Navigation
GDPR > 제3조. 영토의 범위
Download PDF

제3조 GDPR. 영토의 범위

1. 본 규정은 유럽연합 역내의 컨트롤러 또는 프로세서의 사업장의 활동에 수반되는 개인정보의 처리에 적용되고, 이 때 해당 처리가 유럽연합 역내 또는 역외에서 이루어지는지 여부는 관계없다.

Guidelines & Case Law Recitals

(22) 유럽연합 역내의 컨트롤러 또는 프로세서의 사업장(establishment) 활동과 관련한 개인정보 처리는 본 규정에 따라야 하고, 그 처리 자체가 유럽연합 역내에서 발생하는지 여부는 상관없다. 사업장이라 함은 안정적인 방식을 통해 효과적이고 실제적인 활동을 행하는 것을 의미한다. 그 방식의 법적 형태는 법인격을 가진 지점 또는 자회사를 통한 것인지에 관계없이 그와 관련한 결정적인 요인이 아니다.

(14) 본 규정이 정하는 개인정보 보호는 국적이나 거주지에 상관없이 개인정보 처리와 관련된 개인에게 적용되어야 한다. 본 규정은 법인의 명칭과 형태 및 법인의 연락처 등 법인, 특히 법인으로 설립된 사업체와 관련된 개인정보의 처리는 다루지 않는다.

Related

2. 본 규정은 개인정보의 처리가 다음 각 호와 관련되는 경우, 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가 유럽연합 역내에 거주하는 정보주체의 개인정보를 처리할 때도 적용된다.

(a) 정보주체가 지불을 해야 하는지에 관계없이 유럽연합 역내의 정보주체에게 재화와 용역을 제공

Recitals

(23) 개인이 본 규정에 따른 보호를 받을 수 있도록 하기 위하여 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가 유럽연합 역내에 있는 정보주체의 개인정보를 처리할 때 그 처리 활동이 비용 지불과 연계되는지 여부에 관계없이 해당 정보주체에게 재화 또는 서비스를 제공하는 것과 관련되는 경우 본 규정의 적용을 받아야 한다. 그 컨트롤러 또는 프로세서가 유럽연합 역내의 정보주체에게 재화 또는 서비스를 제공하는지 여부를 결정하기 위하여 그들이 유럽연합 역내 하나 이상의 회원국의 정보주체에게 서비스를 제공할 계획이 있음이 분명한지 여부를 확인해야 한다. 단지 유럽연합 역내에서 컨트롤러, 프로세서 또는 중개인의 웹사이트에 접근할 수 있다거나 이메일 주소 또는 기타 연락처를 열람할 수 있다는 것, 또는 컨트롤러가 설립된 제3국에서 통용되는 언어가 사용되는 것만으로는 그 같은 의사를 확인하기에는 불충분하고, 하나 이상의 회원국에서 통용되는 언어나 통화를 사용하고 그 언어로 재화와 서비스를 주문할 수 있다거나 유럽연합 역내의 소비자나 이용자에 대해 언급하는 등의 요인은 컨트롤러가 유럽연합 내의 정보주체에게 재화나 서비스를 제공할 계획이 있음을 분명하게 해 줄 수 있다.

Related

(b) 유럽연합 역내에서 발생하는 정보주체의 행태를 모니터링

Recitals

(24) 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가, 유럽연합 역내에 있는 정보주체의 개인정보를 처리할 때 그 처리가 해당 컨트롤러 또는 프로세서가 역내에서 발생하는 정보주체의 행동을 모니터링 하는 것과 관련 있을 때 본 규정을 적용받아야 한다. 처리 활동이 정보주체의 행동을 감시하기 위한 것으로 간주될 수 있는지 여부를 결정하기 위해서는, 특히 개인에 관한 결정을 내리거나 개인의 선호, 행동 및 태도를 분석하거나 예측하기 위해 그 개인을 프로파일링 하는 등의 개인정보 처리기법을 추후에 사용할 수 있는 점을 포함, 개인이 인터넷상에서 추적이 되는지 여부가 확인되어야 한다.

Related

3. 본 규정은 유럽연합 역내에 설립되지 않았으나 국제 공법에 의해 회원국의 법률이 적용되는 장소에 설립된 정보주체가 개인정보를 처리하는 데 적용된다.

Recitals

(25) 회원국 법률이 국제공법으로 적용되는 경우, 본 규정은 회원국의 외교공관 또는 영사관 내의 컨트롤러 등 유럽연합 역외에 설립된 컨트롤러에게도 적용될 수 있다.

Expert commentary Recitals Guidelines & Case Law Leave a comment
Expert commentary

One of the most frequent questions asked is whether a company falls within the scope of the GDPR. It relates, among other things, to the definition of the European regulation’s territorial scope.

Here you can find a little self-assessment test:

Does the GDPR apply in these cases?

  1. A Russian mobile application processes the geolocation data of Russian and foreign nationals in the EU.
  2. A Belarusian dating site collects contact information from all its users. Americans and Europeans who come to Belarus and want to meet local women can also register on the site.
  3. An Italian chain has opened a new hotel in Kyiv, where both Europeans and citizens of other countries stay. Guests registration is carried out on the Italian site, and data are processed in the head office of the management company in Italy.
  4. An American training platform uses personal data to sell online courses around the world.
  5. EU nationals, who are on vacation in India, came to an Austrian airline’s local office in Mumbai to fly to Bali for a couple of days. For this purpose, their passport information and bank card data were collected, as well as the information that the passengers are vegetarians.
  6. EU users visit the site of a company from Rostov-on-Don 2-3 times a month and order flower deliveries in the city for their loved ones. The site is in Russian. Deliveries are only in Rostov. The currency of payment is the Russian ruble.

If you doubt the answers, go on reading and you will find the detailed analysis in the video lesson at the bottom of this article (in Russian).

Here are three cases, which show when it is necessary to observe the GDPR:

  1. When data are processed in the context of the activities of an establishment in the EU. In other words, if the office is physically located in any of the EU countries and the data are processed in that office, the GDPR applies. Thus, the correct answer to the third question concerning the Italian hotel is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, this paragraph does not apply only to a physical office or a registered legal entity. There are many other unobvious examples of what should be considered as the “context of the activities of an establishment”. We describe them in detail in the video.

  1. When the data subject is in the EU and the processing relates to the supply of goods and services. In this case, “data subject” does not refer only to European citizens, but also to people from other countries who are passing through, traveling, or staying temporary in Europe. At the same time, the goods and services do not necessarily have to be paid for. For example, a free mobile app that you have downloaded.

Therefore, if, for example, a Russian citizen, being in Latvia, has used a Russian mobile application, she or he is protected by the GDPR. So the correct answer to the first question is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, according to this paragraph, the GDPR also applies to other cases, which we have mentioned at the beginning of this article. For instance, in the second case, the Belarusian dating site provides a service to European citizens, as well as the American platform from the fourth case.

In comparison, in the fifth case concerning the purchase of tickets to Bali, the GDPR is not applicable, as these people have left the EU and are buying tickets in the office in India.

Do you know why in the sixth case concerning the flower delivery the GDPR does not apply, although the data of European citizens are processed? The reason is that the exception described in the recitals of the Regulation is based on a specific judicial precedent.

For more details on these recitals and court precedent, please see our video lesson.

  1. When you monitor behaviour within the EU. These situations are rare. And that rule does not apply to any of the cases from this article. More detailed information can be found in the video.

We hope that the information was helpful. Share it with your colleagues and make sure to see our detailed video lesson below in which you will find:

  • A detailed explanation of the diagram “the territorial scope of the GDPR”;
  • Explanation of articles, recitals, judicial precedents, and clarification by the supervisory authority;
  • Further examples and cases from practice;
  • Detailed case analysis from this article.

[…]


to read the full text

Author
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Recitals

(22) 유럽연합 역내의 컨트롤러 또는 프로세서의 사업장(establishment) 활동과 관련한 개인정보 처리는 본 규정에 따라야 하고, 그 처리 자체가 유럽연합 역내에서 발생하는지 여부는 상관없다. 사업장이라 함은 안정적인 방식을 통해 효과적이고 실제적인 활동을 행하는 것을 의미한다. 그 방식의 법적 형태는 법인격을 가진 지점 또는 자회사를 통한 것인지에 관계없이 그와 관련한 결정적인 요인이 아니다.

(23) 개인이 본 규정에 따른 보호를 받을 수 있도록 하기 위하여 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가 유럽연합 역내에 있는 정보주체의 개인정보를 처리할 때 그 처리 활동이 비용 지불과 연계되는지 여부에 관계없이 해당 정보주체에게 재화 또는 서비스를 제공하는 것과 관련되는 경우 본 규정의 적용을 받아야 한다. 그 컨트롤러 또는 프로세서가 유럽연합 역내의 정보주체에게 재화 또는 서비스를 제공하는지 여부를 결정하기 위하여 그들이 유럽연합 역내 하나 이상의 회원국의 정보주체에게 서비스를 제공할 계획이 있음이 분명한지 여부를 확인해야 한다. 단지 유럽연합 역내에서 컨트롤러, 프로세서 또는 중개인의 웹사이트에 접근할 수 있다거나 이메일 주소 또는 기타 연락처를 열람할 수 있다는 것, 또는 컨트롤러가 설립된 제3국에서 통용되는 언어가 사용되는 것만으로는 그 같은 의사를 확인하기에는 불충분하고, 하나 이상의 회원국에서 통용되는 언어나 통화를 사용하고 그 언어로 재화와 서비스를 주문할 수 있다거나 유럽연합 역내의 소비자나 이용자에 대해 언급하는 등의 요인은 컨트롤러가 유럽연합 내의 정보주체에게 재화나 서비스를 제공할 계획이 있음을 분명하게 해 줄 수 있다.

(24) 유럽연합 역내에 설립되지 않은 컨트롤러 또는 프로세서가, 유럽연합 역내에 있는 정보주체의 개인정보를 처리할 때 그 처리가 해당 컨트롤러 또는 프로세서가 역내에서 발생하는 정보주체의 행동을 모니터링 하는 것과 관련 있을 때 본 규정을 적용받아야 한다. 처리 활동이 정보주체의 행동을 감시하기 위한 것으로 간주될 수 있는지 여부를 결정하기 위해서는, 특히 개인에 관한 결정을 내리거나 개인의 선호, 행동 및 태도를 분석하거나 예측하기 위해 그 개인을 프로파일링 하는 등의 개인정보 처리기법을 추후에 사용할 수 있는 점을 포함, 개인이 인터넷상에서 추적이 되는지 여부가 확인되어야 한다.

(25) 회원국 법률이 국제공법으로 적용되는 경우, 본 규정은 회원국의 외교공관 또는 영사관 내의 컨트롤러 등 유럽연합 역외에 설립된 컨트롤러에게도 적용될 수 있다.

Guidelines & Case Law Leave a comment
[js-disqus]