Navigation
GDPR > Статья 2. Материальная сфера действия
Download PDF

Статья 2 GDPR. Материальная сфера действия

1. Данный Регламент применяется к обработке персональных данных, осуществляемой полностью или частично с помощью автоматизированных средств, а также к неавтоматизированной обработке персональных данных, формирующих часть системы данных либо предназначающихся, чтобы стать частью системы данных.

Expert commentary

This article limits the scope of the GDPR. The European legislators have decided not to burden the majority of the population with numerous rules in the household and private life. They removed from the Regulation the processes of processing that do not pose a big threat (not automated processing where personal data is not collected in the system).

The combination “automated means” covers primarily…

[…]


to read the full text

Author
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Guidelines & Case Law Recitals

(15) Для предотвращения риска обхождения норм, защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых технологий. Защита физических лиц должна применяться для обработки персональных данных автоматическими средствами, а также для обработки вручную, если персональные данные содержатся или предназначены для содержания в системе данных. Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под действие настоящего Регламента.

2. Настоящий Регламент не распространяются на обработку персональных данных:

a) в ходе деятельности за рамками сферы применения права Союза;

Recitals

(16) Настоящий Регламент не применяется к вопросам защиты фундаментальных прав и свобод человека или свободного движения персональных данных, в отношении деятельности, которая выходит за рамки права Союза, к примеру, деятельности, связанной со сферой национальной безопасности. Настоящий Регламент не распространяется на обработку персональных данных государствами-членами при осуществлении деятельности, связанной с общей внешней политикой и политикой безопасности Союза.

b) государствами-членами при осуществлении деятельности, подпадающей под сферу действия Главы 2 Раздела V Договора о Европейском союзе;

c) физическим лицом в рамках исключительно личной или бытовой деятельности;

Guidelines & Case Law Recitals

(18) Настоящий Регламент не применяется к обработке персональных данных физическим лицом при осуществлении сугубо личной или бытовой деятельности и, соответственно, не связанной с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и хранение адресов, или взаимодействие в социальных сетях и онлайн операции, осуществляемые в контексте такой деятельности. Однако настоящий Регламент распространяется на контролёров и процессоров, которые предоставляют средства для обработки персональных данных для такой личной или бытовой деятельности.

d) компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений, привлечения к ответственности или исполнения уголовных наказаний, в том числе в целях защиты от угроз общественной безопасности и предотвращения таких угроз.

Recitals

(19) Защита физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления или судебного рассмотрения уголовных преступлений, либо приведения в исполнение уголовных наказаний, включая обеспечение защиты и предотвращения угроз общественной безопасности, а также свободное движение таких данных, является предметом регулирования специального нормативного правового акта Союза. Соответственно, настоящий Регламент не применяется к обработке (данных) для таких целей. При этом, персональные данные, обрабатываемые государственными органами в соответствии с настоящим Регламентом, при их использовании в обозначенных целях, должны регулироваться более конкретным нормативным правовым актом Союза, а именно, Директивой (ЕС) 2016/680 Европейского Парламента и Совета [7]. Государства-члены могут поручить компетентным органам, в значении Директивы (ЕС) 2016/680, осуществление задач, которые не обязательно выполняются для целей предотвращения, расследования, выявления преступлений привлечения к ответственности или приведения в исполнение уголовных наказаний, включая обеспечение защиты общественной безопасности и предотвращение угроз общественной безопасности, так, чтобы обработка персональных данных для таких других целей попадала под действие настоящего Регламента, в той мере в какой она находится в рамках права Союза.

В отношении обработки персональных данных такими компетентными органами в целях, попадающих под действие настоящего Регламента, государства-члены должны обладать возможностью сохранять или принимать более конкретные нормы для применения положений настоящего Регламента. Такие нормы могут более точно определять конкретные требования к обработке персональных данных этими компетентными органами для таких других целей, принимая во внимание конституционное, организационное и административное устройство соответствующего государства-члена. Когда обработка персональных данных частными организациями попадает под действие настоящего Регламента, данный Регламент должен обеспечивать возможность для государств-членов, при наличии конкретных условий, ограничивать по закону осуществление отдельных обязанностей и прав, если такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе для защиты конкретных жизненных интересов, включая общественную безопасность, а также предупреждение, расследование, выявление уголовных преступлений, либо привлечение к ответственности или приведение в исполнение уголовных наказаний, в том числе защиту и предотвращение угроз общественной безопасности. Это имеет значение, к примеру, в рамках борьбы с отмыванием доходов или деятельности лабораторий судебной экспертизы.

[7] Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС от 27 апреля 2016 г о защите физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений или привлечения к ответственности, или приведения в исполнение уголовных наказаний, и о свободном движении таких данных и отмене Рамочного Решения 2008/977/ПВД Совета ЕС (см. стр. 89 настоящего Официального журнала Европейского союза).

3. К обработке персональных данных союзными институтами, органами, учреждениями и агентствами применяется Регламент (EC) № 45/2001. Регламент (EC) № 45/2001 и другие правовые акты Союза, применимые к такой обработке персональных данных, должны быть приведены в соответствие с принципами и правилами настоящего Регламента согласно статье 98.

Recitals

(17) Регламент (ЕС) № 45/2001 Европейского Парламента и Совета [6] применяется к обработке персональных данных учреждениями, органами, организациями и агентствами ЕС. Регламент (ЕС) № 45/2001 И иные нормативные правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и нормам, предусмотренным настоящим Регламентом и применяться в соответствии с настоящим Регламентом. Для обеспечения чёткой и согласованной защиты данных в рамках Союза, после принятия настоящего Регламента, необходимо внести изменения в Регламент (EC) № 45/2001, для того чтобы обеспечить возможность его применения наряду с настоящим Регламентом.

[6] Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц при обработке персональных данных, осуществляемой институтами и органами Сообщества и о свободном обращении таких данных (Официальный журнал Европейского союза N L 8, 12.01.2001, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(172) В соответствии со статьей 28(2) Регламента (ЕС) № 45/2001 была проведена консультация с Европейским инспектором по защите данных, и 7 марта 2012 г. он дал свое заключение [17].

[17] Официальный журнал Европейского союза N C 192, 30.06.2012, стр. 7. https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:C:2012:192:TOC

4. Настоящий Регламент не отменяет действия Директивы 2000/31 /ЕС, в частности, действия правил об ответственности поставщиков посреднических услуг, изложенных в статьях 12-15 этой Директивы.

Recitals

(21) Настоящий Регламент действует без ущерба для применения Директивы 2000/31/ЕС Европейского Парламента и Совета [8], в частности, правил об ответственности поставщиков посреднических услуг, изложенных в статьях 12-15 Директивы. Данная Директива направлена на содействие надлежащему функционированию внутреннего рынка путём обеспечения свободного движения услуг информационного общества среди государств-членов.

[8] Директива 2000/31/EC Европейского Парламента и Совета ЕС от 8 июня 2000 г. о некоторых правовых аспектах информационных услуг на внутреннем рынке, в частности, об электронной коммерции (Директива об электронной коммерции) (Официальный журнал Европейского союза N L 178, 17.07.2000, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

Expert commentary Recitals Guidelines & Case Law Leave a comment
Expert commentary

Article 2 of the GDPR limits its scope and excludes many common situations from the obligation to comply with the law. European legislators decided not to impose numerous rules on most individuals within their household and private lives. They excluded …

[…]


to read the full text

Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Recitals

(14) Защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных юридических лиц и, в частности, на предприятия, созданные как юридические лица, включая наименование и организационно-правовую форму юридического лица, а также и реквизиты юридического лица.

(15) Для предотвращения риска обхождения норм, защита физических лиц должна быть технологически нейтральной и не должна зависеть от используемых технологий. Защита физических лиц должна применяться для обработки персональных данных автоматическими средствами, а также для обработки вручную, если персональные данные содержатся или предназначены для содержания в системе данных. Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии со специальными критериями, не должны подпадать под действие настоящего Регламента.

(16) Настоящий Регламент не применяется к вопросам защиты фундаментальных прав и свобод человека или свободного движения персональных данных, в отношении деятельности, которая выходит за рамки права Союза, к примеру, деятельности, связанной со сферой национальной безопасности. Настоящий Регламент не распространяется на обработку персональных данных государствами-членами при осуществлении деятельности, связанной с общей внешней политикой и политикой безопасности Союза.

(17) Регламент (ЕС) № 45/2001 Европейского Парламента и Совета [6] применяется к обработке персональных данных учреждениями, органами, организациями и агентствами ЕС. Регламент (ЕС) № 45/2001 И иные нормативные правовые акты Союза, применимые к такой обработке персональных данных, должны быть адаптированы к принципам и нормам, предусмотренным настоящим Регламентом и применяться в соответствии с настоящим Регламентом. Для обеспечения чёткой и согласованной защиты данных в рамках Союза, после принятия настоящего Регламента, необходимо внести изменения в Регламент (EC) № 45/2001, для того чтобы обеспечить возможность его применения наряду с настоящим Регламентом.

[6] Регламент (ЕС) 45/2001 Европейского Парламента и Совета ЕС от 18 декабря 2000 г. о защите физических лиц при обработке персональных данных, осуществляемой институтами и органами Сообщества и о свободном обращении таких данных (Официальный журнал Европейского союза N L 8, 12.01.2001, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2001:008:TOC

(18) Настоящий Регламент не применяется к обработке персональных данных физическим лицом при осуществлении сугубо личной или бытовой деятельности и, соответственно, не связанной с профессиональной или коммерческой деятельностью. Личная или бытовая деятельность может включать переписку и хранение адресов, или взаимодействие в социальных сетях и онлайн операции, осуществляемые в контексте такой деятельности. Однако настоящий Регламент распространяется на контролёров и процессоров, которые предоставляют средства для обработки персональных данных для такой личной или бытовой деятельности.

(19) Защита физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления или судебного рассмотрения уголовных преступлений, либо приведения в исполнение уголовных наказаний, включая обеспечение защиты и предотвращения угроз общественной безопасности, а также свободное движение таких данных, является предметом регулирования специального нормативного правового акта Союза. Соответственно, настоящий Регламент не применяется к обработке (данных) для таких целей. При этом, персональные данные, обрабатываемые государственными органами в соответствии с настоящим Регламентом, при их использовании в обозначенных целях, должны регулироваться более конкретным нормативным правовым актом Союза, а именно, Директивой (ЕС) 2016/680 Европейского Парламента и Совета [7]. Государства-члены могут поручить компетентным органам, в значении Директивы (ЕС) 2016/680, осуществление задач, которые не обязательно выполняются для целей предотвращения, расследования, выявления преступлений привлечения к ответственности или приведения в исполнение уголовных наказаний, включая обеспечение защиты общественной безопасности и предотвращение угроз общественной безопасности, так, чтобы обработка персональных данных для таких других целей попадала под действие настоящего Регламента, в той мере в какой она находится в рамках права Союза.

В отношении обработки персональных данных такими компетентными органами в целях, попадающих под действие настоящего Регламента, государства-члены должны обладать возможностью сохранять или принимать более конкретные нормы для применения положений настоящего Регламента. Такие нормы могут более точно определять конкретные требования к обработке персональных данных этими компетентными органами для таких других целей, принимая во внимание конституционное, организационное и административное устройство соответствующего государства-члена. Когда обработка персональных данных частными организациями попадает под действие настоящего Регламента, данный Регламент должен обеспечивать возможность для государств-членов, при наличии конкретных условий, ограничивать по закону осуществление отдельных обязанностей и прав, если такое ограничение представляет собой необходимую и соразмерную меру в демократическом обществе для защиты конкретных жизненных интересов, включая общественную безопасность, а также предупреждение, расследование, выявление уголовных преступлений, либо привлечение к ответственности или приведение в исполнение уголовных наказаний, в том числе защиту и предотвращение угроз общественной безопасности. Это имеет значение, к примеру, в рамках борьбы с отмыванием доходов или деятельности лабораторий судебной экспертизы.

[7] Директива (ЕС) 2016/680 Европейского Парламента и Совета ЕС от 27 апреля 2016 г о защите физических лиц при обработке персональных данных компетентными органами в целях предупреждения, расследования, выявления уголовных преступлений или привлечения к ответственности, или приведения в исполнение уголовных наказаний, и о свободном движении таких данных и отмене Рамочного Решения 2008/977/ПВД Совета ЕС (см. стр. 89 настоящего Официального журнала Европейского союза).

(20) Исходя из того, что настоящий Регламент применяется, помимо всего прочего, к деятельности судов и других судебных органов, право Евросоюза или право государства-члена может определять порядок и процедуру применительно к обработке персональных данных судами и иными судебными органами. Компетенция надзорных органов не должна охватывать обработку персональных данных, для того, чтобы суды действовали в рамках своей судебной дееспособности, с тем, чтобы обеспечить независимость судебной власти при выполнении ею судебных задач, включая принятие решений. Должна быть предусмотрена возможность поручить надзор за такими операциями по обработке данных специально уполномоченным органам судебной системы государства-члена, которые должны, в частности, обеспечить соблюдение норм настоящего Регламента, повысить осведомлённость представителей судебных органов относительно их обязанностей в соответствии с настоящим Регламентом, а также рассматривать жалобы в отношении таких операций по обработке данных.

(21) Настоящий Регламент действует без ущерба для применения Директивы 2000/31/ЕС Европейского Парламента и Совета [8], в частности, правил об ответственности поставщиков посреднических услуг, изложенных в статьях 12-15 Директивы. Данная Директива направлена на содействие надлежащему функционированию внутреннего рынка путём обеспечения свободного движения услуг информационного общества среди государств-членов.

[8] Директива 2000/31/EC Европейского Парламента и Совета ЕС от 8 июня 2000 г. о некоторых правовых аспектах информационных услуг на внутреннем рынке, в частности, об электронной коммерции (Директива об электронной коммерции) (Официальный журнал Европейского союза N L 178, 17.07.2000, стр. 1). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2000:178:TOC

Guidelines & Case Law Leave a comment
[js-disqus]