие от положения Статьи 3(2)(а), ни Статья 3(2)(b), ни пункт 24 декларативной части явно не вводят необходимую степень «намерения таргетировать» со стороны контролера данных или процессора, чтобы определить, может ли деятельность по мониторингу повлечь применение GDPR к обработкам. Тем не менее использование слова «мониторинг» подразумевает, что контролер имеет конкретную цель для сбора и последующего повторного использования соответствующих данных о поведении человека в ЕС. EDPB не считает, что любой онлайн-сбор или анализ личных данных отдельных лиц в ЕС автоматически будет считаться «мониторингом». Необходимо будет рассмотреть цели контролера для обработки данных и, в частности, любые последующие методы поведенческого анализа или профилирования с использованием этих данных. EDPB учитывает формулировку пункта 24 декларативной части, которая указывает на то, что для определения того, включает ли обработка мониторинг поведения субъекта данных, ключевым фактором является отслеживание физических лиц в Интернете, включая потенциальное последующее использование методов профилирования.
Применение статьи 3(2)(b), когда контролер данных или процессор контролируют поведение субъектов данных, находящихся в Союзе, может, таким образом, охватывать широкий спектр мероприятий по мониторингу, включая, в частности:
– Онлайн отслеживание с помощью файлов cookie или других методов отслеживания, таких как дактилоскопия
Пример 17: Консалтинговая компания розничной торговли, созданная в США, предоставляет консультации по планировке розничной торговли в торговом центре во Франции на основе анализа перемещений клиентов по всему центру, собранных с помощью отслеживания Wi-Fi.
Анализ перемещений клиентов внутри центра с помощью отслеживания Wi-Fi будет означать мониторинг поведения людей. В этом случае поведение субъектов данных происходит в Союзе, поскольку торговый центр находится во Франции. Таким образом, консалтинговая компания в качестве контролера данных подчиняется GDPR в отношении обработки этих данных для этой цели в соответствии со статьей 3(2)(b).
Пример 18: Разработчик приложений, созданный в Канаде и не имеющий организационной единицы в Союзе, осуществляет мониторинг поведения субъекта данных в Союзе и, следовательно, подчиняется GDPR согласно Статье 3(2)b. Разработчик использует процессор, созданный в США, для оптимизации и обслуживания приложений.
Обработка персональных данных, «связанная» с целевой деятельностью, которая повлекла применение Статьи 3(2), подпадает под территориальную сферу действия GDPR. EDPB считает, что между обработкой и предложением товара или услуги должна быть связь, но обработка как контроллером, так и процессором имеет важное значение и должна быть принята во внимание.
Когда речь идет о процессоре, не имеющем организационной единицы в Союзе, для того чтобы определить, может ли осуществляемая им обработка подпадать под действие GDPR в соответствии со статьей 3(2), необходимо выяснить, относятся ли действия по обработке, выполняемые процессором, к таргетинговой деятельности контроллера.
EDPB считает, что в тех случаях, когда действия по обработке, выполняемые контролером, относятся к предложению товаров или услуг или к мониторингу поведения отдельных лиц в Союзе («таргетинг»), любой процессор, которому поручено выполнять эту обработку по поручению контролера, будет подпадать под действие GDPR в силу статьи 3(2) в отношении этой обработки.
«Таргетинговый» характер обработки связан с ее целями и средствами; Решение о таргетинге на отдельных лиц в Союзе может быть принято только лицом, действующим в качестве контролера. Такая интерпретация не исключает возможности того, что процессор может принимать активное участие в процессах обработки, связанных с выполнением критериев таргетинга (т.е. процессор предлагает товары или услуги или выполняет действия по контролю от имени и по поручению контролера).
Поэтому EDPB считает, что основное внимание следует уделять связи между обработками, выполняемыми процессором, и действиями по таргетингу, выполняемыми контролером данных.
Пример 19: Бразильская компания продает пищевые ингредиенты и местные рецепты онлайн, делая это предложение о товаре доступным для людей в Союзе, рекламируя эти продукты и предлагая доставку во Францию, Испанию и Португалию. В этом контексте компания дает указание процессору данных, также созданному в Бразилии, разрабатывать специальные предложения для клиентов во Франции, Испании и Португалии на основе их предыдущих заказов и выполнять соответствующую обработку данных.
Обработки, осуществляемые процессором по указанию контролера данных, связаны с предложением товара субъекту данных в Союзе. Кроме того, разрабатывая эти индивидуальные предложения, процессор осуществляет непосредственный мониторинг субъектов данных в ЕС. Обработка осуществляется процессором, следовательно, подпадает под GDPR согласно Статье 3(2).
Пример 20. Американская компания разработала приложение для здоровья и здорового образа жизни, позволяющее пользователям оставлять в американской компании свои личные данные (время сна, вес, артериальное давление, сердцебиение и т. Д.). Затем приложение ежедневно предоставляет пользователям рекомендации по еде и спорту. Обработка осуществляется контролером данных в США. Приложение доступно и используется лицами в Союзе. Для хранения данных американская компания использует процессор, установленный в США (поставщик облачных услуг).
В той мере, в какой американская компания отслеживает поведение отдельных лиц в ЕС при работе с приложением «Здоровье и здоровый образ жизни», она будет «нацеливаться» на отдельных лиц в ЕС, и ее обработка личных данных отдельных лиц в ЕС будет подпадать под действие GDPR в силу ст. 3(2).
Выполняя обработку по поручению и от имени американской компании, поставщик/процессор осуществляет обработку, «связанную» с таргетингом отдельных лиц в ЕС, который осуществляется контролером. Эта обработка, осуществляемая процессором от имени его контролера, подпадает под действие GDPR согласно ст. 3(2).
Пример 21: Турецкая компания предлагает туристические поездки по Ближнему Востоку с гидами на английском, французском и испанском языках. Поездки на путевки особенно рекламируются и предлагаются через веб-сайт на трех языках, что позволяет осуществлять онлайн-бронирование и оплату в евро и фунтах стерлингов. В маркетинговых и коммерческих целях компания дает указание процессору, созданному в Тунисе контактному центру для связи с бывшими клиентами в Ирландии, Франции, Бельгии и Испании с целью получения отзывов об их предыдущих поездках и информирования их о новых предложениях и направлениях. , Контролер осуществляет «таргетинг», предлагая свои услуги отдельным лицам в ЕС, и его обработка подпадает под действие Статьи 3(2).
Обработка тунисским процессором, в связи с которой продвигаются услуги контролеров для отдельных лиц в ЕС, также связана с предложением услуг контролером и, следовательно, подпадает под действие статьи 3(2). Кроме того, в этом конкретном случае тунисский процессор активно участвует в осуществлении обработки, связанной с выполнением критериев таргетинга, предлагая услуги от имени и по указанию турецкого контролера.
EDPB также проведет дальнейшую оценку взаимодействия между применением территориальной сферы действия GDPR согласно Статье 3 и положений о трансграничной передаче данных согласно Главе V. В этом случае могут быть выпущены дополнительные указания, если это будет необходимо.
Контролеры или процессоры, не имеющие организационной единицы в ЕС, должны будут соблюдать национальные законы своих третьих стран в отношении обработки персональных данных. Однако в тех случаях, когда такая обработка связана с таргетинговым воздействием на отдельных лиц в Союзе в соответствии со статьей 3(2), контролер, помимо того, что подчиняется национальному законодательству своей страны, должен соблюдать GDPR. Это будет иметь место независимо от того, выполняется ли обработка в соответствии с юридическим обязательством в третьей стране или просто по усмотрению контролера.
Статья 3(3) предусматривает, что «Регламент применяется к обработке персональных данных контролером, не имеющем организационной единицы в Союзе, но в месте, где законодательство государств-членов применяется в силу международного публичного права». Это положение расширено в пункте 25 декларативной части, который гласит, что «когда законодательство государств-членов применяется в соответствии с международным публичным правом, этот Регламент должен также применяться к контролеру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве государства-члена или консульском учреждении».
Поэтому EDPB считает, что GDPR применяется к обработке персональных данных, осуществляемой посольствами и консульствами государств-членов ЕС, расположенными за пределами ЕС, поскольку такая обработка подпадает под действие GDPR в силу статьи 3(3). На дипломатическую или консульскую должность государства-члена в качестве контролера или процессора данных будут распространяться все соответствующие положения GDPR, в том числе когда речь идет о правах субъекта данных, общих обязательствах, касающихся контролера и процессора, а также передачи личных данных третьим странам или международным организациям.
Пример 22: Консульство Нидерландов в Кингстоне, Ямайка, открывает онлайн-заявку на наем местного персонала для поддержки своей администрации.
Хотя консульство Нидерландов в Кингстоне, Ямайка, не создано в Союзе, тот факт, что оно является консульским учреждением страны ЕС, где законодательство государств-членов применяется на основании международного публичного права, делает GDPR применимым к обработке персональных данных в силу статьи 3(3).
Пример 23. Немецкий круизный лайнер, путешествующий в международных водах, обрабатывает данные о гостях на борту с целью адаптации предложения развлекательных круизов. Хотя судно находится за пределами Союза в международных водах, тот факт, что оно является зарегистрированным в Германии круизным судном, означает, что в соответствии с международным публичным правом GDPR должен применяться к обработке персональных данных в соответствии со статьей 3(3).
Хотя это и не связано с применением статьи 3(3), другая ситуация – это ситуация, когда в силу международного права определенные образования, органы или организации, созданные в Союзе, пользуются привилегиями и иммунитетами, такими как те, которые установлены в Венской Конвенции о дипломатических сношениях 1961 года [27], Венской конвенции о консульских сношениях 1963 года или соглашениях о штаб-квартирах, заключенных между международными организациями и их принимающими странами в Союзе. В этой связи EDPB напоминает, что применение GDPR не наносит ущерба положениям международного права, таким как положения, регулирующие привилегии и иммунитеты дипломатических представительств и консульских учреждений, не входящих в ЕС, а также международных организаций. В то же время важно напомнить, что любой контролер или процессор, подпадающий под действие GDPR для данного вида обработки и обменивающий персональные данные с такими организациями, органами и организациями, должен соблюдать GDPR, в том числе, где это применимо, правила о передаче в третьи страны или международные организации.
Контролеры или процессоры данных, подпадающие под действие GDPR в соответствии со статьей 3(2), обязаны назначить представителя в Союзе. Контролер или процессор, не имеющие организационной единицы в Союзе, но подпадающие под действие GDPR, которые не назначили представителя в Союзе, будут считаться в силу этого нарушителями Регламента.
Это положение не является целиком и полностью новым, поскольку Директива 95/46/EC уже предусматривает аналогичное обязательство. В соответствии с Директивой это положение касалось контролеров, не имеющих организационной единицы на территории Сообщества, которые для целей обработки персональных данных использовали оборудование, автоматизированное или иное, расположенное на территории государства-члена. GDPR налагает обязательство назначать представителя в Союзе для любого контролера или процессора, подпадающего под сферу действия Статьи 3(2), если они не соответствуют критериям Статьи 27(2), исключающим такую обязанность. Чтобы облегчить применение этого конкретного положения, EDPB считает необходимым предоставить дальнейшие указания относительно процесса назначения, обязанностей по учреждению и обязанностей представителя в Союзе в соответствии со Статьей 27.
Стоит отметить, что контролер или процессор, не имеющие организационной единицы в Союзе, который в письменной форме назначил представителя в Союзе в соответствии со статьей 27 GDPR, не подпадает под действие статьи 3(1), что означает, что присутствие представителя в Союзе не является «организационной единицей» контролера или процессора в силу статьи 3(1).
Пункт 80 декларативной части разъясняет, что «представитель должен быть явно назначен письменным мандатом контролера или процессора, чтобы действовать от его имени в отношении его обязательств по настоящему Регламенту. Назначение такого представителя не влияет на обязанности или ответственность контролера или процессора в соответствии с настоящим Регламентом. Такой представитель должен выполнять свои задачи в соответствии с мандатом, полученным от контролера или процессора, включая сотрудничество с компетентными надзорными органами в отношении любых действий, предпринимаемых для обеспечения соблюдения настоящего Регламента».
Таким образом, письменный мандат, упомянутый в пункте 80 декларативной части, должен регулировать отношения и обязательства между представителем в Союзе и контроллером или процессором данных, имеющими организационную единицу за пределами Союза, не затрагивая при этом обязанности или ответственность контролера или процессора. Представителем в Союзе может быть физическое или юридическое лицо, имеющее организационную единицу в Союзе, способное представлять контролера или процессора данных, созданных за пределами Союза, относящихся к их обязательствам по GDPR.
На практике функция представительства в Союзе может осуществляться на основании договора об оказании услуг, заключенного с физическим или юридическим лицом, и поэтому может быть оказана широким кругом коммерческих и некоммерческих организаций, таких как юридические фирмы, консалтинговые компании, частные компании и т.д. при условии, что такие организации создаются в Союзе. Один представитель также может действовать от имени нескольких не входящих в ЕС контролеров и процессоров.
Когда функцию представителя осуществляется компанией или любым другим типом организации, рекомендуется назначить одного человека в качестве ведущего контакта и ответственного лица для каждого представляемого контролера или процессора. Было бы также полезно указать эти пункты в договоре на обслуживание.
В соответствии с GDPR, EDPB подтверждает, что, когда несколько видов деятельности контроллера или процессор подпадают под действие Статьи 3(2) GDPR (и не применяется ни одно из исключений из Статьи 27(2) GDPR), контролер или процессор не обязаны назначать нескольких представителей для каждого отдельного вида обработки, подпадающего под сферу действия статьи 3(2). EDPB не считает функцию представителя в Союзе совместимой с ролью внешнего сотрудника по защите данных («DPO»), которая будет создана в Союзе. Статья 38(3) устанавливает некоторые основные гарантии, помогающие убедиться, что DPO могут выполнять свои задачи с достаточной степенью автономии в рамках своей организации. В частности, контролеры или процессоры обязаны обеспечить условия, в которых DPO «не получает никаких инструкций относительно выполнения [его или ее] задач». Пункт 97 декларативной части добавляет, что DPO, «независимо от того, являются ли они сотрудниками контролера, должны иметь возможность выполнять свои обязанности и задачи независимым образом» [28]. Такое требование о достаточной степени автономии и независимости сотрудника по защите данных, по-видимому, не совместимо с функцией представителя в Союзе. Представитель действительно подчиняется мандату контролера или процессора и будет действовать от его имени и, следовательно, по его прямому указанию [29]. Представитель уполномочен контролером или процессором, которого он представляет, и, следовательно, действует от его имени при выполнении своей задачи, и такая роль не может быть совместима с выполнением обязанностей и задач сотрудника по защите данных независимым образом.
[29] Внешний DPO, также выступающий в качестве представителя в Союзе, не должен оказаться в ситуации, когда, например, ему как представителю поручено сообщить субъекту данных решение или меру, принятые контролером или процессором, которые он или она как DPO посчитал несоответствующими положениям GDPR и которые рекомендовал не применять.
Кроме того, и в дополнение к своей интерпретации, EDPB повторяет позицию, поддерживаемую WP29, подчеркивая, что «конфликт интересов может также возникнуть, например, если внешнего инспектора по защите персональных данных попросят представлять контролера или процессора в судах в случаях, связанных с защитой персональных данных» [30].
[30] WP29 Руководство для инспекторов по защите персональных данных («DPO»), WP 243 rev.01 – одобрено EDPB.
Схожим образом, учитывая возможный конфликт обязательств и интересов в случаях исполнительного производства, EDPB не считает функцию представителя контролера данных в Союзе совместимой с ролью процессора данных для того же контролера данных, в частности, в случаях, когда это затрагивает выполнение соответствующих обязанностей.
Хотя GDPR не налагает на контролера данных или самого представителя никаких обязательств по уведомлению контролирующего органа о назначении представителя, EDPB напоминает, что в соответствии со статьями 13(1) a и 14(1)a, как часть своих информационных обязательств, контролеры должны предоставлять субъектам данных информацию о личности их представителя в Союзе. Эта информация, например, должна быть включена в [политику приватности] предварительную информацию, предоставляемую субъектам данных в момент сбора данных. Контролер, не имеющий организационной единицы в Союзе, но подпадающий под Статью 3(2) и не информирующий субъектов данных, которые находятся в Союзе, о личности его представителя, будет нарушать свои обязательства по прозрачности согласно GDPR. Кроме того, такая информация должна быть легко доступна для контролирующих органов, чтобы облегчить установление контакта в целях сотрудничества.
Пример 24. Веб-сайт, упомянутый в примере 12, расположенные в Турции и управляемый оттуда, предлагает услуги по созданию, изданию, печати и доставке персонализированных семейных фотоальбомов. Веб-сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро или стерлингах. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию. Этот веб-сайт подпадает под действие GDPR согласно статье 3(2)(а), и как контролер данных должен назначить представителя в Союзе.
Представитель должен быть создан в одном из государств-членов, где доступна предлагаемая им услуга, в данном случае во Франции, Бельгии, Нидерландах, Люксембурге или Германии. Имя и контактные данные контроллера данных и его представителя в Союзе должны быть частью доступны пользователям сразу после того, как они начнут пользоваться услугой, то есть с момента создания своего фотоальбома. Информация о представителе также должна быть доступна в политике приватности.
[31] Часть критериев и толкований, изложенных в G29 WP243 rev.1 (инспектор по защите персональных данных), одобренном EDPB, может использоваться в качестве основы для исключений из обязательства по назначению.
Хотя применение статьи 3(2) приводит к возникновению обязанности назначать представителя в Союзе для контролеров или процессоров, имеющими организационную единицу за пределами Союза, статья 27(2) предусматривает отступление от обязательного назначения представителя в Союзе в двух различных случаях:
• обработка является «случайной, не включает широкомасштабную обработку специальных категорий данных, как указано в статье 9(1), или обработку персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10», и такая обработка «вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, сферу и цели обработки».
В соответствии с позициями, занятыми ранее Рабочей группой по Статье 29, EPDB считает, что процесс обработки может рассматриваться как «случайный», только если он не выполняется регулярно и происходит вне обычного контекста деятельности контролера или процессора [32].
[32] WP29 об отступлениях от обязанности вести учет деятельности процессора в соответствии со статьей 30(5) GDPR.
Кроме того, хотя GDPR не определяет, что составляет широкомасштабную обработку, WP29 ранее рекомендовал в своих руководящих принципах WP243 об инспекторах по защите персональных данных (DPO) учитывать, в частности, следующие факторы при определении того, выполняется ли обработка в большом масштабе: число соответствующих субъектов данных – либо в виде конкретного числа, либо в виде доли от соответствующего населения; объем данных и/или диапазон различных обрабатываемых элементов данных; продолжительность или постоянство деятельности по обработке данных; географический масштаб деятельности по обработке данных [33].
[33] Руководство WP29 об инспекторах по защите персональных данных (DPO), принятое 13 декабря 2016 года, в последней редакции от 5 апреля 2017 года, WP 243 rev.01, одобрено EDPB.
Наконец, EDPB подчеркивает, что освобождение от обязательства по назначению согласно Статье 27 относится к обработке, которая «вряд ли приведет к риску для прав и свобод физических лиц» [34], таким образом, не ограничивая возможность освобождения от обработок, которые вряд ли приведут к высокому риску для прав и свобод субъектов данных. В соответствии с пунктом 75 декларативной части, при оценке риска для прав и свобод субъектов данных, следует учитывать как вероятность, так и серьезность риска.
Квалификация в качестве «государственного органа или представителя государственного органа» для организации, имеющей организационную единицу за пределами Союза, должна оцениваться надзорными органами фактически и в каждом конкретном случае [35]. EDPB отмечает, что, учитывая характер их функций и задач, случаи, когда государственный орган или его представитель в третьей стране будут предлагать товары или услуги субъекту данных в Союзе или будут контролировать их поведение, происходящее в рамках Союза, вероятнее всего, будут ограничены.
[35] GDPR не определяет, что представляет собой «государственный орган или представитель государственного органа». EDPB считает, что такое понятие должно быть определено национальным законодательством. Соответственно, к государственным органам и их представителям относятся национальные, региональные и местные органы власти, однако в соответствии с применимыми национальными законами эта концепция, как правило, также включает ряд других органов, регулируемых публичным правом.
Статья 27(3) предусматривает, что «представитель должен быть создан в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением им товаров или услуг, или чье поведение отслеживается». В тех случаях, когда значительная часть субъектов данных, чьи персональные данные обрабатываются, находятся в одном конкретном государстве-члене, EDPB рекомендует в качестве хорошей практики, чтобы у представителя была организацияонная единица в этом же государстве-члене. Тем не менее представитель должен оставаться легкодоступным для субъектов данных в государствах-членах, где он не представлен и где предоставляются услуги или товары или где осуществляется мониторинг поведения.
EDPB подтверждает, что критерием для создания представителя в Союзе является местонахождение субъектов данных, чьи персональные данные обрабатываются. Место обработки, даже процессором, имеющий организационную единицу в другом государстве-члене, не является важным фактором для определения местоположения представителя.
Пример 25. Индийская фармацевтическая компания, не имеющая ни делового присутствия, ни организационной единцы в Союзе, но подпадающая под GDPR в силу Статьи 3(2), спонсирует клинические испытания, проводимые исследователями (больницами) в Бельгии, Люксембурге и Нидерландах. Большинство пациентов, участвующих в клинических испытаниях, находятся в Бельгии.
Индийская фармацевтическая компания в качестве контролера данных должна назначить представителя в Союзе, а именно в одном из трех государств-членов, где пациенты в качестве субъектов данных участвуют в клиническом испытании (Бельгия, Люксембург или Нидерланды). Поскольку большинство пациентов являются бельгийскими резидентами, рекомендуется, чтобы представитель был установлен в Бельгии. В этом случае представитель в Бельгии должен быть легко доступен для субъектов данных и контролирующих органов в Нидерландах и Люксембурге.
В этом конкретном случае представитель в Союзе может быть законным представителем спонсора в Союзе в соответствии со статьей 74 Регламента (ЕС) 536/2014 о клинических испытаниях при условии, что он не выступает в качестве процессора данных от имени спонсора клинического испытания, что он создан в одном из трех государств-членов и что обе функции регулируются и выполняются в соответствии с каждым правовым режимом.
Представитель в Союзе действует от имени представляемых им контроллера или процессора в отношении их обязательств по GDPR. Это подразумевает, в частности, обязательства, связанные с осуществлением прав субъекта данных, и в этом отношении, как уже говорилось, личность и контактные данные представителя должны быть предоставлены субъектам данных в соответствии со статьями 13 и 14. Хотя сам он не несет ответственности за соблюдение прав субъектов данных, представитель должен содействовать обмену данными между субъектами данных и представленным контроллером или процессором, чтобы осуществление прав субъектов данных было эффективным.
В соответствии со статьей 30 представитель контроллера или процессора должен, в частности, вести учет операций по обработке данных под надзором контроллера или процессора. EDPB считает, что, хотя ведение этого учета является обязательством, налагаемым как на контролера или процессора, так и на представителя; контроллер или процессор, не имеющие организационной единицы Союзе, несут ответственность за основное содержимое и обновление данных учета и должны одновременно предоставлять своему представителю всю точную и обновленную информацию, чтобы данные учета также могли храниться и предоставляться представителем в любое время. В то же время представитель несет ответственность за возможность предоставить данные в соответствии со статьей 27, например при обращении в надзорный орган согласно ст. 27(4).
Как уточняется в пункте декларативной части 80, представитель должен также выполнять свои задачи в соответствии с мандатом, полученным от контролера или процессора, включая сотрудничество с компетентными надзорными органами в отношении любых действий, предпринимаемых для обеспечения соблюдения настоящего Регламента. На практике это означает, что надзорный орган будет связываться с представителем в связи с любым вопросом, касающимся соблюдения контролером или процессором, имеющими организационную единицу вне пределов Союза, обязательств, и представитель должен оказывать содействие в любом информационном или процедурном обмене между запрашивающим надзорным органом и контролером или процессором, которые имеют организационную единицу за пределами Союза.
В случае необходимости с помощью команды представитель в Союзе должен иметь возможность эффективно общаться с субъектами данных и сотрудничать с соответствующими надзорными органами. Это означает, что коммуникация должна осуществляться на языке или языках, используемых надзорными органами и соответствующими субъектами данных, или, если это приведет к непропорциональным усилиям, представитель должен использовать другие средства и методы для обеспечения эффективности общения. Поэтому наличие представителя необходимо для того, чтобы субъекты данных и контролирующие органы могли легко установить контакт с контролером или процессором, не входящим в ЕС. В соответствии с пунктом декларативной части 80 и Статьей 27(5), назначение представителя в Союзе не влияет на обязанности и ответственность контролера или процессора в рамках GDPR и не препятствует судебным искам, которые могут быть инициированы против контроллера или процессора. GDPR не устанавливает замещающую ответственность представителя вместо контролера или процессора, которых он представляет в Союзе.
Следует, однако, отметить, что концепция представителя была введена именно с целью облегчения связи и обеспечения эффективного применения GDPR в отношении контроллеров или процессоров, подпадающих под статью 3(2) GDPR. Существовало намерение разрешить надзорным органам возбуждать исполнительное производство через представителя, назначенного контролерами или процессорами, не имеющими организационной единицы в Союзе. Это включает в себя возможность для надзорных органов назначать представителю корректирующие меры или административные штрафы, пени и неустойки, налагаемые на контролера или процессора, которые не имеют организационной единицы в Союзе, в соответствии со статьями 58(2) и 83 GDPR. Возможность возложить на представителя прямую ответственность ограничивается его прямыми обязательствами, указанными в статьях 30 и статье 58(1) а GDPR.