Article 3 📖 GDPR. Territorial scope

Статья 3 GDPR. Территориальная сфера действия

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет.

Guidelines & Case Law Recitals Related

Guidelines & Case Law

Documents

WP29, Update of Opinion on applicable law in light of the CJEU judgement in Google Spain (2010).

Case Law

CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014):

55. In the light of that objective of Directive 95/46 and of the wording of Article 4(1)(a), it must be held that the processing of personal data for the purposes of the service of a search engine such as Google Search, which is operated by an undertaking that has its seat in a third State but has an establishment in a Member State, is carried out ‘in the context of the activities’ of that establishment if the latter is intended to promote and sell, in that Member State, advertising space offered by the search engine which serves to make the service offered by that engine profitable.

56. In such circumstances, the activities of the operator of the search engine and those of its establishment situated in the Member State concerned are inextricably linked since the activities relating to the advertising space constitute the means of rendering the search engine at issue economically profitable and that engine is, at the same time, the means enabling those activities to be performed. (page 14)

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018):

… where an undertaking established outside the European Union has several establishments in different Member States, the supervisory authority of a Member State is entitled to exercise the powers conferred on it by Article 28(3) of that directive with respect to an establishment of that undertaking situated in the territory of that Member State even if, as a result of the division of tasks within the group, first, that establishment is responsible solely for the sale of advertising space and other marketing activities in the territory of that Member State and, second, exclusive responsibility for collecting and processing personal data belongs, for the entire territory of the European Union, to an establishment situated in another Member State. (page 14)

Recitals

(22) Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно на территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

(14) Защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных юридических лиц и, в частности, на предприятия, созданные как юридические лица, включая наименование и организационно-правовую форму юридического лица, а также и реквизиты юридического лица.

Руководство по территориальной сфере действия GDPR (статья 3)

Организационная единица в Союзе

Порог для «постоянных структур [9]» может быть довольно низким, когда деятельность контролера сосредоточена на предоставлении услуг в режиме онлайн. В результате в некоторых обстоятельствах присутствие в Союзе одного единственного сотрудника или агента не-ЕС-организации, может быть достаточным для создания постоянной структуры (приравненной к «организационной единице» для целей статьи 3(1)), если этот сотрудник или агент действует с достаточной степенью постоянства. И наоборот, когда сотрудник находится в ЕС, но обработка не выполняется в Союзе в контексте деятельности сотрудника из ЕС (т. е. Обработка относится к действиям контролера за пределами ЕС), простое присутствие сотрудника в ЕС не приведет к тому, что эта обработка попадет в сферу действия GDPR. Другими словами, простого присутствия работника в ЕС недостаточно для применения GDPR, поскольку для того, чтобы рассматриваемая обработка попадала в сферу действия GDPR, она также должна выполняться в контексте деятельности сотрудника из ЕС.

_{[9] Weltimmo, параграф 31.}

Тот факт, что организация, не являющаяся членом ЕС, ответственна за обработку данных, не имеет филиала или дочерней компании в государстве-члене, не исключает возможности наличия ее организационной единицы в значении закона ЕС о защите данных. Хотя понятие организационной единицы является широким, оно не без ограничений. Невозможно сделать вывод о том, что организация не из ЕС, имеет организационную единицу в Союзе только потому, что веб-сайт организации доступен в Союзе [10].

_{[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Дело C‑191/15, 28 Июль 2016, параграф 76 (далее – “Verein für Konsumenteninformation”).}

Обработка персональных данных осуществляется “в контексте деятельности” организационной единицы

EDPB считает, что для целей статьи 3(1) «обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора» должна пониматься исходя из соответствующего прецедентного права. С одной стороны, с целью достижения цели обеспечения эффективной и полной защиты, значение «в контексте деятельности организационной единицы» не может толковаться ограничительно [12]. С другой стороны, существование организационной единицы по смыслу GDPR не следует толковать слишком широко, чтобы сделать вывод о том, что существование какого-либо присутствия на территории ЕС, имеющего даже самые отдаленные связи с деятельностью организации, расположенной не на территории ЕС, по обработке данных будет достаточным, чтобы включить эту обработку в сферу действия закона ЕС о защите данных. Некоторая коммерческая деятельность, осуществляемая организацией, расположенной не на территории ЕС, в государстве-члене, действительно может быть настолько не связана с обработкой персональных данных этой организацией, что осуществление коммерческой деятельности на территории ЕС будет недостаточным для отнесения обработки данных организацией, не расположенной на территории ЕС, к сфере действия закона ЕС о защите данных [13].

_{[12] Weltimmo, параграф 25 и Google Испания, параграф 53.}

_{[13] G29 WP 179 обновление – Обновление мнения 8/2010 о применимом праве в свете CJEU решения Google Испания, 16 декабря 2015.}

Рассмотрение следующих двух факторов может помочь определить, выполняется ли обработка контролёром или процессором в контексте его организационной единицы в Союзе.

i) Отношения между контролёром данных или процессором, находящегося за пределами Союза, и его организационной единицей в Союзе

Деятельность контролёра или процессора данных, имеющих организационную единицу за пределами ЕС, по обработке данных может быть неразрывно связана с деятельностью местной организационной единицы в государстве-члене и, таким образом, может инициировать применимость законодательства ЕС, даже если эта местная организационная единица фактически не принимает какое-либо участие в самой обработке данных [14]. Если в каждом конкретном случае анализ фактов показывает, что существует неразрывная связь между обработкой персональных данных, осуществляемой контроллером или процессором, не находящихся в ЕС, и деятельностью организационной единицы, расположенной в ЕС, то закон ЕС будет применяться к такой обработке организации, расположенной за пределами ЕС, вне зависимости от организационной единицы, расположенной в ЕС, в этой обработке данных [15].

_{[14] CJEU, Google Испания, Дело C‑131/12}

_{[15] G29 WP 179 обновление – обновление мнения 8/2010 о применимом праве в свете решения CJEU Google Испания, 16 декабря 2015}

ii) Получение доходов в Союзе

Получение доходов в ЕС местной организационной единицей в той степени, в которой такая деятельность может рассматриваться как «неразрывно связанная» с обработкой персональных данных, происходящей за пределами ЕС, и обработкой персональных данных отдельных лиц в ЕС, может свидетельствовать об обработке контролёром или процессором, расположенным за пределами ЕС, осуществляемой «в контексте деятельности организационной единицы в ЕС» и может быть достаточным для применения законодательства ЕС к такой обработке [16].

_{[16] Это может потенциально иметь место, например, для любого иностранного оператора с офисом продаж или некоторым другим присутствием в ЕС, даже если этот офис не играет никакой роли в фактической обработке данных, в частности, когда обработка происходит в контексте деятельности по продажам в ЕС и деятельности организационной единицы, ориентированной на жителей государств-членов, в которых находится организационная единица(обновление WP179).}

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

Руководство по территориальной сфере действия GDPR (статья 3)

Субъекты данных в Союзе

Формулировка статьи 3(2) относится к «персональным данным субъектов данных, которые находятся в Союзе» . Таким образом, применение критерия таргетинга не ограничивается гражданством, местом жительства или другим типом правового статуса субъекта данных, чьи личные данные обрабатываются. Пункт 14 декларативной части подтверждает это толкование и гласит, что «защита, предоставляемая настоящим Регламентом, должна применяться к обработкам персональных данных физических лиц вне зависимости от их национальности или места жительства».

Хотя местонахождение субъекта данных на территории Союза является определяющим фактором для применения критерия таргетинга согласно статье 3(2), EDPB считает, что гражданство или правовой статус субъекта данных, который находится в Союзе, не могут ограничивать или сужать территориальную сферу действия Регламента.

Требование, чтобы субъект данных находился в Союзе, должно оцениваться в момент, когда происходит соответствующая таргетинговая деятельность, то есть в момент предложения товаров или услуг или в момент, когда поведение отслеживается, независимо от продолжительности предложения или мониторинга.

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

Recitals Related

Recitals

(23) В целях обеспечения защиты физических лиц, право на которую они имеют в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющим организационной единицы в Союзе, подпадает под действие настоящего Регламента в случаях, когда обработка связана с предложением товаров или услуг субъектам данных, независимо от того, требуется ли от них оплата, или нет. Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах. Несмотря на доступность веб-сайта контролёра, процессора или посредника в Союзе, адреса электронной почты, иные контактные данные либо использование языка третьей страны, в которой учреждён контролёр, являются недостаточными для установления подобных намерений. Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

Руководство по территориальной сфере действия GDPR (статья 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть – любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».

Элементы, перечисленные в пункте 23 декларативной части, повторяют и соответствуют прецедентному праву CJEU, основанному на Постановлении Совета 44/2001 [25] о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам, и, в частности, статьи 15(1)(с). В деле Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (объединенные дела C-585/08 и C-144/09) Суду было предложено разъяснить, что означает «прямая деятельность» по смыслу статьи 15(1)(c) Регламента 44/2001 (Brussels I). CJEU постановил, что для того, чтобы определить, можно ли считать, что трейдер «направляет» свою деятельность в государство-член по месту жительства потребителя, по смыслу статьи 15(1)(c) Brussels I, трейдер должен проявить намерение установить коммерческие отношения с такими потребителями. В этом контексте CJEU рассмотрел доказательства, демонстрирующие, что трейдер намеревался вести бизнес с потребителями, проживающими в государстве-члене.

_{[25] Постановление Совета (ЕС) № 44/2001 от 22 декабря 2000 года о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам.}

Хотя понятие «направление деятельности» отличается от «предложения товаров или услуг», EDPB считает, что прецедентное право, а именно Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (Объединенные дела C-585/08 и C -144/09) [26] может оказаться полезным при рассмотрении вопроса о том, предлагаются ли товары или услуги субъекту данных в Союзе. Принимая во внимание конкретные обстоятельства дела, можно, среди прочего, учитывать следующие факторы, возможно, в сочетании друг с другом:

_{[26] Это тем более имеет отношение, потому что в соответствии со статьей 6 Регламента (ЕС) № 593/2008 Европейского парламента и Совета от 17 июня 2008 года о праве, применимом к договорным обязательствам (Рим I), при отсутствии выбора права критерий «направления деятельности» в страну обычного проживания потребителя принимается во внимание, чтобы выбрать закон обычного проживания потребителя в качестве права, применимого к договору.}

– ЕС или, по крайней мере, одно государство-член обозначено по имени со ссылкой на предлагаемый товар или услугу;

– Контролер данных или процессор платят оператору поисковой системы за службу интернет-ссылок, чтобы облегчить доступ к сайту для потребителей в Союзе; или контролер или процессор начали маркетинговые и рекламные компании, направленные на аудиторию стран ЕС

– международный характер рассматриваемой деятельности, такой как определенные виды туристической деятельности;

– упоминание выделенных адресов или телефонных номеров для связи со страной ЕС;

– использование доменного имени верхнего уровня, отличного от имени третьей страны, в которой установлен контролер или процессор, например «.de», или использование нейтральных доменных имен верхнего уровня, таких как «.eu»;

– описание инструкций по поездке из одного или нескольких других государств-членов ЕС в место, где предоставляется услуга;

– упоминание международной клиентуры, состоящей из клиентов, проживающих в различных государствах-членах ЕС, в частности, путем представления аккаунтов, созданных такими клиентами;

– использование языка или валюты, отличной от той, которая обычно используется в стране трейдера, особенно языка или валюты одной или нескольких стран-членов ЕС;

– Контролер данных предлагает доставку товаров в страны-члены ЕС.

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

Recitals Related

Recitals

(24) Обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, также должна регулироваться настоящим Регламентом в случаях, связанных с мониторингом поведения таких субъектов данных в той мере, в какой их деятельность происходит в Союзе. Чтобы определить, можно ли признать деятельность по обработке как «мониторинг проведения» субъекта данных, необходимо установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.

Руководство по территориальной сфере действия GDPR (статья 3)

Мониторинг поведения субъектов данных

Для того, чтобы статья 3(2)(b) повлекла применение GDPR, отслеживаемое поведение должно сначала относиться к субъекту данных в Союзе, и, как совокупный критерий, отслеживаемое поведение должно иметь место на территории Союза.

Характер процесса обработки, который можно рассматривать как поведенческий мониторинг, дополнительно описан в пункте 24 декларативной части, в котором говорится, что «для того чтобы определить, можно ли рассматривать обработку в качестве мониторинга поведения субъектов данных, следует определить, отслеживаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, которые включают в себя профилирование физического лица, особенно для принятия решений, касающихся его или ее или для анализа или прогнозирования ее или его личных предпочтений, поведения и отношений». В то время как пункт 24 декларативной части относится исключительно к мониторингу поведения посредством отслеживания человека в Интернете, EDPB считает, что отслеживание через другие типы сетей или технологий, включающих обработку персональных данных, также должно приниматься во внимание при определении того, составляет ли обработка мониторинг поведения, например, через портативные и другие умные устройства.

В отличие от положения Статьи 3(2)(а), ни Статья 3(2)(b), ни пункт 24 декларативной части явно не вводят необходимую степень «намерения таргетировать» со стороны контролера данных или процессора, чтобы определить, может ли деятельность по мониторингу повлечь применение GDPR к обработкам. Тем не менее использование слова «мониторинг» подразумевает, что контролер имеет конкретную цель для сбора и последующего повторного использования соответствующих данных о поведении человека в ЕС. EDPB не считает, что любой онлайн-сбор или анализ личных данных отдельных лиц в ЕС автоматически будет считаться «мониторингом». Необходимо будет рассмотреть цели контролера для обработки данных и, в частности, любые последующие методы поведенческого анализа или профилирования с использованием этих данных. EDPB учитывает формулировку пункта 24 декларативной части, которая указывает на то, что для определения того, включает ли обработка мониторинг поведения субъекта данных, ключевым фактором является отслеживание физических лиц в Интернете, включая потенциальное последующее использование методов профилирования.

Применение статьи 3(2)(b), когда контролер данных или процессор контролируют поведение субъектов данных, находящихся в Союзе, может, таким образом, охватывать широкий спектр мероприятий по мониторингу, включая, в частности:

– Поведенческая реклама

– геолокализация деятельности, в частности, в маркетинговых целях

– Онлайн отслеживание с помощью файлов cookie или других методов отслеживания, таких как дактилоскопия

– Персонализированные услуги для анализа питания и здоровья онлайн

– Кабельное телевидение

– Обзоры рынка и другие исследования поведения на основе индивидуальных профилей

– Мониторинг или регулярные отчеты о состоянии здоровья человека

3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где согласно международному публичному праву действует законодательство государства-члена.

Recitals

(25) В случаях, когда согласно международному публичному праву действует законодательство государства-члена, данный Регламент должен также применяться к контролёру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

Expert commentary Recitals Guidelines & Case Law Leave a comment

Expert commentary

One of the most frequent questions asked is whether a company falls within the scope of the GDPR. It relates, among other things, to the definition of the European regulation’s territorial scope.

Here you can find a little self-assessment test:

Does the GDPR apply in these cases?

A Russian mobile application processes the geolocation data of Russian and foreign nationals in the EU.
A Belarusian dating site collects contact information from all its users. Americans and Europeans who come to Belarus and want to meet local women can also register on the site.
An Italian chain has opened a new hotel in Kyiv, where both Europeans and citizens of other countries stay. Guests registration is carried out on the Italian site, and data are processed in the head office of the management company in Italy.
An American training platform uses personal data to sell online courses around the world.
EU nationals, who are on vacation in India, came to an Austrian airline’s local office in Mumbai to fly to Bali for a couple of days. For this purpose, their passport information and bank card data were collected, as well as the information that the passengers are vegetarians.
EU users visit the site of a company from Rostov-on-Don 2-3 times a month and order flower deliveries in the city for their loved ones. The site is in Russian. Deliveries are only in Rostov. The currency of payment is the Russian ruble.

If you doubt the answers, go on reading and you will find the detailed analysis in the video lesson at the bottom of this article (in Russian).

Here are three cases, which show when it is necessary to observe the GDPR:

When data are processed in the context of the activities of an establishment in the EU. In other words, if the office is physically located in any of the EU countries and the data are processed in that office, the GDPR applies. Thus, the correct answer to the third question concerning the Italian hotel is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, this paragraph does not apply only to a physical office or a registered legal entity. There are many other unobvious examples of what should be considered as the “context of the activities of an establishment”. We describe them in detail in the video.

When the data subject is in the EU and the processing relates to the supply of goods and services. In this case, “data subject” does not refer only to European citizens, but also to people from other countries who are passing through, traveling, or staying temporary in Europe. At the same time, the goods and services do not necessarily have to be paid for. For example, a free mobile app that you have downloaded.

Therefore, if, for example, a Russian citizen, being in Latvia, has used a Russian mobile application, she or he is protected by the GDPR. So the correct answer to the first question is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, according to this paragraph, the GDPR also applies to other cases, which we have mentioned at the beginning of this article. For instance, in the second case, the Belarusian dating site provides a service to European citizens, as well as the American platform from the fourth case.

In comparison, in the fifth case concerning the purchase of tickets to Bali, the GDPR is not applicable, as these people have left the EU and are buying tickets in the office in India.

Do you know why in the sixth case concerning the flower delivery the GDPR does not apply, although the data of European citizens are processed? The reason is that the exception described in the recitals of the Regulation is based on a specific judicial precedent.

For more details on these recitals and court precedent, please see our video lesson.

When you monitor behaviour within the EU. These situations are rare. And that rule does not apply to any of the cases from this article. More detailed information can be found in the video.

We hope that the information was helpful. Share it with your colleagues and make sure to see our detailed video lesson below in which you will find:

A detailed explanation of the diagram “the territorial scope of the GDPR”;
Explanation of articles, recitals, judicial precedents, and clarification by the supervisory authority;
Further examples and cases from practice;
Detailed case analysis from this article.

[…]

Author