Статья 3 GDPR. Территориальная сфера действия

[…]

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

[…]

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

[…]

Статья 10 GDPR. Обработка персональных данных, касающихся судимостей и правонарушений

Обработка персональных данных, касающихся судимостей и правонарушений или относящихся к ним мер по обеспечению безопасности на основании Статьи 6(1), должна осуществляться только под контролем официального органа или, если обработка разрешена правом Союза или государства-члена, которое предусматривает надлежащие гарантии для прав и свобод субъектов данных. Любой исчерпывающий реестр судимостей должен вестись только под контролем официального органа.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.1.3 «КРУПНЫЙ МАСШТАБ»

WP29 рекомендует учитывать следующие факторы для определения того, является ли обработка крупномасштабной:

• количество субъектов данных – точное количество либо доля численности населения соответствующего региона

• объем обрабатываемых данных или их элементов

• продолжительность или постоянство обработки персональных данных

• географический охват обработки.

Примерами крупномасштабной обработки являются, в частности:

• регулярная обработка данных пациента больницей

• обработка данных о путешествиях физических лиц посредством использования городской системы общественного транспорта (например, при помощи проездных билетов)

• обработка в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания, осуществляемая для статистических целей процессором, специализирующимся на оказании таких услуг

• обработка данных клиентов в рамках обычной деятельности страховой компании или банка

• обработка данных для целей поведенческой рекламы с помощью поисковой системы

• обработка данных (контент, трафик, местонахождение) поставщиком услуг телефонной связи и Интернет-услуг.

Крупномасштабная обработка данных отсутствует, в частности, в следующих случаях:

• обработка персональных данных, осуществляемая индивидуальным врачом

• обработка персональных данных, касающихся судимостей и правонарушений, осуществляемая индивидуальным адвокатом.

Руководство по инспекторам по защите персональных данных ( «DPOs»)

2.1.1 «ГОСУДАРСТВЕННЫЙ ОРГАН»

GDPR не дает определения термину «государственный орган». WP29 считает, что такое определение должно даваться на уровне национального законодательства. Соответственно, «государственный орган» обычно включает в себя национальные, региональные и местные органы власти, однако данный концепт, в зависимости от применимого национального законодательства, также включает в себя и другие органы, регулируемые публичным правом [12]. Для таких органов назначение DPO является обязательным.

_{[12] См., например, определения «орган государственного сектора» и «орган, регулируемый публичным правом» в статье 2(1) и (2) Директивы 2003/98/EC Европейского Парламента и Совета от 17 ноября 2003 года о повторном использовании информации государственного сектора (OJ L 345, 31.12.2003, стр. 90).}

Общественно важные задачи могут выполняться, а публичная власть – осуществляться [13] не только самими государственными органами, но и другими физическими или юридическими лицами, подпадающими под регулирование публичного или частного права. Например, в соответствии с национальным законодательством каждого государства-члена указанное имеет место в секторах общественного транспорта, водоснабжения, энергоснабжения, дорожной инфраструктуры, общественного телевидения, в публичных домах или дисциплинарных органах для регулируемых законодательством профессий.

_{[13] Статья 6(1)(е).}

Руководство по территориальной сфере действия GDPR (статья 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть – любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».