Разъяснения > Руководство по территориальной сфере действия GDPR (статья 3)

Руководство по территориальной сфере действия GDPR (статья 3)

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Перевод на русский язык с английского языка выполнили С. Терешко и М. Шибун. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, MBA. © Перевод на русский ООО "Дата Прайваси Офис".
Adopted on 12 November 2019: EUR-lex.

Европейский совет по защите персональных данных

The European Data Protection Board

Принимая во внимание статью 70 (1) (e) Регламента 2016/679 / EU Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободном передвижении таких данных, и отмене Директивы 95/46 / ЕС.

Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.

ПРИНЯЛ СЛЕДУЮЩИЕ РУКОВОДЯЩИЕ ПРИНЦИПЫ:

HAS ADOPTED THE FOLLOWING GUIDELINES:

ВВЕДЕНИЕ

INTRODUCTION

Территориальная сфера действия Общего регламента защиты персональных данных [1] (GDPR или Регламент) определяется статьей 3 Регламента и представляет собой существенную эволюцию законодательства ЕС в области защиты данных по сравнению с тем, что было определено в Директиве 95/46 / EC [ 2]. В частности, GDPR подтверждает выбор, сделанный законодателем ЕС и Судом Европейского Союза (CJEU) в контексте Директивы 95/46 / EC. Тем не менее, были введены новые важные элементы. Важнее всего то, что основная цель статьи 4 Директивы состояла в определении, национальное законодательство какого государства-члена является применимым, тогда как в статье 3 GDPR определяется территориальный сфера действия непосредственно применимого текста. Более того, хотя статья 4 Директивы ссылалась на «использование компьютерного оборудования» на территории Союза в качестве основы для привлечения контролеров, которые «не были созданы на территории Сообщества», в сферу действия закона ЕС о защите данных, такая ссылка появляется в статье 3 GDPR.

The territorial scope of General Data Protection Regulation [1] (the GDPR or the Regulation) is determined by Article 3 of the Regulation and represents a significant evolution of the EU data protection law compared to the framework defined by Directive 95/46/EC [2]. In part, the GDPR confirms choices made by the EU legislator and the Court of Justice of the European Union (CJEU) in the context of Directive 95/46/EC. However, important new elements have been introduced. Most importantly, the main objective of Article 4 of the Directive was to define which Member State’s national law is applicable, whereas Article 3 of the GDPR defines the territorial scope of a directly applicable text. Moreover, while Article 4 of the Directive made reference to the ‘use of equipment’ in the Union’s territory as a basis for bringing controllers who were “not established on Community territory” within the scope of EU data protection law, such a reference does not appear in Article 3 of the GDPR.

[1] Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободном перемещении таких данных и отмене Директивы 95 / 46 / EC (Общие Регламент о защите данных).

[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

[2] Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 года о защите физических лиц в связи с обработкой персональных данных и о свободном перемещении таких данных.

[2] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

Статья 3 GDPR отражает намерение законодателя обеспечить всестороннюю защиту прав субъектов данных в ЕС и установить равные условия, с точки зрения требований к защите данных, для компаний, работающих на рынках ЕС, в контексте мировых потоков данных.

Article 3 of the GDPR reflects the legislator’s intention to ensure comprehensive protection of the rights of data subjects in the EU and to establish, in terms of data protection requirement, a level playing field for companies active on the EU markets, in a context of worldwide data flows.

Статья 3 GDPR определяет территориальную сферу действия Регламента на основе двух основных критериев: критерий «организационной единицы» в соответствии со статьей 3 (1) и критерий «таргетинг» в соответствии со статьей 3 (2). При выполнении одного из этих двух критериев соответствующие положения GDPR будут применяться к соответствующей обработке персональных данных заинтересованным контролером или процессором. Кроме того, статья 3 (3) подтверждает, что GDPR применяется к обработке, где право государства-члена применяется в силу международного публичного права.

Article 3 of the GDPR defines the territorial scope of the Regulation on the basis of two main criteria: the “establishment” criterion, as per Article 3(1), and the “targeting” criterion as per Article 3(2). Where one of these two criteria is met, the relevant provisions of the GDPR will apply to relevant processing of personal data by the controller or processor concerned. In addition, Article 3(3) confirms the application of the GDPR to the processing where Member State law applies by virtue of public international law.

Посредством единого толкования, представленного органами по защите данных в ЕС, настоящие руководящие принципы призваны обеспечить последовательное применение GDPR при оценке того, попадает ли конкретная обработка, проводимая контролером или процессором, под действие новой правовой базы ЕС. В представленных руководящих принципах EDPB устанавливает и разъясняет критерии для определения территориальной сферы действия GDPR. Единое толкование также имеет важное значение для контролеров и процессоров, находящихся как в ЕС, так и за его пределами, для предоставления возможности оценить, необходимо ли им соблюдать GDPR для данной обработки данных.

Through a common interpretation by data protection authorities in the EU, these guidelines seek to ensure a consistent application of the GDPR when assessing whether particular processing by a controller or a processor falls within the scope of the new EU legal framework. In these guidelines, the EDPB sets out and clarifies the criteria for determining the application of the territorial scope of the GDPR. Such a common interpretation is also essential for controllers and processors, both within and outside the EU, so that they may assess whether they need to comply with the GDPR for a given processing activity.

Поскольку контролеры или процессоры, которые не были созданы в ЕС, но занимаются обработкой, и подпадают под действие Статьи 3(2), обязаны назначить представителя в Союзе, настоящие руководящие принципы также дадут разъяснение относительно процесса назначения этого представителя согласно Статье 27, а также относительно его обязанностей и ответственности.

As controllers or processors not established in the EU but engaging in processing activities falling within Article 3(2) are required to designate a representative in the Union, these guidelines will also provide clarification on the process for the designation of this representative under Article 27 and its responsibilities and obligations.

В качестве общего принципа EDPB устанавливает, что если обработка персональных данных относится к территориальной сфере действия GDPR, к такой обработке применяются все положения Регламента. В настоящих руководящих принципах будут указаны различные сценарии, которые могут возникнуть в зависимости от типа деятельности по обработке, организации, выполняющей эту деятельность по обработке, или местоположения таких организаций, а также будут подробно изложены положения, применимые к каждой ситуации. Поэтому важно, чтобы контролеры и процессоры, особенно те, которые предлагают товары и услуги на международном уровне, предпринимали тщательную и фактическую оценку своей деятельности по обработке, чтобы определить, подпадает ли связанная с этим обработка персональных данных под сферу GDPR.

As a general principle, the EDPB asserts that where the processing of personal data falls within the territorial scope of the GDPR, all provisions of the Regulation apply to such processing. These guidelines will specify the various scenarios that may arise, depending on the type of processing activities, the entity carrying out these processing activities or the location of such entities, and will detail the provisions applicable to each situation. It is therefore essential that controllers and processors, especially those offering goods and services at international level, undertake a careful and in concreto assessment of their processing activities, in order to determine whether the related processing of personal data falls under the scope of the GDPR.

EDPB подчеркивает, что применение статьи 3 направлено на определение того, подпадает ли конкретная деятельность по обработке, а не физическое или юридическое лицо в сферу действия GDPR. Следовательно, в зависимости от деятельности по обработке, определенная обработка персональных данных, осуществляемая контролером или процессором, может подпадать под действие Регламента, тогда как другая обработка персональных данных, осуществляемая этим же контролером или процессором, может не подпадать.

The EDPB underlines that the application of Article 3 aims at determining whether a particular processing activity, rather than a person (legal or natural), falls within the scope of the GDPR. Consequently, certain processing of personal data by a controller or processor might fall within the scope of the Regulation, while other processing of personal data by that same controller or processor might not, depending on the processing activity.

Настоящие руководящие принципы, первоначально принятые EDPB 16 ноября, были представлены на общественное обсуждение с 23 ноября 2018 года по 18 января 2019 года и были обновлены с учетом полученных материалов и отзывов.

These guidelines, initially adopted by the EDPB on 16 November, have been submitted to a public consultation from 23rd November 2018 to 18th January 2019 and have been updated taking into account the contributions and feedback received.

1. ПРИМЕНЕНИЕ КРИТЕРИЯ ОРГАНИЗАЦИОННОЙ ЕДИНИЦЫ - СТАТЬЯ 3(1)

1. APPLICATION OF THE ESTABLISHMENT CRITERION — ART 3(1)

Статья 3(1) GDPR предусматривает, что «Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится ли обработка на территории Союза».

Article 3(1) of the GDPR provides that the “Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.”

В статье 3(1) GDPR упоминается деятельность организационной единицы не только контролёра, но и процессора. В результате обработка персональных данных процессором также может быть предметом регулирования законодательства ЕС, поскольку процессор имеет организационную единицу, расположенную в пределах ЕС.

Article 3(1) GDPR makes reference not only to an establishment of a controller, but also to an establishment of a processor. As a result, the processing of personal data by a processor may also be subject to EU law by virtue of the processor having an establishment located within the EU.

Статья 3(1) гарантирует, что GDPR применяется к обработке контролёром или процессором, выполняемой в контексте деятельности организационной единицы этого контролёра или процессора в Союзе, независимо от фактического места обработки. Поэтому EDPB рекомендует тройной подход при определении того, попадает ли обработка персональных данных в сферу действия GDPR в соответствии со Статьей 3(1).

Article 3(1) ensures that the GDPR applies to the processing by a controller or processor carried out in the context of the activities of an establishment of that controller or processor in the Union, regardless of the actual place of the processing. The EDPB therefore recommends a threefold approach in determining whether or not the processing of personal data falls within the scope of the GDPR pursuant to Article 3(1).

В настоящих разделах разъясняется порядок применения критерия организационной единицы, во-первых, через рассмотрение определения «имеющий организационную единицу» в ЕС в значении закона ЕС о защите данных, во-вторых, через выяснение того, что подразумевается под «обработкой в контексте деятельности организационной единицы в Союзе», и, наконец, через подтверждение , что GDPR будет применяться независимо от того, происходит ли обработка, осуществляемая в контексте деятельности этой единицы, в Союзе или за его пределами.

The following sections clarify the application of the establishment criterion, first by considering the definition of an ‘establishment’ in the EU within the meaning of EU data protection law, second by looking at what is meant by ‘processing in the context of the activities of an establishment in the Union’, and lastly by confirming that the GDPR will apply regardless of whether the processing carried out in the context of the activities of this establishment takes place in the Union or not.

a) Организационная единица в Союзе

a) “An establishment in the Union”

Прежде чем рассматривать то, что подразумевается под «организационной единицей в Союзе», необходимо определить, кто является контролёром или процессором для данного процесса обработки. В соответствии с определением, указанным в статье 4(7) GDPR, контролером является «любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных». Согласно статье 4(8) GDPR, процессор — это «физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролёра». Как установлено соответствующим прецедентным правом CJEU и предыдущим мнением WP29, определение того, является ли организация для целей законодательства ЕС о защите данных контролером или процессором, является ключевым элементом в оценке применения GDPR к рассматриваемой обработке персональных данных.

Before considering what is meant by “an establishment in the Union” it is first necessary to identify who is the controller or processor for a given processing activity. According to the definition in Article 4(7) of the GDPR, controller means “the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data”. A processor, according to Article 4(8) of the GDPR, is “a natural or legal person, public authority, 6 Adopted agency or other body which processes personal data on behalf of the controller”. As established by relevant CJEU case law and previous WP29 opinion, the determination of whether an entity is a controller or processor for the purposes of EU data protection law is a key element in the assessment of the application of the GDPR to the personal data processing in question.

[3] G 29 WP169 — Мнение 1/2010 о концепциях «контролёра» и «процессора», принятое 16 февраля 2010 года и пересматриваемое EDPB.

[3] G 29 WP169 — Opinion 1/2010 on the concepts of «controller» and «processor», adopted on 16th February 2010 and under revision by the EDPB.

Хотя понятие «основная организационная единица» определено в Статье 4(16), GDPR не дает определения «организационная единица» для целей Статьи 3[4]. Тем не менее, Преамбула 22[5] поясняет, что «Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором».

While the notion of “main establishment” is defined in Article 4(16), the GDPR does not provide a definition of “establishment” for the purpose of Article 3 [4]. However, Recital 22 [5] clarifies that an “[e]stablishment implies the effective and real exercise of activities through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.”

[4] Определение «основной организационной единицы» в большей степени относится к цели определения компетенции заинтересованных надзорных органов в соответствии со статьей 56 GDPR. См. Руководство WP29 для определения ведущего надзорного органа контролера или процессора (16 / EN WP 244 rev.01) — одобрено EDPB.

[4] The definition of “main establishment” is mainly relevant for the purpose of determining the competence of the supervisory authorities concerned according to Article 56 GDPR. See the WP29 Guidelines for identifying a controller or processor’s lead supervisory authority (16/EN WP 244 rev.01) — endorsed by the EDPB.

[5] Преамбула 22 GDPR: «Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно не территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором».

[5] Recital 22 of the GDPR: “Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.”

Данная формулировка идентична формулировке из Преамбулы 19 Директивы 95/46 / ЕС, ссылка на которую была сделана в нескольких постановлениях CJEU, расширяющих толкование термина «организационная единица», отличного от формального подхода, согласно которому предприятия создаются исключительно в том месте, где они зарегистрированы [6]. Действительно, CJEU постановил, что понятие организационной единицы распространяется на любую реальную и эффективную деятельность — даже минимальную — осуществляемую посредством постоянных структур [7]. Чтобы определить, имеет ли организация, расположенная за пределами Союза, организационную единицу в государстве-члене, следует учитывать как степень постоянства структур, так и эффективности осуществления деятельности в этом государстве-члене с учетом специфики экономической деятельности и предоставлением связанных с этим услуг. Это особенно актуально для предприятий, предлагающих услуги исключительно через Интернет [8].

This wording is identical to that found in Recital 19 of Directive 95/46/EC, to which reference has been made in several CJEU rulings broadening the interpretation of the term “establishment”, departing from a formalistic approach whereby undertakings are established solely in the place where they are registered [6]. Indeed, the CJEU ruled that the notion of establishment extends to any real and effective activity — even a minimal one — exercised through stable arrangements [7]. In order to determine whether an entity based outside the Union has an establishment in a Member State, both the degree of stability of the arrangements and the effective exercise of activities in that Member State must be considered in the light of the specific nature of the economic activities and the provision of services concerned. This is particularly true for undertakings offering services exclusively over the Internet [8].

[6] В частности, см. Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12), Weltimmo v NAIH (C230/14), Verein für Konsumenteninformation v Amazon EU (C-191/15) и Wirtschaftsakademie SchleswigHolstein (C-210/16).

[6] See in particular Google Spain SL, Google Inc. v AEPD, Mario Costeja González (C-131/12), Weltimmo v NAIH (C230/14), Verein für Konsumenteninformation v Amazon EU (C-191/15) and Wirtschaftsakademie SchleswigHolstein (C-210/16).

[7] Weltimmo, параграф 31.

[7] Weltimmo, paragraph 31.

[8] Weltimmo, параграф 29.

[8] Weltimmo, paragraph 29.

Порог для «постоянных структур [9]» может быть довольно низким, когда деятельность контролера сосредоточена на предоставлении услуг в режиме онлайн. В результате в некоторых обстоятельствах присутствие в Союзе одного единственного сотрудника или агента не-ЕС-организации, может быть достаточным для создания постоянной структуры (приравненной к «организационной единице» для целей статьи 3(1)), если этот сотрудник или агент действует с достаточной степенью постоянства. И наоборот, когда сотрудник находится в ЕС, но обработка не выполняется в Союзе в контексте деятельности сотрудника из ЕС (т. е. Обработка относится к действиям контролера за пределами ЕС), простое присутствие сотрудника в ЕС не приведет к тому, что эта обработка попадет в сферу действия GDPR. Другими словами, простого присутствия работника в ЕС недостаточно для применения GDPR, поскольку для того, чтобы рассматриваемая обработка попадала в сферу действия GDPR, она также должна выполняться в контексте деятельности сотрудника из ЕС.

The threshold for “stable arrangement [9]” can actually be quite low when the centre of activities of a controller concerns the provision of services online. As a result, in some circumstances, the presence of one single employee or agent of a non-EU entity in the Union may be sufficient to constitute a stable arrangement (amounting to an ‘establishment’ for the purposes of Art 3(1)) if that employee or agent acts with a sufficient degree of stability. Conversely, when an employee is based in the EU but the processing is not being carried out in the context of the activities of the EU-based employee in the Union (i.e. the processing relates to activities of the controller outside the EU), the mere presence of an employee in the EU will not result in that processing falling within the scope of the GDPR. In other words, the mere presence of an employee in the EU is not as such sufficient to trigger the application of the GDPR, since for the processing in question to fall within the scope of the GDPR, it must also be carried out in the context of the activities of the EU-based employee.

[9] Weltimmo, параграф 31.

[9] Weltimmo, paragraph 31.

Тот факт, что организация, не являющаяся членом ЕС, ответственна за обработку данных, не имеет филиала или дочерней компании в государстве-члене, не исключает возможности наличия ее организационной единицы в значении закона ЕС о защите данных. Хотя понятие организационной единицы является широким, оно не без ограничений. Невозможно сделать вывод о том, что организация не из ЕС, имеет организационную единицу в Союзе только потому, что веб-сайт организации доступен в Союзе [10].

The fact that the non-EU entity responsible for the data processing does not have a branch or subsidiary in a Member State does not preclude it from having an establishment there within the meaning of EU data protection law. Although the notion of establishment is broad, it is not without limits. It is not possible to conclude that the non-EU entity has an establishment in the Union merely because the undertaking’s website is accessible in the Union [10].

[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Дело C‑191/15, 28 Июль 2016, параграф 76 (далее — “Verein für Konsumenteninformation”).

[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Case C‑191/15, 28 July 2016, paragraph 76 (hereafter “Verein für Konsumenteninformation”).

Пример 1: Компания по производству автомобилей со штаб-квартирой в США имеет полностью принадлежащий ей филиал в Брюсселе, который контролирует всю ее деятельность в Европе, включая маркетинг и рекламу.

Example 1: A car manufacturing company with headquarters in the US has a fully-owned branch office located in Brussels overseeing all its operations in Europe, including marketing and advertisement.

Бельгийский филиал можно считать постоянной структурой, которая осуществляет реальные и эффективные действия с учетом специфики экономической деятельности автомобильной компании. Таким образом, по смыслу GDPR бельгийский филиал может рассматриваться как организационная единица в Союзе.

The Belgian branch can be considered to be a stable arrangement, which exercises real and effective activities in light of the nature of the economic activity carried out by the car manufacturing company. As such, the Belgian branch could therefore be considered as an establishment in the Union, within the meaning of the GDPR.

После того, как будет сделан вывод о том, что контролёр или процессор имеет организационную единицу в ЕС, должен последовать фактический анализ, чтобы определить, выполняется ли рассматриваемая обработка в контексте деятельности этой организационной единицы, с целью выяснить, применяется ли статья 3(1). Если контролер или процессор, имеющий организационную единицу за пределами Союза, осуществляет «реальную и эффективную деятельность — даже минимальную» — посредством постоянных структур , независимо от его организационной формы (например, дочерняя компания, филиал, офис…), на территории государства-члена, этот контролёр или процессор может рассматриваться как организационная единица в этом государстве-члене [11]. Поэтому важно рассмотреть вопрос о том, осуществляется ли обработка персональных данных «в контексте деятельности» такой организационной единицы, как это подчеркивается в Преамбуле 22.

Once it is concluded that a controller or processor is established in the EU, an in concreto analysis should then follow to determine whether the processing in question is carried out in the context of the activities of this establishment, in order to determine whether Article 3(1) applies. If a controller or processor established outside the Union exercises “a real and effective activity — even a minimal one” — through “stable arrangements”, regardless of its legal form (e.g. subsidiary, branch, office…), in the territory of a Member State, this controller or processor can be considered to have an establishment in that Member State [11]. It is therefore important to consider whether the processing of personal data takes place “in the context of the activities of” such an establishment as highlighted in Recital 22.

[11] В частности, смотри параграф 29 Решения Weltimmo , в котором особое значение придается гибкому определению понятия «организационная единица» и уточняется, что «степень постоянства структур и эффективного осуществления деятельности в этом другом государстве-члене должна интерпретироваться в свете особого характера экономической деятельности и предоставления соответствующих услуг.

[11] See in particular para 29 of the Weltimmo judgment, which emphasizes a flexible definition of the concept of ‘establishment’ and clarifies that ‘the degree of stability of the arrangements and the effective exercise of activities in that other Member State must be interpreted in the light of the specific nature of the economic activities and the provision of services concerned.’

b) Обработка персональных данных осуществляется "в контексте деятельности" организационной единицы

b) Processing of personal data carried out “in the context of the activities of” an establishment

Статья 3(1) подтверждает, что отсутствует необходимость в осуществлении рассматриваемой обработки «самой» организационной единицей ЕС; на контролёра или процессора будут распространяться обязательства по GDPR всякий раз, когда обработка выполняется «в контексте деятельности» его действующей организационной единицы в Союзе. EDPB рекомендует, определять то, выполняется ли обработка в контексте организационной единицы контролёра или процессора в Союзе для целей Статьи 3(1), на индивидуальной основе и на основе анализ in concreto . Каждый сценарий должен оцениваться по существу, с учетом конкретных обстоятельств дела.

Article 3(1) confirms that it is not necessary that the processing in question is carried out “by” the relevant EU establishment itself; the controller or processor will be subject to obligations under the GDPR whenever the processing is carried out ”in the context of the activities” of its relevant establishment in the Union. The EDPB recommends that determining whether processing is being carried out in the context of an establishment of the controller or processor in the Union for the purposes of Article 3(1) should be carried out on a case-by-case basis and based on an analysis in concreto. Each scenario must be assessed on its own merits, taking into account the specific facts of the case.

EDPB считает, что для целей статьи 3(1) «обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора» должна пониматься исходя из соответствующего прецедентного права. С одной стороны, с целью достижения цели обеспечения эффективной и полной защиты, значение «в контексте деятельности организационной единицы» не может толковаться ограничительно [12]. С другой стороны, существование организационной единицы по смыслу GDPR не следует толковать слишком широко, чтобы сделать вывод о том, что существование какого-либо присутствия на территории ЕС, имеющего даже самые отдаленные связи с деятельностью организации, расположенной не на территории ЕС, по обработке данных будет достаточным, чтобы включить эту обработку в сферу действия закона ЕС о защите данных. Некоторая коммерческая деятельность, осуществляемая организацией, расположенной не на территории ЕС, в государстве-члене, действительно может быть настолько не связана с обработкой персональных данных этой организацией, что осуществление коммерческой деятельности на территории ЕС будет недостаточным для отнесения обработки данных организацией, не расположенной на территории ЕС, к сфере действия закона ЕС о защите данных [13].

The EDPB considers that, for the purpose of Article 3(1), the meaning of “processing in the context of the activities of an establishment of a controller or a processor” is to be understood in light of the relevant case law. On the one hand, with a view to fulfilling the objective of ensuring effective and complete protection, the meaning of “in the context of the activities of an establishment” cannot be interpreted restrictively [12]. On the other hand, the existence of an establishment within the meaning of the GDPR should not be interpreted too broadly to conclude that the existence of any presence in the EU with even the remotest links to the data processing activities of a non-EU entity will be sufficient to bring this processing within the scope of EU data protection law. Some commercial activity carried out by a non-EU entity within a Member State may indeed be so far removed from the processing of personal data by this entity that the existence of the commercial activity in the EU would not be sufficient to bring the data processing by the non-EU entity within the scope of EU data protection law [13].

[12] Weltimmo, параграф 25 и Google Испания, параграф 53.

[12] Weltimmo, paragraph 25 and Google Spain, paragraph 53.

[13] G29 WP 179 обновление — Обновление мнения 8/2010 о применимом праве в свете CJEU решения Google Испания, 16 декабря 2015.

[13] G29 WP 179 update — Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain, 16th December 2015

Рассмотрение следующих двух факторов может помочь определить, выполняется ли обработка контролёром или процессором в контексте его организационной единицы в Союзе.

Consideration of the following two factors may help to determine whether the processing is being carried out by a controller or processor in the context of its establishment in the Union

i) Отношения между контролёром данных или процессором, находящегося за пределами Союза, и его организационной единицей в Союзе

i) Relationship between a data controller or processor outside the Union and its local establishment in the Union

Деятельность контролёра или процессора данных, имеющих организационную единицу за пределами ЕС, по обработке данных может быть неразрывно связана с деятельностью местной организационной единицы в государстве-члене и, таким образом, может инициировать применимость законодательства ЕС, даже если эта местная организационная единица фактически не принимает какое-либо участие в самой обработке данных [14]. Если в каждом конкретном случае анализ фактов показывает, что существует неразрывная связь между обработкой персональных данных, осуществляемой контроллером или процессором, не находящихся в ЕС, и деятельностью организационной единицы, расположенной в ЕС, то закон ЕС будет применяться к такой обработке организации, расположенной за пределами ЕС, вне зависимости от организационной единицы, расположенной в ЕС, в этой обработке данных [15].

The data processing activities of a data controller or processor established outside the EU may be inextricably linked to the activities of a local establishment in a Member State, and thereby may trigger the applicability of EU law, even if that local establishment is not actually taking any role in the data processing itself [14]. If a case by case analysis on the facts shows that there is an inextricable link between the processing of personal data carried out by a non-EU controller or processor and the activities of an EU establishment, EU law will apply to that processing by the non-EU entity, whether or not the EU establishment plays a role in that processing of data [15].

[14] CJEU, Google Испания, Дело C‑131/12

[14] CJEU, Google Spain, Case C‑131/12

[15] G29 WP 179 обновление — обновление мнения 8/2010 о применимом праве в свете решения CJEU Google Испания, 16 декабря 2015

[15] G29 WP 179 update — Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain, 16th December 2015

ii) Получение доходов в Союзе

ii) Revenue raising in the Union

Получение доходов в ЕС местной организационной единицей в той степени, в которой такая деятельность может рассматриваться как «неразрывно связанная» с обработкой персональных данных, происходящей за пределами ЕС, и обработкой персональных данных отдельных лиц в ЕС, может свидетельствовать об обработке контролёром или процессором, расположенным за пределами ЕС, осуществляемой «в контексте деятельности организационной единицы в ЕС» и может быть достаточным для применения законодательства ЕС к такой обработке [16].

Revenue-raising in the EU by a local establishment, to the extent that such activities can be considered as “inextricably linked” to the processing of personal data taking place outside the EU and individuals in the EU, may be indicative of processing by a non-EU controller or processor being carried out “in the context of the activities of the EU establishment”, and may be sufficient to result in the application of EU law to such processing [16].

[16] Это может потенциально иметь место, например, для любого иностранного оператора с офисом продаж или некоторым другим присутствием в ЕС, даже если этот офис не играет никакой роли в фактической обработке данных, в частности, когда обработка происходит в контексте деятельности по продажам в ЕС и деятельности организационной единицы, ориентированной на жителей государств-членов, в которых находится организационная единица(обновление WP179).

[16] This may potentially be the case, for example, for any foreign operator with a sales office or some other presence in the EU, even if that office has no role in the actual data processing, in particular where the processing takes place in the context of the sales activity in the EU and the activities of the establishment are aimed at the inhabitants of the Member States in which the establishment is located (WP179 update).

EDPB рекомендует организациям, не расположенным в ЕС, провести оценку своей деятельности по обработке, во-первых, определив, обрабатываются ли персональные данные, и, во-вторых, выявив потенциальные связи между деятельностью, для которой обрабатываются данные, и деятельностью, связанной с любым присутствием организации в Союзе. Если такая связь идентифицирована, характер этой связи будет ключевым при определении того, применяется ли GDPR к рассматриваемой обработке, и должен оцениваться, в частности, по двум элементам, перечисленным выше.

The EDPB recommends that non-EU organisations undertake an assessment of their processing activities, first by determining whether personal data are being processed, and secondly by identifying potential links between the activity for which the data is being processed and the activities of any presence of the organisation in the Union. If such a link is identified, the nature of this link will be key in determining whether the GDPR applies to the processing in question, and must be assessed inter alia against the two elements listed above.

Пример 2: Сайт электронной торговли управляется компанией, расположенной в Китае. Обработка персональных данных производится исключительно в Китае. Китайская компания уже основала европейский офис в Берлине для того, чтобы вести и реализовывать коммерческие поисковые и маркетинговые компании на рынке ЕС.

Example 2: An e-commerce website is operated by a company based in China. The personal data processing activities of the company are exclusively carried out in China. The Chinese company has established a European office in Berlin in order to lead and implement commercial prospection and marketing campaigns towards EU markets.

Таким образом, можно полагать, что действия европейского отделения в Берлине неразрывно связаны с обработкой персональных данных, проводимой китайским сайтом электронной торговли, до такой степени пока коммерческие поисковые и маркетинговые компании на рынке ЕС явно служат с целью принесения прибыли сайту электронной торговли. Обработка персональных данных, проводимая китайской компанией в отношении европейских продаж, и правда неразрывно связана с действиями европейского отделения в Берлине, которое занимается коммерческими поисковыми и маркетинговыми компаниями на европейском рынке. Обработка персональных данных производимая китайской компанией, связанная с продажами в ЕС, следовательно, может считаться проведенной в контексте деятельности европейского офиса, как организационной единицы в Союзе (ЕС). Такая деятельность по обработке, производимая китайской компанией, следовательно, будет осуществляться в соответствии с положениями GDPR согласно Статье 3(1)

In this case, it can be considered that the activities of the European office in Berlin are inextricably linked to the processing of personal data carried out by the Chinese e-commerce website, insofar as the commercial prospection and marketing campaign towards EU markets notably serve to make the service offered by the e-commerce website profitable. The processing of personal data by the Chinese company in relation to EU sales is indeed inextricably linked to the activities of the European office in Berlin relating to commercial prospection and marketing campaign towards EU market. The processing of personal data by the Chinese company in connection with EU sales can therefore be considered as carried out in the context of the activities of the European office, as an establishment in the Union. This processing activity by the Chinese company will therefore be subject to the provisions of the GDPR as per its Article 3(1)”.

Пример 3: Сеть отелей и курортов в Южной Африке предлагает пакетные соглашения через вебсайт, доступный на английском, немецком, французском и испанском. У компании нет никакого офиса, представителя или же постоянного расположения в ЕС.

Example 3: A hotel and resort chain in South Africa offers package deals through its website, available in English, German, French and Spanish. The company does not have any office, representation or stable arrangement in the EU.

В таком случае, при отсутствии представительства или постоянной структуры сети отелей и курортов на территории ЕС, представляется, что отсутствие организации, которая была бы связана с контролёром данных в Южной Африке, и которое может считаться организационной единицей в ЕС по смыслу GDPR. Следовательно рассматриваемая обработка не может предметом регулирования положениями GDPR, согласно Статье 3(1)

In this case, in the absence of any representation or stable arrangement of the hotel and resort chain within the territory of the Union, it appears that no entity linked to this data controller in South Africa can qualify as an establishment in the EU within the meaning of the GDPR. Therefore the processing at stake cannot be subject to the provisions of the GDPR, as per Article 3(1).

Однако, она должна быть проанализирована in concreto на предмет того, может ли обработка, выполняемая этим контролёром данных, имеющий организационную единицу за пределами ЕС, быть предметом GDPR, согласно Статье 3(2).

However, it must be analysed in concreto whether the processing carried out by this data controller established outside the EU can be subject to the GDPR, as per Article 3(2).

c) Применение GDPR к организационной единице контролёра или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет

c) Application of the GDPR to the establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not

Согласно статье 3(1), обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе инициирует применение GDPR и связанных с этим обязательств для соответствующего контролёра или процессора данных.

As per Article 3(1), the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union triggers the application of the GDPR and the related obligations for the data controller or processor concerned.

В тексте GDPR указывается, что Регламент применяется к обработке в контексте деятельности организационной единицы в ЕС «независимо от того, происходит ли обработка на территории Союза» . Само присутствие контролёра или процессора данных на территории ЕС через организационную единицу и тот факт, что обработка происходит в контексте деятельности этой организационной единицы, инициируют применение GDPR к его обработке. Поэтому место обработки не имеет значения при определении того, попадает ли обработка, осуществляемая в контексте деятельности организационной единицы ЕС, в сферу действия GDPR.

The text of the GDPR specifies that the Regulation applies to processing in the context of the activities of an establishment in the EU “regardless of whether the processing takes place in the Union or not”. It is the presence, through an establishment, of a data controller or processor in the EU and the fact that a processing takes place in the context of the activities of this establishment that trigger the application of the GDPR to its processing activities. The place of processing is therefore not relevant in determining whether or not the processing, carried out in the context of the activities of an EU establishment, falls within the scope of the GDPR.

Пример 4. Французская компания разработала приложение для каршеринга автомобилей, предназначенное исключительно для клиентов в Марокко, Алжире и Тунисе. Услуга доступна только в этих трех странах, но все действия по обработке персональных данных выполняются контролёром данных во Франции.

Example 4: A French company has developed a car-sharing application exclusively addressed to customers in Morocco, Algeria and Tunisia. The service is only available in those three countries but all personal data processing activities are carried out by the data controller in France.

Хотя сбор персональных данных осуществляется в государствах, не входящих в ЕС, последующая обработка персональных данных в этом случае осуществляется в контексте деятельности организационной единицы контролёра данных в Союзе. Следовательно, даже если обработка относится к персональным данным субъектов данных, которые не входят в Союз, положения GDPR будут применяться к обработке, осуществляемой французской компанией, согласно статье 3(1).

While the collection of personal data takes place in non-EU countries, the subsequent processing of personal data in this case is carried out in the context of the activities of an establishment of a data controller in the Union. Therefore, even though processing relates to personal data of data subjects who are not in the Union, the provisions of the GDPR will apply to the processing carried out by the French company, as per Article 3(1).

Пример 5. Фармацевтическая компания со штаб-квартирой в Стокгольме разместила всю свою деятельность по обработке персональных данных в отношении данных клинических испытаний в своем филиале в Сингапуре.

Example 5: A pharmaceutical company with headquarters in Stockholm has located all its personal data processing activities with regards to its clinical trial data in its branch based in Singapore.

В этом случае, когда обработка данных осуществляется в Сингапуре, эта обработка осуществляется в контексте деятельности фармацевтической компании в Стокгольме, то есть контролера данных, имеющего организационную единицу в Союзе. Таким образом, положения GDPR применяются к такой обработке в соответствии со статьей 3(1).

In this case, while the processing activities are taking place in Singapore, that processing is carried out in the context of the activities of the pharmaceutical company in Stockholm i.e. of a data controller established in the Union. The provisions of the GDPR therefore apply to such processing, as per Article 3(1).

При определении территориальной сферы действия GDPR, географическое местоположение будет иметь важное значение в соответствии со статьей 3(1) в отношении места организационной единицы:

In determining the territorial scope of the GDPR, geographical location will be important under Article 3(1) with regard to the place of establishment of:

— контролера или самого процессора (имеет ли он организационную единицув или за пределами Союза?);

— the controller or processor itself (is it established inside or outside the Union?);

— любого присутствия в бизнесе контролёра или процессора, расположенного за пределами ЕС (есть ли у него организационная единица в Союзе?)

— any business presence of a non-EU controller or processor (does it have an establishment in the Union?)

Однако географическое местоположение не имеет значения для целей статьи 3(1) в отношении места, в котором выполняется обработка, или в отношении местоположения рассматриваемых субъектов данных

However, geographical location is not important for the purposes of Article 3(1) with regard to the place in which processing is carried out, or with regard to the location of the data subjects in question.

Текст статьи 3(1) не ограничивает применение GDPR к обработке персональных данных лиц, которые находятся в Союзе. Поэтому EDPB считает, что любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе подпадает под действие GDPR, независимо от местонахождения или национальности субъекта данных, чьи персональные данные находятся в обработке. Этот подход подтверждается Преамбулой 14 GDPR, в котором говорится, что «защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их национальной принадлежности или места жительства, в связи с обработкой их персональных данных».

The text of Article 3(1) does not restrict the application of the GDPR to the processing of personal data of individuals who are in the Union. The EDPB therefore considers that any personal data processing in the context of the activities of an establishment of a controller or processor in the Union would fall under the scope of the GDPR, regardless of the location or the nationality of the data subject whose personal data are being processed. This approach is supported by Recital 14 of the GDPR which states that “[t]he protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data.”

d) Применение критерия организационной единицы к контроллеру и процессору

d) Application of the establishment criterion to controller and processor

Что касается деятельности по обработке, подпадающей под сферу действия статьи 3(1), то EDPB считает, что такие положения применяются к контролёрам и процессорам, чья деятельность по обработке осуществляется в контексте деятельности их соответствующей организационной единицы в ЕС. Признавая, что требования по установлению отношений между контролёром и процессором [17] не изменяются в зависимости от географического положения организационной единицы контролёра или процессора, EDPB придерживается мнения, что если речь заходит об идентификации различных обязательств, вызванных применимостью GDPR в соответствии со статьей 3(1), то обработка каждой организации должна рассматриваться отдельно.

As far as processing activities falling under the scope of Article 3(1) are concerned, the EDPB considers that such provisions apply to controllers and processors whose processing activities are carried out in the context of the activities of their respective establishment in the EU. While acknowledging that the requirements for establishing the relationship between a controller and a processor [17] does not vary depending on the geographical location of the establishment of a controller or processor, the EDPB takes the view that when it comes to the identification of the different obligations triggered by the applicability of the GDPR as per Article 3(1), the processing by each entity must be considered separately.

[17] В соответствии со статьей 28 EDPB напоминает, что деятельность процессора по обработки от имени контролёра регулируется договором или другим правовым актом в соответствии с законодательством Союза или государств-членов, который является обязательным для процессора в отношениях с контролёром, и что контролёры должны использовать услуги только тех процессоров, которые обеспечивают достаточные гарантии по осуществлению соответствующих технических и организационных мер таким образом, чтобы обработка отвечала требованиям GDPR и обеспечивала защиту прав субъектов данных.

[17] In accordance with Article 28, the EDPB recalls that processing activities by a processor on behalf of a controller shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller, and that controllers shall only use processors providing sufficient guarantees to implement appropriate measures in such manner that processing will meet the requirement of the GDPR and ensure the protection of data subjects’ rights.

GDPR предусматривает различные и специальные положения или обязательства, применимые к контролёрам и процессорам. Так, например, если контролёр или процессор подпадает под действие GDPR в соответствии со статьей 3(1), соответствующие обязательства будут применяться к ним соответственно и отдельно. В этом плане EDPB считает, что процессор в ЕС не должен рассматриваться как организационная единица контролёра данных в соответствии со статьей 3(1), то есть просто на основании его статуса процессора, действующего от имени контроллера.

The GDPR envisages different and dedicated provisions or obligations applying to data controllers and processors, and as such, should a data controller or processor be subject to the GDPR as per Article 3(1), the related obligations would apply to them respectively and separately. In this context, the EDPB notably deems that a processor in the EU should not be considered to be an establishment of a data controller within the meaning of Article 3(1) merely by virtue of its status as processor on behalf of a controller.

Само существование отношений между контролёром и процессором не обязательно приводит к применению GDPR к обоим организациям, если одна из этих двух организаций не будет иметь организационную единицу Союзе.

The existence of a relationship between a controller and a processor does not necessarily trigger the application of the GDPR to both, should one of these two entities not be established in the Union.

Организация, обрабатывающая персональные данные от имени и по поручению другой организации (компании-клиента), будет выполнять функции процессора для компании-клиента (контролера). Если процессор имеет организационную единицу в Союзе, он должен будет выполнять обязательства, налагаемые на процессора положениями GDPR («обязательства процессора GDPR»). Если контролёр, дающий поручение процессору, также находится в Союзе, этот контролёр должен будет выполнять обязательства, налагаемые на контролёра положениями GDPR («обязательства контролёра GDPR»). Деятельность по обработке, которая, когда она выполняется контролёром, подпадает в сферу действия GDPR в соответствии со статьей 3(1), не будет выходить за рамки Регламента просто потому, что контролёр даёт указанию процессору, не имеющему организационную единицу в Союзе, выполнять эту обработку от его имени.

An organisation processing personal data on behalf of, and on instructions from, another organisation (the client company) will be acting as processor for the client company (the controller). Where a processor is established in the Union, it will be required to comply with the obligations imposed on processors by the GDPR (the ‘GDPR processor obligations’). If the controller instructing the processor is also located in the Union, that controller will be required to comply with the obligations imposed on controllers by the GDPR (the ‘GDPR controller obligations’). Processing activity which, when carried out by a controller, falls within the scope of the GDPR by virtue of Art 3(1) will not fall outside the scope of the Regulation simply because the controller instructs a processor not established in the Union to carry out that processing on its behalf.

i) Обработка контролёром, который имеет организационную единицу в ЕС, отдающим распоряжения процессору, не имеющему организационную единицу в Союзе

i) Processing by a controller established in the EU instructing a processor not established in the Union

В тех случаях, когда контролёр, попадающий в сферу действия GDPR, решает использовать услуги процессора, расположенного за пределами Союза, для данной деятельности по обработке, контролёру все еще необходимо обеспечить обработку данных процессором по контракту или иному правовому акту в соответствии с GDPR. Статья 28(3) предусматривает, что обработка процессором регулируется договором или иным правовым актом. Следовательно, контролер должен убедиться, что он заключил контракт с процессором, отвечающий всем требованиям, изложенным в Статье 28(3). Кроме того, вполне вероятно, что для подтверждения того, что он выполнил свои обязательства по статье 28(1), — использовать услуги только того процессора, который обеспечивает достаточные гарантии для осуществления мер таким образом, чтобы обработка отвечала требованиям Регламента, и защищать права субъектов данных — контролеру, возможно, придется рассмотреть вопрос об обязательном включении в контракт обязательств, которые возложены GDPR на процессоров, на которых он распространяется. Другими словами, контролер должен обеспечить, чтобы процессор, не подпадающий под действие GDPR, выполнял обязательства, регулируемые договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, и упомянутые в статье 28(3).

Where a controller subject to GDPR chooses to use a processor located outside the Union for a given processing activity, it will still be necessary for the controller to ensure by contract or other legal act that the processor processes the data in accordance with the GDPR. Article 28(3) provides that the processing by a processor shall be governed by a contract or other legal act. The controller will therefore need to ensure that it puts in place a contract with the processor addressing all the requirements set out in Article 28(3). In addition, it is likely that, in order to ensure that it has complied with its obligations under Article 28(1) – to use only a processor providing sufficient guarantees to implement measures in such a manner that processing will meet the requirements of the Regulation and protect the rights of data subjects – the controller may need to consider imposing, by contract, the obligations placed by the GDPR on processors subject to it. That is to say, the controller would have to ensure that the processor not subject to the GDPR complies with the obligations, governed by a contract or other legal act under Union or Member State law, referred to Article 28(3).

Таким образом, на процессора, расположенного за пределами Союза, будут косвенно распространяться обязательства, налагаемые контролерами в соответствии с GDPR в силу договорных соглашений согласно статье 28. Кроме того, могут применяться положения главы V GDPR.

The processor located outside the Union will therefore become indirectly subject to some obligations imposed by controllers subject to the GDPR by virtue of contractual arrangements under Article 28. Moreover, provisions of Chapter V of the GDPR may apply.

Пример 6:

Example 6:

Финский научно-исследовательский институт проводит исследования, касающиеся народа саами. Институт запускает проект, который касается только саамов в России. Для этого проекта институт пользуется услугами процессора из Канады.

A Finnish research institute conducts research regarding the Sami people. The institute launches a project that only concerns Sami people in Russia. For this project the institute uses a processor based in Canada.

Финский контролер обязан использовать только тех процессоров, которые предоставляют достаточные гарантии для реализации соответствующих мер таким образом, чтобы обработка соответствовала требованиям GDPR и обеспечивала защиту прав субъектов данных. Финский контролёр должен заключить соглашение об обработке данных с канадским процессором, и обязанности процессора будут оговорены в этом правовом акте.

The Finnish controller has a duty to only use processors that provide sufficient guarantees to implement appropriate measures in such manner that processing will meet the requirement of the GDPR and ensure the protection of data subjects’ rights. The Finnish controller needs to enter into a data processing agreement with the Canadian processor, and the processor’s duties will be stipulated in that legal act.

ii) Обработка в контексте деятельности организационной единицы процессора в Союзе

ii) Processing in the context of the activities of an establishment of a processor in the Union

В то время как прецедентное право дает нам четкое представление о следствиях обработки, осуществляемой в контексте деятельности организационной единицы контролера, находящегося на территории ЕС, то следствия обработки, осуществляемой в контексте деятельности организационной единицы процессора, находящегося на территории ЕС, менее понятен.

Whilst case law provides us with a clear understanding of the effect of processing being carried out in the context of the activities of an EU establishment of the controller, the effect of processing being carried out in the context of the activities of an EU establishment of a processor is less clear.

EDPB подчеркивает, что важно учитывать организационные единицы контролёра и процессора отдельно при определении того, имеет ли каждая сторона «организационную единицу в Союзе».

The EDPB emphasises that it is important to consider the establishment of the controller and processor separately when determining whether each party is of itself ‘established in the Union’.

Первый вопрос заключается в том, имеет ли сам контролёр организационную единицу на территории Союза и осуществляет ли он обработку в контексте деятельности этой организационной единицы. Предполагая, что контролёр не обрабатывает данные в контексте его собственной организационной единицы в Союзе, на этого контролера не будут распространяться обязательства контролера, предусмотренные GDPR, в силу Статьи 3(1) (хотя на него все еще может распространяться Статья 3(2) ). Если нет других факторов, то организационная единица процессора, находящаяся на территории ЕС, не будет считаться организационной единицей в отношении контролера.

The first question is whether the controller itself has an establishment in the Union, and is processing in the context of the activities of that establishment. Assuming the controller is not considered to be processing in the context of its own establishment in the Union, that controller will not be subject to GDPR controller obligations by virtue of Article 3(1) (although it may still be caught by Article 3(2)). Unless other factors are at play, the processor’s EU establishment will not be considered to be an establishment in respect of the controller.

Тогда возникает отдельный вопрос о том, осуществляет ли процессор обработку в контексте своей организационной единицы, находящейся в Союзе. Если это так, то на процессора будут распространяться обязательства процессора, предусмотренные GDPR, согласно статье 3(1). Тем не менее, это не приводит к тому, что на контролера, не расположенного в ЕС, распространяются обязательства контролера, предусмотренные GDPR. То есть контроллер «не находящийся на территории ЕС» (как описано выше) не будет подпадать под действие GDPR просто потому, что он решит использовать услуги процессора, находящегося на территории Союза.

The separate question then arises of whether the processor is processing in the context of its establishment in the Union. If so, the processor will be subject to GDPR processor obligations under Article 3(1). However, this does not cause the non-EU controller to become subject to the GDPR controller obligations. That is to say, a “non-EU” controller (as described above) will not become subject to the GDPR simply because it chooses to use a processor in the Union.

По поручению процессора, находящегося на территории Союза, контролёр, не подпадающий под действие GDPR, не выполняет обработку «в контексте деятельности процессора, находящегося на территории Союза». Обработка выполняется в контексте собственной деятельности контролёра; процессор просто предоставляет услугу по обработке [18], которая не является «неразрывно связанной» с действиями контролёра. Как указывалось выше, в случае с процессором данных, который имеет организационную единицу в Союзе и выполняющим обработку от имени контролёра данных, имеющего организационную единицу за пределами Союза и не подпадающего под действие GDPR в соответствии со статьей 3(2), EDPB считает, что деятельность по обработке Контролёром данных не будет считаться подпадающей под территориальную сферу действия GDPR только потому, что он обрабатывается от его имени процессором, который имеет организационную единицу в Союзе. Однако, хотя контролёр данных не имеющего организационную единицу в Союзе и не подпадает под положения GDPR согласно Статье 3(2), на процессора данных, так как он имеет организационную единицу в Союзе, будут распространяться соответствующие положения GDPR согласно статье 3(1).

By instructing a processor in the Union, the controller not subject to GDPR is not carrying out processing “in the context of the activities of the processor in the Union”. The processing is carried out in the context of the controller’s own activities; the processor is merely providing a processing service [18] which is not “inextricably linked” to the activities of the controller. As stated above, in the case of a data processor established in the Union and carrying out processing on behalf of a data controller established outside the Union and not subject to the GDPR as per Article 3(2), the EDPB considers that the processing activities of the data controller would not be deemed as falling under the territorial scope of the GDPR merely because it is processed on its behalf by a processor established in the Union. However, even though the data controller is not established in the Union and is not subject to the provisions of the GDPR as per Article 3(2), the data processor, as it is established in the Union, will be subject to the relevant provisions of the GDPR as per Article 3(1).

[18] Предложение услуг по обработке в этом контексте не может рассматриваться как предложение услуг субъектам данных в Союзе.

[18] The offering of a processing service in this context cannot be considered either as an offer of a service to data subjects in the Union.

Пример 7. Мексиканская компания розничной торговли заключает контракт с процессором, у которого есть организационная единица в Испании, для обработки персональных данных, относящихся к клиентам мексиканской компании. Мексиканская компания предлагает и направляет свои услуги исключительно на мексиканский рынок, а ее обработка касается исключительно субъектов данных, расположенных за пределами Союза.

Example 7: A Mexican retail company enters into a contract with a processor established in Spain for the processing of personal data relating to the Mexican company’s clients. The Mexican company offers and directs its services exclusively to the Mexican market and its processing concerns exclusively data subjects located outside the Union.

В этом случае мексиканская компания розничной торговли не нацеливается на лиц на территории Союза посредством предложения им товаров или услуг, а также не отслеживает поведение людей на территории Союза. Поэтому обработка контролёром данных, имеющего организационную единицу за пределами Союза, не подлежит регулированию GDPR согласно Статье 3(2).

In this case, the Mexican retail company does not target persons on the territory of the Union through the offering of goods or services, nor it does monitor the behaviour of person on the territory of the Union. The processing by the data controller, established outside the Union, is therefore not subject to the GDPR as per Article 3(2).

Положения GDPR не применяются к контролеру данных в силу статьи 3(1), поскольку он не обрабатывает персональные данные в контексте деятельности организационной единицы в Союзе. Процессор данных имеет организационную единицу в Испании, и поэтому его обработка будет попадать в сферу действия GDPR в силу статьи 3(1). Процессор должен будет соблюдать обязательства процессора, налагаемые регламентом применительно к любой обработке, осуществляемой в контексте его деятельности.

The provisions of the GDPR do not apply to the data controller by virtue of Art 3(1) as it is not processing personal data in the context of the activities of an establishment in the Union. The data processor is established in Spain and therefore its processing will fall within the scope of the GDPR by virtue of Art 3(1). The processor will be required to comply with the processor obligations imposed by the regulation for any processing carried out in the context of its activities.

Когда речь идет о процессоре данных, который имеет организационную единицу в Союзе, который выполняет обработку от имени контролёра данных, не имеющего организационной единицы в Союзе для деятельности по обработке, и который не подпадает под территориальную сферу действия GDPR согласно статье 3(2) на процессора распространяются следующие положения GDPR, непосредственно применимые к процессорам данных:

When it comes to a data processor established in the Union carrying out processing on behalf of a data controller with no establishment in the Union for the purposes of the processing activity and which does not fall under the territorial scope of the GDPR as per Article 3(2), the processor will be subject to the following relevant GDPR provisions directly applicable to data processors:

— Обязательства, налагаемые на процессоров согласно статьям 28(2), (3), (4), (5) и (6), об обязанности заключить соглашение об обработке данных,за исключением тех, которые касаются помощи контролеру данных в выполнении его (контролера) собственных обязательств по GDPR.

— The obligations imposed on processors under Article 28 (2), (3), (4), (5) and (6), on the duty to enter into a data processing agreement, with the exception of those relating to the assistance to the data controller in complying with its (the controller’s) own obligations under the GDPR.

— Процессор и любое лицо, действующее под руководством контролёра или процессора, которое имеет доступ к персональным данным, не должны обрабатывать эти данные, кроме как по поручению контролёра, если только это не требуется в соответствии с законодательством Союза или государства-члена, как согласно статье 29 и статье 32(4).

— The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law, as per Article 29 and Article 32(4).

— При необходимости, согласно статье 30(2) процессор должен вести учет всех категорий обработок, выполняемых от имени контролера.

— Where applicable, the processor shall maintain a record of all categories of processing carried out on behalf of a controller, as per Article 30(2).

— При необходимости, в соответствии со статьей 31 процессор должен по запросу сотрудничать с надзорным органом при выполнении своих задач.

— Where applicable, the processor shall, upon request, cooperate with the supervisory authority in the performance of its tasks, as per Article 31.

— В соответствии со статьей 32 процессор должен принять технические и организационные меры для обеспечения уровня безопасности, соответствующие риску.

— The processor shall implement technical and organisational measures to ensure a level of security appropriate to the risk, as per Article 32.

— Согласно статье 33 процессор после того, как ему станет известно об утечке персональных данных, без неоправданной задержки должен уведомить об этом контролёра.

— The processor shall notify the controller without undue delay after becoming aware of a personal data breach, as per Article 33.

— При необходимости, процессор назначает инспектора по защите данных в соответствии со статьями 37 и 38.

— Where applicable, the processor shall designate a data protection officer as per Articles 37 and 38.

— Положения о передаче персональных данных третьим государствам или международным организациям согласно главе V.

— The provisions on transfers of personal data to third countries or international organisations, as per Chapter V.

Кроме того, поскольку такая обработка будет выполняться в контексте деятельности организационной единицы процессора в Союзе, EDPB напоминает, что процессор должен будет обеспечить, чтобы его обработка оставалась законной в отношении других обязательств в соответствии с законодательством ЕС или национальным законодательством. В статье 28(3) также уточняется, что «процессор незамедлительно информирует контролёра, если он считает, что выданное ему распоряжение нарушает настоящий Регламент или иные нормы Союза или государств-членов о защите персональных данных».

In addition, since such processing would be carried out in the context of the activities of an establishment of a processor in the Union, the EDPB recalls that the processor will have to ensure its processing remains lawful with regards to other obligations under EU or national law. Article 28(3) also specifies that “the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions.”

В соответствии c позициями, занятыми ранее Рабочей группой по Статье 29, EDPB считает, что территория Союза не может быть использована в качестве «хранилища данных», например, когда процесс обработки влечет за собой недопустимые этические проблемы [19], и что определенные юридические обязательства, выходящие за рамки применения законодательства ЕС о защите данных, в частности европейских и национальных правил в отношении общественного порядка, в любом случае должны соблюдаться любым процессором обработки данных, имеющим организационную единицу в Союзе, независимо от местоположения контролёра данных. Это также учитывает тот факт, что при реализации законодательства ЕС положения, вытекающие из GDPR и связанных с ним национальных законов, подпадают под действие Хартии Европейского союза по правам человека [20]. Однако это не накладывает дополнительных обязательств на контроллеров за пределами Союза в отношении обработки, не подпадающей под территориальную сферу действия GDPR.

In line with the positions taken previously by the Article 29 Working Party, the EDPB takes the view that the Union territory cannot be used as a “data haven”, for instance when a processing activity entails inadmissible ethical issues [19], and that certain legal obligations beyond the application of EU data protection law, in particular European and national rules with regard to public order, will in any case have to be respected by any data processor established in the Union, regardless of the location of the data controller. This consideration also takes into account the fact that by implementing EU law, provisions resulting from the GDPR and related national laws, are subject to the Charter of Fundamental Rights of the Union [20]. However, this does not impose additional obligations on controllers outside the Union in respect of processing not falling under the territorial scope of the GDPR.

[19] G 29 WP169 — Мнение 1/2010 о концепциях «контролёра» и «процессора», принятое 16 февраля 2010 года и пересматриваемое EDPB.

[19] G29 WP169 — Opinion 1/2010 on the concepts of «controller» and «processor», adopted on 16th February 2010 and under revision by the EDPB.

[20] Хартия Европейского союза по правам человека, 2012/C 326/02.

[20] Charter of Fundamental Right of the European Union, 2012/C 326/02.

2. ПРИМЕНЕНИЕ КРИТЕРИЯ ТАРГЕТИНГА – СТ. 3(2)

2. APPLICATION OF THE TARGETING CRITERION – ART 3(2)

Отсутствие организационной единицы в Союзе не обязательно означает, что обработки, осуществляемые контролером или процессором данных, созданными в третьей стране, будут исключены из сферы действия GDPR, поскольку в статье 3(2) изложены обстоятельства, при которых GDPR применяется к контролеру или процессору, не имеющим организационной единицы в Союзе, в зависимости от их осуществляемых ими обработок.

The absence of an establishment in the Union does not necessarily mean that processing activities by a data controller or processor established in a third country will be excluded from the scope of the GDPR, since Article 3(2) sets out the circumstances in which the GDPR applies to a controller or processor not established in the Union, depending on their processing activities.

В этом контексте EDPB подтверждает, что в отсутствие организационной единицы в Союзе контролер или процессор не могут воспользоваться механизмом единого окна, предусмотренным в статье 56 GDPR. Действительно, механизм сотрудничества и согласованности GDPR применяется только к контролерам и процессорам, имеющим организационную единицу или единицы в Европейском союзе [21].

In this context, the EDPB confirms that in the absence of an establishment in the Union, a controller or processor cannot benefit from the one-stop shop mechanism provided for in Article 56 of the GDPR. Indeed, the GDPR’s cooperation and consistency mechanism only applies to controllers and processors with an establishment, or establishments, within the European Union [21].

[21] G29 WP244 ред.1, 13 декабря 2016 года, Руководство по идентификации ведущего надзорного органа контролера или процессора — одобрено EDPB.

[21] G29 WP244 rev.1, 13th December 2016, Guidelines for identifying a controller or processor’s lead supervisory authority — endorsed by the EDPB.

Хотя настоящее Руководство направлено на разъяснение территориального сферы действия GDPR, EDPB также хочет подчеркнуть, что контролерам и процессорам также необходимо будет учитывать другие применимые тексты, такие как, например, отраслевое законодательство ЕС или государств-членов и национальные законы. Некоторые положения GDPR действительно позволяют государствам-членам вводить дополнительные условия и определять конкретные рамки защиты данных на национальном уровне в определенных областях или в связи с конкретными ситуациями обработки.

While the present guidelines aim to clarify the territorial scope of the GDPR, the EDPB also wish to stress that controllers and processors will also need to take into account other applicable texts, such as for instance EU or Member States’ sectorial legislation and national laws. Several provisions of the GDPR indeed allow Member States to introduce additional conditions and to define a specific data protection framework at national level in certain areas or in relation to specific processing situations.

Контролеры и процессоры должны поэтому гарантировать, что они осведомлены и соблюдают эти дополнительные условия и рамки, которые могут варьироваться от одного государства-члена к другому. Такие различия в положениях о защите данных, применяемых в каждом государстве-члене, особенно заметны в связи с положениями статьи 8 (при условии, что возраст, в котором дети могут дать действительное согласие в отношении обработки их данных службами информационного общества, может варьироваться между 13 и 16), статьи 9 (в отношении обработки специальных категорий данных), статьи 23 (ограничения) или относительно положений, содержащихся в главе IX GDPR (свобода выражения мнений и распространения информации; доступ общественности к официальным документам; национальный идентификационный номер; контекст занятости; обработки для архивных целей в интересах общества, для целей научного или исторического исследования или в статистических целях; секретность; церкви и религиозные организации).

Controllers and processors must therefore ensure that they are aware of, and comply with, these additional conditions and frameworks which may vary from one Member State to the other. Such variations in the data protection provisions applicable in each Member State are particularly notable in relation to the provisions of Article 8 ( providing that the age at which children may give valid consent in relation to the processing of their data by information society services may vary between 13 and 16), of Article 9 (in relation to the processing of special categories of data), Article 23 (restrictions) or concerning the provisions contained in Chapter IX of the GDPR (freedom of expression and information; public access to official documents; national identification number; employment context; processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes; secrecy; churches and religious associations).

Статья 3(2) GDPR предусматривает, что «настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются: (a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, (b) мониторинга их поведения, если такое поведение происходит в Союзе.».

Article 3(2) of the GDPR provides that “this Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.”

Применение «критерия таргетинга» к субъектам данных, которые находятся в Союзе, согласно Статье 3(2), может быть вызвано обработками, выполняемыми контролером или процессором, не имеющими организационной единицы в Союзе, которые относятся к двум отдельным и альтернативным видам деятельности при условии, что эти обработки относятся к субъектам данных, которые находятся в Союзе. Помимо применимости только к обработкам, осуществляемым контролером или процессором, не имеющим организационной единицы в Союзе, критерий таргетинга в основном фокусируется на том, к чему относятся «действия по обработке», что следует рассматривать в каждом конкретном случае.

The application of the “targeting criterion” towards data subjects who are in the Union, as per Article 3(2), can be triggered by processing activities carried out by a controller or processor not established in the Union which relate to two distinct and alternative types of activities provided that these processing activities relate to data subjects that are in the Union. In addition to being applicable only to processing by a controller or processor not established in the Union, the targeting criterion largely focuses on what the “processing activities” are “related to”, which is to be considered on a case-bycase basis.

EDPB подчеркивает, что на некоторые обработки контролера или процессора может распространяться GDPR, в то время как на другие обработки – нет. Определяющим элементом территориального применения GDPR, согласно статье 3(2), является рассмотрение отдельной обработки.

The EDPB stresses that a controller or processor may be subject to the GDPR in relation to some of its processing activities but not subject to the GDPR in relation to other processing activities. The determining element to the territorial application of the GDPR as per Article 3(2) lies in the consideration of the processing activities in question.

Поэтому при оценке условий применения критерия таргетинга EDPB рекомендует двоякий подход, чтобы сначала определить, что обработка относится к персональным данным субъектов данных, которые находятся в Союзе, и, во-вторых, относится ли обработка к предложению товаров или услуг или к мониторингу поведения субъектов данных в Союзе.

In assessing the conditions for the application of the targeting criterion, the EDPB therefore recommends a twofold approach, in order to determine first that the processing relates to personal data of data subjects who are in the Union, and second whether processing relates to the offering of goods or services or to the monitoring of data subjects’ behaviour in the Union.

а) Субъекты данных в Союзе

a) Data subjects in the Union

Формулировка статьи 3(2) относится к «персональным данным субъектов данных, которые находятся в Союзе» . Таким образом, применение критерия таргетинга не ограничивается гражданством, местом жительства или другим типом правового статуса субъекта данных, чьи личные данные обрабатываются. Пункт 14 декларативной части подтверждает это толкование и гласит, что «защита, предоставляемая настоящим Регламентом, должна применяться к обработкам персональных данных физических лиц вне зависимости от их национальности или места жительства».

The wording of Article 3(2) refers to “personal data of data subjects who are in the Union”. The application of the targeting criterion is therefore not limited by the citizenship, residence or other type of legal status of the data subject whose personal data are being processed. Recital 14 confirms this interpretation and states that “[t]he protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data”.

Это положение GDPR отражает императивный закон ЕС, который также устанавливает широкие возможности для защиты персональных данных, не ограничиваясь гражданами ЕС, а статья 8 Хартии об основных прав предусматривает, что право на защиту персональных данных не является ограниченным, а применимо для «всех» [22].

This provision of the GDPR reflects EU primary law which also lays down a broad scope for the protection of personal data, not limited to EU citizens, with Article 8 of the Charter of Fundamental Rights providing that the right to the protection of personal data is not limited but is for “everyone” [22].

[22] Хартия Европейского Союза об основных прав, статья 8(1), «Каждый имеет право на защиту персональных данных, касающихся его или ее».

[22] Charter of Fundamental Right of the European Union, Article 8(1), « Everyone has the right to the protection of personal data concerning him or her”.

Хотя местонахождение субъекта данных на территории Союза является определяющим фактором для применения критерия таргетинга согласно статье 3(2), EDPB считает, что гражданство или правовой статус субъекта данных, который находится в Союзе, не могут ограничивать или сужать территориальную сферу действия Регламента.

While the location of the data subject in the territory of the Union is a determining factor for the application of the targeting criterion as per Article 3(2), the EDPB considers that the nationality or legal status of a data subject who is in the Union cannot limit or restrict the territorial scope of the Regulation.

Требование, чтобы субъект данных находился в Союзе, должно оцениваться в момент, когда происходит соответствующая таргетинговая деятельность, то есть в момент предложения товаров или услуг или в момент, когда поведение отслеживается, независимо от продолжительности предложения или мониторинга.

The requirement that the data subject be located in the Union must be assessed at the moment when the relevant trigger activity takes place, i.e. at the moment of offering of goods or services or the moment when the behaviour is being monitored, regardless of the duration of the offer made or monitoring undertaken.

EDPB считает, однако, что в отношении обработок, связанных с предложением услуг, требование направлено на действия, которые преднамеренно, а не случайно или неумышленно, нацелены на отдельных лиц в ЕС. Следовательно, если обработка относится к услуге, которая предлагается только физическим лицам за пределами ЕС, но эта услуга не прекращается, когда такие лица попадают на территорию ЕС, соответствующая обработка не будет подпадать под действие GDPR. В этом случае обработка не связана с преднамеренным таргетингом на отдельных лиц в ЕС – она относится к таргетингу лиц за пределами ЕС, которая будет продолжаться независимо от того, остаются ли они за пределами ЕС или въезжают в Союз.

The EDPB considers however that, in relation to processing activities related to the offer of services, the provision is aimed at activities that intentionally, rather than inadvertently or incidentally, target individuals in the EU. Consequently, if the processing relates to a service that is only offered to individuals outside the EU but the service is not withdrawn when such individuals enter the EU, the related processing will not be subject to the GDPR. In this case the processing is not related to the intentional targeting of individuals in the EU but relates to the targeting of individuals outside the EU which will continue whether they remain outside the EU or whether they visit the Union.

Пример 8. Австралийская компания предлагает услугу мобильных новостей и видеоконтента на основе предпочтений и интересов пользователей. Пользователи могут получать ежедневные или еженедельные обновления. Услуга предоставляется исключительно пользователям, находящимся в Австралии, которые должны указать австралийский номер телефона при подписке.

Example 8: An Australian company offers a mobile news and video content service, based on users’ preferences and interest. Users can receive daily or weekly updates. The service is offered exclusively to users located in Australia, who must provide an Australian phone number when subscribing.

Австралийский подписчик сервиса отправляется в отпуск в Германию и продолжает пользоваться данной услугой.

An Australian subscriber of the service travels to Germany on holiday and continues using the service.

Несмотря на то, что австралийский подписчик будет использовать эту услугу, находясь в ЕС, она не предназначена для отдельных лиц в Союзе, а предназначена только для физических лиц в Австралии, поэтому обработка личных данных австралийской компанией не входит в сферу действия GDPR.

Although the Australian subscriber will be using the service while in the EU, the service is not ‘targeting’ individuals in the Union, but targets only individuals in Australia, and so the processing of personal data by the Australian company does not fall within the scope of the GDPR.

Пример 9: Стартап, созданный в США, без какого-либо делового присутствия или организационной единицы в ЕС, предоставляет туристам картографическое приложение. Приложение обрабатывает персональные данные о местонахождении клиентов, использующих приложение (субъекты данных), как только они начинают использовать приложение в городе, который они посещают, чтобы предложить целевую рекламу мест для посещения, ресторанов, баров и отелей. Приложение доступно для туристов, когда они посещают Нью-Йорк, Сан-Франциско, Торонто, Париж и Рим.

Example 9: A start-up established in the USA, without any business presence or establishment in the EU, provides a city-mapping application for tourists. The application processes personal data concerning the location of customers using the app (the data subjects) once they start using the application in the city they visit, in order to offer targeted advertisement for places to visits, restaurant, bars and hotels. The application is available for tourists while they visit New York, San Francisco, Toronto, Paris and Rome.

Американский стартап через свое приложение для картографирования городов осуществляет точечный таргетинг на людей в Союзе (а именно в Париже и Риме), предлагая им свои услуги, когда они находятся в Союзе. Обработка персональных данных субъектов данных, находящихся в ЕС, в связи с предложением услуги входит в сферу применения GDPR согласно статье 3(2)a. Кроме того, посредством обработки данных о местонахождении субъектов для предоставления целевой рекламы на основе их местоположения, осуществляемые обработки также связаны с мониторингом поведения отдельных лиц в Союзе. Таким образом, осуществляемые стартапом обработки также попадают под действие GDPR согласно Статье 3(2)b.

The US start-up, via its city mapping application, is specifically targeting individuals in the Union (namely in Paris and Rome) through offering its services to them when they are in the Union. The processing of the EU-located data subjects’ personal data in connection with the offering of the service falls within the scope of the GDPR as per Article 3(2)a. Furthermore, by processing data subject’s location data in order to offer targeted advertisement on the basis of their location, the processing activities also relate to the monitoring of behaviour of individuals in the Union. The US start-up processing therefore also falls within the scope of the GDPR as per Article 3(2)b.

EDPB подчеркивает, что сам факт обработки персональных данных отдельного лица в Союзе недостаточен для того, чтобы повлечь применение GDPR для обработок контролера или процессора, не имеющих организационной единицы в Союзе. Элемент «таргетинга» на отдельных лиц в ЕС посредством предложения им товаров или услуг либо отслеживания их поведения (как будет разъяснено ниже), всегда должен присутствовать дополнительно.

The EDPB also wishes to underline that the fact of processing personal data of an individual in the Union alone is not sufficient to trigger the application of the GDPR to processing activities of a controller or processor not established in the Union. The element of «targeting» individuals in the EU, either by offering goods or services to them or by monitoring their behaviour (as further clarified below), must always be present in addition.

Пример 10. Гражданин США путешествует по Европе во время отпуска. Находясь в Европе, он загружает и использует новостное приложение, предлагаемое американской компанией. Приложение предназначено исключительно для рынка США, что подтверждается условиями использования приложения и указанием доллара США в качестве единственной валюты, доступной для оплаты. Сбор личных данных американского туриста через приложение, осуществляемый компанией из США, не попадает под действие GDPR.

Example 10: A U.S. citizen is travelling through Europe during his holidays. While in Europe, he downloads and uses a news app that is offered by a U.S. company. The app is exclusively directed at the U.S. market, evident by the app terms of use and the indication of US Dollar as the sole currency available for payment. The collection of the U.S. tourist’s personal data via the app by the U.S. company is not subject to the GDPR.

Кроме того, следует отметить, что обработка персональных данных граждан или резидентов ЕС, которая происходит в третьей стране, не влечет применения GDPR, если обработка не связана с конкретным предложением, адресованным отдельным лицам в ЕС или для мониторинга их поведения в Союзе.

Moreover, it should be noted that the processing of personal data of EU citizens or residents that takes place in a third country does not trigger the application of the GDPR, as long as the processing is not related to a specific offer directed at individuals in the EU or to a monitoring of their behaviour in the Union.

Пример 11. У банка в Тайване есть клиенты, которые проживают на Тайване, но имеют немецкое гражданство. Банк работает только на Тайване; его деятельность не направлена на рынок ЕС. Обработка банком персональных данных его немецких клиентов не попадает под действие GDPR.

Example 11: A bank in Taiwan has customers that are residing in Taiwan but hold German citizenship. The bank is active only in Taiwan; its activities are not directed at the EU market. The bank’s processing of the personal data of its German customers is not subject to the GDPR.

Пример 12. Иммиграционный орган Канады обрабатывает персональные данные граждан ЕС при въезде на территорию Канады с целью проверки их заявления на получение визы. Эта обработка не попадает под действие GDPR.

Example 12: The Canadian immigration authority processes personal data of EU citizens when entering the Canadian territory for the purpose of examining their visa application. This processing is not subject to the GDPR.

b) Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

b) Offering of goods or services, irrespective of whether a payment of the data subject is required, to data subjects in the Union

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть — любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

The first activity triggering the application of Article 3(2) is the “offering of goods or services”, a concept which has been further addressed by EU law and case law, which should be taken into account when applying the targeting criterion. The offering of services also includes the offering of information society services, defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 [23] as “any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services”.

[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.

[23] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services.

В статье 3(2)(а) указывается, что критерий таргетинга, касающийся предложения товаров или услуг, применяется независимо от того, требуется ли платеж от субъекта данных. Поэтому вопрос о том, следует ли рассматривать деятельность контролера или процессора, не имеющих организационной единицы в Союзе, как предложение товара или услуги, не зависит от того, произведен ли платеж в обмен на предоставленные товары или услуги [24].

Article 3(2)(a) specifies that the targeting criterion concerning the offering of goods or services applies irrespective of whether a payment by the data subject is required. Whether the activity of a controller or processor not established in the Union is to be considered as an offer of a good or a service is not therefore dependent whether payment is made in exchange for the goods or services provided [24].

[24] См., в частности, CJEU, C-352/85, Bond van Adverteerders and Others vs. The Netherlands State, 26 апреля 1988 г., пар. 16) и CJEU, C-109/92, Wirth [1993] Racc. I-6447, пар. 15.

[24] See, in particular, CJEU, C-352/85, Bond van Adverteerders and Others vs. The Netherlands State, 26 April 1988, par. 16), and CJEU, C-109/92, Wirth [1993] Racc. I-6447, par. 15.

Пример 13: Американская компания без какой-либо организационной идиницы в ЕС обрабатывает персональные данные своих сотрудников, которые находились во временной командировке во Франции, Бельгии и Нидерландах в целях управления персоналом, в частности, чтобы возместить свои расходы на проживание и выплата их суточных, которые варьируются в зависимости от страны, в которой они находятся.

Example 13: A US company, without any establishment in the EU, processes personal data of its employees that were on a temporary business trip to France, Belgium and the Netherlands for human resources purposes, in particular to proceed with the reimbursement of their accommodation expenses and the payment of their daily allowance, which vary depending on the country they are in.

В этой ситуации, хотя процесс обработки непосредственно связан с лицами на территории Союза (то есть с работниками, временно находящимися во Франции, Бельгии и Нидерландах), он не связан с предложением услуг этим лицам, а скорее является частью обработки, необходимой работодателю для выполнения его договорных обязательств и кадровых обязанностей, связанных с работой по найму. Деятельность по обработке не относится к предложению услуг и, следовательно, не подпадает под положения GDPR согласно Статье 3(2)a.

In this situation, while the processing activity is specifically connected to persons on the territory of the Union (i.e. employees who are temporarily in France, Belgium and the Netherlands) it does not relate to an offer of a service to those individuals, but rather is part of the processing necessary for the employer to fulfil its contractual obligation and human resources duties related to the individual’s employment. The processing activity does not relate to an offer of service and is therefore not subject to the provision of the GDPR as per Article 3(2)a.

Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».

Another key element to be assessed in determining whether the Article 3(2)(a) targeting criterion can be met is whether the offer of goods or services is directed at a person in the Union, or in other words, whether the conduct on the part of the controller, which determines the means and purposes of processing, demonstrates its intention to offer goods or a services to a data subject located in the Union. Recital 23 of the GDPR indeed clarifies that “in order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union.”

В последующих пунктах говорится, что «тогда как простая доступность веб-сайта контролера, процессора или посредника в Союзе, адреса электронной почты или других контактных данных, или использование языка, обычно используемого в третьей стране, где контролер создан, недостаточно для выяснения такого намерения; такие факторы, как использование языка или валюты, обычно используемой в одном или нескольких государствах-членах, с возможностью заказа товаров и услуг на этом другом языке, или упоминание клиентов или пользователей которые находятся в Союзе, позволяют понять, что контролер предусматривает предложение товаров или услуг субъектам данных в Союзе».

The recital further specifies that “whereas the mere accessibility of the controller’s, processor’s or an intermediary’s website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.”

Элементы, перечисленные в пункте 23 декларативной части, повторяют и соответствуют прецедентному праву CJEU, основанному на Постановлении Совета 44/2001 [25] о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам, и, в частности, статьи 15(1)(с). В деле Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (объединенные дела C-585/08 и C-144/09) Суду было предложено разъяснить, что означает «прямая деятельность» по смыслу статьи 15(1)(c) Регламента 44/2001 (Brussels I). CJEU постановил, что для того, чтобы определить, можно ли считать, что трейдер «направляет» свою деятельность в государство-член по месту жительства потребителя, по смыслу статьи 15(1)(c) Brussels I, трейдер должен проявить намерение установить коммерческие отношения с такими потребителями. В этом контексте CJEU рассмотрел доказательства, демонстрирующие, что трейдер намеревался вести бизнес с потребителями, проживающими в государстве-члене.

The elements listed in Recital 23 echo and are in line with the CJEU case law based on Council Regulation 44/2001 [25] on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters, and in particular its Article 15(1)(c). In Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (Joined cases C-585/08 and C-144/09), the Court was asked to clarify what it means to “direct activity” within the meaning of Article 15(1)(c) of Regulation 44/2001 (Brussels I). The CJEU held that, in order to determine whether a trader can be considered to be “directing” its activity to the Member State of the consumer’s domicile, within the meaning of Article 15(1)(c) of Brussels I, the trader must have manifested its intention to establish commercial relations with such consumers. In this context, the CJEU considered evidence able to demonstrate that the trader was envisaging doing business with consumers domiciled in a Member State.

[25] Постановление Совета (ЕС) № 44/2001 от 22 декабря 2000 года о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам.

[25] Council Regulation (EC) No 44/2001 of 22 December 2000 on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters.

Хотя понятие «направление деятельности» отличается от «предложения товаров или услуг», EDPB считает, что прецедентное право, а именно Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (Объединенные дела C-585/08 и C -144/09) [26] может оказаться полезным при рассмотрении вопроса о том, предлагаются ли товары или услуги субъекту данных в Союзе. Принимая во внимание конкретные обстоятельства дела, можно, среди прочего, учитывать следующие факторы, возможно, в сочетании друг с другом:

While the notion of “directing an activity” differs from the “offering of goods or services”, the EDPB deems this case law in in Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (Joined cases C-585/08 and C-144/09) [26] might be of assistance when considering whether goods or services are offered to a data subject in the Union. When taking into account the specific facts of the case, the following factors could therefore inter alia be taken into consideration, possibly in combination with one another:

[26] Это тем более имеет отношение, потому что в соответствии со статьей 6 Регламента (ЕС) № 593/2008 Европейского парламента и Совета от 17 июня 2008 года о праве, применимом к договорным обязательствам (Рим I), при отсутствии выбора права критерий «направления деятельности» в страну обычного проживания потребителя принимается во внимание, чтобы выбрать закон обычного проживания потребителя в качестве права, применимого к договору.

[26] It is all the more relevant that, under Article 6 of Regulation (EC) No 593/2008 of the European Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), in absence of choice of law, this criterion of “directing activity” to the country of the consumer’s habitual residence is taken into account to designate the law of the consumer’s habitual residence as the law applicable to the contract.

— ЕС или, по крайней мере, одно государство-член обозначено по имени со ссылкой на предлагаемый товар или услугу;

— The EU or at least one Member State is designated by name with reference to the good or service offered;

— Контролер данных или процессор платят оператору поисковой системы за службу интернет-ссылок, чтобы облегчить доступ к сайту для потребителей в Союзе; или контролер или процессор начали маркетинговые и рекламные компании, направленные на аудиторию стран ЕС

— The data controller or processor pays a search engine operator for an internet referencing service in order to facilitate access to its site by consumers in the Union; or the controller or processor has launched marketing and advertisement campaigns directed at an EU country audience

— международный характер рассматриваемой деятельности, такой как определенные виды туристической деятельности;

— The international nature of the activity at issue, such as certain tourist activities;

— упоминание выделенных адресов или телефонных номеров для связи со страной ЕС;

— The mention of dedicated addresses or phone numbers to be reached from an EU country;

— использование доменного имени верхнего уровня, отличного от имени третьей страны, в которой установлен контролер или процессор, например «.de», или использование нейтральных доменных имен верхнего уровня, таких как «.eu»;

— The use of a top-level domain name other than that of the third country in which the controller or processor is established, for example “.de”, or the use of neutral top-level domain names such as “.eu”;

— описание инструкций по поездке из одного или нескольких других государств-членов ЕС в место, где предоставляется услуга;

— The description of travel instructions from one or more other EU Member States to the place where the service is provided;

— упоминание международной клиентуры, состоящей из клиентов, проживающих в различных государствах-членах ЕС, в частности, путем представления аккаунтов, созданных такими клиентами;

— The mention of an international clientele composed of customers domiciled in various EU Member States, in particular by presentation of accounts written by such customers;

— использование языка или валюты, отличной от той, которая обычно используется в стране трейдера, особенно языка или валюты одной или нескольких стран-членов ЕС;

— The use of a language or a currency other than that generally used in the trader’s country, especially a language or currency of one or more EU Member states;

— Контролер данных предлагает доставку товаров в страны-члены ЕС.

— The data controller offers the delivery of goods in EU Member States.

Как уже упоминалось, некоторые из перечисленных выше элементов, если они взяты по отдельности, могут не являться четким указанием на намерение контролера данных предлагать товары или услуги субъектам данных в Союзе, однако каждый из них должен учитываться в любом фактическом анализе, чтобы определить, может ли совокупность факторов, относящихся к коммерческой деятельности контролера данных, рассматриваться вместе как предложение товаров или услуг, адресованное субъектам данных в Союзе.

As already mentioned, several of the elements listed above, if taken alone may not amount to a clear indication of the intention of a data controller to offer goods or services to data subjects in the Union, however, they should each be taken into account in any in concreto analysis in order to determine whether the combination of factors relating to the data controller’s commercial activities can together be considered as an offer of goods or services directed at data subjects in the Union.

Однако важно напомнить, что пункт 23 декларативной части подтверждает, что простая доступность веб-сайта контролера, процессора или посредника в Союзе, упоминание на веб-сайте его адреса электронной почты или географического адреса, или его телефонного номера без международного кода само по себе не представляет достаточных доказательств, чтобы продемонстрировать намерение контролера или процессора предложить товары или услуги субъекту данных, расположенному в Союзе. В этом контексте EDPB напоминает, что когда товары или услуги непреднамеренно или случайно предоставляются лицу на территории Союза, соответствующая обработка персональных данных не попадает в территориальные рамки GDPR.

It is however important to recall that Recital 23 confirms that the mere accessibility of the controller’s, processor’s or an intermediary’s website in the Union, the mention on the website of its e-mail or geographical address, or of its telephone number without an international code, does not, of itself, provide sufficient evidence to demonstrate the controller or processor’s intention to offer goods or a services to a data subject located in the Union. In this context, the EDPB recalls that when goods or services are inadvertently or incidentally provided to a person on the territory of the Union, the related processing of personal data would not fall within the territorial scope of the GDPR.

Пример 14. Веб-сайт, расположенный и администрируемый в Турции, предлагает услуги по созданию, редактированию, печати и доставке персонализированных фотоальбомов семейных фотографий. Сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию.

Example 14: A website, based and managed in Turkey, offers services for the creation, editing, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros. The website indicates that photo albums can only be delivered by post mail in France, Benelux countries and Germany.

В этом случае становится очевидным, что создание, редактирование и печать персонализированных фотоальбомов для семьи составляют услугу по смыслу законодательства ЕС. Тот факт, что веб-сайт доступен на четырех языках ЕС и что фотоальбомы могут быть доставлены по почте в шесть государств-членов ЕС, демонстрирует намерение турецкого веб-сайта предлагать свои услуги отдельным лицам в Союзе.

In this case, it is clear that the creation, editing and printing of personalised family photo albums constitute a service within the meaning of EU law. The fact that the website is available in four languages of the EU and that photo albums can be delivered by post in six EU Member States demonstrates that there is an intention on the part of the Turkish website to offer its services to individuals in the Union.

Как следствие, ясно, что обработка, выполняемая турецким веб-сайтом в качестве контролера данных, относится к предложению услуги субъектам данных в Союзе и поэтому подчиняется обязательствам и положениям GDPR согласно его статья 3(2)(а).

As a consequence, it is clear that the processing carried out by the Turkish website, as a data controller, relates to the offering of a service to data subjects in the Union and is therefore subject to the obligations and provisions of the GDPR, as per its Article 3(2)(a).

В соответствии со статьей 27 контролер данных должен будет назначить представителя в Союзе.

In accordance with Article 27, the data controller will have to designate a representative in the Union.

Пример 15: Частная компания, базирующаяся в Монако, обрабатывает персональные данные своих сотрудников в целях выплаты заработной платы. Большое количество сотрудников компании являются резидентами Франции и Италии.

Example 15: A private company based in Monaco processes personal data of its employees for the purposes of salary payment. A large number of the company’s employees are French and Italian residents.

В этом случае, хотя обработка, выполняемая компанией, относится к субъектам данных во Франции и Италии, она не происходит в контексте предложения товаров или услуг. Действительно, управление человеческими ресурсами, включая выплату заработной платы компанией из третьей страны, не может рассматриваться как предложение услуг по смыслу статьи 3(2)a. Данная обработка не относится к предложению товаров или услуг субъектам данных в Союзе (ни к мониторингу поведения) и, как следствие, не подпадает под положения GDPR по смыслу статьи 3.

In this case, while the processing carried out by the company relates to data subjects in France and Italy, it does not takes place in the context of an offer of goods or services. Indeed human resources management, including salary payment by a third-country company cannot be considered as an offer of service within the meaning of Art 3(2)a. The processing at stake does not relate to the offer of goods or services to data subjects in the Union (nor to the monitoring of behaviour) and, as a consequence, is not subject to the provisions of the GDPR, as per Article 3.

Эта оценка не наносит ущерба применимому законодательству соответствующей третьей страны.

This assessment is without prejudice to the applicable law of the third country concerned.

Пример 16. Швейцарский университет в Цюрихе начинает процесс отбора на получение степени магистра, предоставив онлайн-платформу, где кандидаты могут загрузить свое резюме и сопроводительное письмо, а также свои контактные данные. Процесс отбора открыт для любого студента с достаточным уровнем немецкого и английского языков, имеющего степень бакалавра. Университет специально не таргетирует рекламу на студентов в университетах ЕС, а принимает оплату только в швейцарской валюте.

Example 16: A Swiss University in Zurich is launching its Master degree selection process, by making available an online platform where candidates can upload their CV and cover letter, together with their contact details. The selection process is open to any student with a sufficient level of German and English and holding a Bachelor degree. The University does not specifically advertise to students in EU Universities, and only takes payment in Swiss currency.

Поскольку нет никаких отличий или спецификаций для студентов из Союза в процессе подачи заявок и отбора для получения этой степени магистра, нельзя установить, что Швейцарский университет намерен осуществлять таргетинг на студентов из определенных стран-членов ЕС. Достаточный уровень немецкого и английского является общим требованием, которое применяется к любому заявителю, будь то резидент Швейцарии, лицо в Союзе или студент из третьей страны. Без других факторов, указывающих на конкретную целевую аудиторию студентов в государствах-членах ЕС, поэтому невозможно установить, что рассматриваемая обработка относится к предложению образовательных услуг субъекту данных в Союзе, и поэтому такая обработка не будет подпадать под положения GDPR.

As there is no distinction or specification for students from the Union in the application and selection process for this Master degree, it cannot be established that the Swiss University has the intention to target students from a particular EU member states. The sufficient level of German and English is a general requirement that applies to any applicant whether a Swiss resident, a person in the Union or a student from a third country. Without other factors to indicate the specific targeting of students in EU member states, it therefore cannot be established that the processing in question relates to the offer of an education service to data subject in the Union, and such processing will therefore not be subject to the GDPR provisions.

Швейцарский университет также предлагает летние курсы по международным отношениям и специально рекламирует это предложение в немецких и австрийских университетах, чтобы максимизировать посещаемость курсов. В этом случае у Швейцарского университета есть четкое намерение предложить такую услугу субъектам данных, которые находятся в Союзе, и GDPR будет применяться к соответствующим обработкам.

The Swiss University also offers summer courses in international relations and specifically advertises this offer in German and Austrian universities in order to maximise the courses’ attendance. In this case, there is a clear intention from the Swiss University to offer such service to data subjects who are in the Union, and the GDPR will apply to the related processing activities.

c) Мониторинг поведения субъектов данных

c) Monitoring of data subjects’ behaviour

Вторым видом деятельности, влекущим применение Статьи 3(2), является мониторинг поведения субъектов данных в отношении их поведения в рамках Союза.

The second type of activity triggering the application of Article 3(2) is the monitoring of data subject behaviour as far as their behaviour takes place within the Union.

Пункт 24 декларативной части разъясняет, что «обработка персональных данных субъектов данных, находящихся в Союзе, контролером или процессором, не имеющими организационной единицы в Союзе, также должна подпадать под действие настоящего Регламента, если она связана с мониторингом поведение таких субъектов данных в Союзе».

Recital 24 clarifies that “[t]he processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union.”

Для того, чтобы статья 3(2)(b) повлекла применение GDPR, отслеживаемое поведение должно сначала относиться к субъекту данных в Союзе, и, как совокупный критерий, отслеживаемое поведение должно иметь место на территории Союза.

For Article 3(2)(b) to trigger the application of the GDPR, the behaviour monitored must first relate to a data subject in the Union and, as a cumulative criterion, the monitored behaviour must take place within the territory of the Union.

Характер процесса обработки, который можно рассматривать как поведенческий мониторинг, дополнительно описан в пункте 24 декларативной части, в котором говорится, что «для того чтобы определить, можно ли рассматривать обработку в качестве мониторинга поведения субъектов данных, следует определить, отслеживаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, которые включают в себя профилирование физического лица, особенно для принятия решений, касающихся его или ее или для анализа или прогнозирования ее или его личных предпочтений, поведения и отношений». В то время как пункт 24 декларативной части относится исключительно к мониторингу поведения посредством отслеживания человека в Интернете, EDPB считает, что отслеживание через другие типы сетей или технологий, включающих обработку персональных данных, также должно приниматься во внимание при определении того, составляет ли обработка мониторинг поведения, например, через портативные и другие умные устройства.

The nature of the processing activity which can be considered as behavioural monitoring is further specified in Recital 24 which states that “in order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.” While Recital 24 exclusively relates to the monitoring of a behaviour through the tracking of a person on the internet, the EDPB considers that tracking through other types of network or technology involving personal data processing should also be taken into account in determining whether a processing activity amounts to a behavioural monitoring, for example through wearable and other smart devices.

В отличие от положения Статьи 3(2)(а), ни Статья 3(2)(b), ни пункт 24 декларативной части явно не вводят необходимую степень «намерения таргетировать» со стороны контролера данных или процессора, чтобы определить, может ли деятельность по мониторингу повлечь применение GDPR к обработкам. Тем не менее использование слова «мониторинг» подразумевает, что контролер имеет конкретную цель для сбора и последующего повторного использования соответствующих данных о поведении человека в ЕС. EDPB не считает, что любой онлайн-сбор или анализ личных данных отдельных лиц в ЕС автоматически будет считаться «мониторингом». Необходимо будет рассмотреть цели контролера для обработки данных и, в частности, любые последующие методы поведенческого анализа или профилирования с использованием этих данных. EDPB учитывает формулировку пункта 24 декларативной части, которая указывает на то, что для определения того, включает ли обработка мониторинг поведения субъекта данных, ключевым фактором является отслеживание физических лиц в Интернете, включая потенциальное последующее использование методов профилирования.

As opposed to the provision of Article 3(2)(a), neither Article 3(2)(b) nor Recital 24 expressly introduce a necessary degree of “intention to target” on the part of the data controller or processor to determine whether the monitoring activity would trigger the application of the GDPR to the processing activities. However, the use of the word “monitoring” implies that the controller has a specific purpose in mind for the collection and subsequent reuse of the relevant data about an individual’s behaviour within the EU. The EDPB does not consider that any online collection or analysis of personal data of individuals in the EU would automatically count as “monitoring”. It will be necessary to consider the controller’s purpose for processing the data and, in particular, any subsequent behavioural analysis or profiling techniques involving that data. The EDPB takes into account the wording of Recital 24, which indicates that to determine whether processing involves monitoring of a data subject behaviour, the tracking of natural persons on the Internet, including the potential subsequent use of profiling techniques, is a key consideration.

Применение статьи 3(2)(b), когда контролер данных или процессор контролируют поведение субъектов данных, находящихся в Союзе, может, таким образом, охватывать широкий спектр мероприятий по мониторингу, включая, в частности:

The application of Article 3(2)(b) where a data controller or processor monitors the behaviour of data subjects who are in the Union could therefore encompass a broad range of monitoring activities, including in particular:

— Поведенческая реклама

— Behavioural advertisement

— геолокализация деятельности, в частности, в маркетинговых целях

— Geo-localisation activities, in particular for marketing purposes

— Онлайн отслеживание с помощью файлов cookie или других методов отслеживания, таких как дактилоскопия

– Online tracking through the use of cookies or other tracking techniques such as fingerprinting

— Персонализированные услуги для анализа питания и здоровья онлайн

— Personalised diet and health analytics services online

— Кабельное телевидение

— CCTV

— Обзоры рынка и другие исследования поведения на основе индивидуальных профилей

— Market surveys and other behavioural studies based on individual profiles

— Мониторинг или регулярные отчеты о состоянии здоровья человека

— Monitoring or regular reporting on an individual’s health status

Пример 17: Консалтинговая компания розничной торговли, созданная в США, предоставляет консультации по планировке розничной торговли в торговом центре во Франции на основе анализа перемещений клиентов по всему центру, собранных с помощью отслеживания Wi-Fi.

Example 17: A retail consultancy company established in the US provides advice on retail layout to a shopping centre in France, based on an analysis of customers’ movements throughout the centre collected through Wi-Fi tracking.

Анализ перемещений клиентов внутри центра с помощью отслеживания Wi-Fi будет означать мониторинг поведения людей. В этом случае поведение субъектов данных происходит в Союзе, поскольку торговый центр находится во Франции. Таким образом, консалтинговая компания в качестве контролера данных подчиняется GDPR в отношении обработки этих данных для этой цели в соответствии со статьей 3(2)(b).

The analysis of a customers’ movements within the centre through Wi-Fi tracking will amount to the monitoring of individuals’ behaviour. In this case, the data subjects’ behaviour takes place in the Union since the shopping centre is located in France. The consultancy company, as a data controller, is therefore subject to the GDPR in respect of the processing of this data for this purpose as per its Article 3(2)(b).

В соответствии со статьей 27 контролер данных должен будет назначить представителя в Союзе.

In accordance with Article 27, the data controller will have to designate a representative in the Union.

Пример 18: Разработчик приложений, созданный в Канаде и не имеющий организационной единицы в Союзе, осуществляет мониторинг поведения субъекта данных в Союзе и, следовательно, подчиняется GDPR согласно Статье 3(2)b. Разработчик использует процессор, созданный в США, для оптимизации и обслуживания приложений.

Example 18: An app developer established in Canada with no establishment in the Union monitors the behaviour of data subject in the Union and is therefore subject to the GDPR, as per Article 3(2)b. The developer uses a processor established in the US for the app optimisation and maintenance purposes.

Что касается этой обработки, канадский контролер обязан использовать только надлежащих процессоров и обеспечить, чтобы его обязательства по GDPR были отражены в контракте или правовом акте, регулирующем его отношения с процессором в США в соответствии со статьей 28.

In relation to this processing, the Canadian controller has the duty to only use appropriate processors and to ensure that its obligations under the GDPR are reflected in the contract or legal act governing the relation with its processor in the US, pursuant to Article 28.

d) Процессоры, не имеющие организационной единицы в Союзе

d) Processor not established in the Union

Обработка персональных данных, «связанная» с целевой деятельностью, которая повлекла применение Статьи 3(2), подпадает под территориальную сферу действия GDPR. EDPB считает, что между обработкой и предложением товара или услуги должна быть связь, но обработка как контроллером, так и процессором имеет важное значение и должна быть принята во внимание.

Processing activities which are “related” to the targeting activity which triggered the application of Article 3(2) fall within the territorial scope of the GDPR. The EDPB considers that there needs to be a connection between the processing activity and the offering of good or service, but both processing by a controller and a processor are relevant and to be taken into account.

Когда речь идет о процессоре, не имеющем организационной единицы в Союзе, для того чтобы определить, может ли осуществляемая им обработка подпадать под действие GDPR в соответствии со статьей 3(2), необходимо выяснить, относятся ли действия по обработке, выполняемые процессором, к таргетинговой деятельности контроллера.

When it comes to a data processor not established in the Union, in order to determine whether its processing may be subject to the GDPR as per Article 3(2), it is necessary to look at whether the processing activities by the processor “are related” to the targeting activities of the controller.

EDPB считает, что в тех случаях, когда действия по обработке, выполняемые контролером, относятся к предложению товаров или услуг или к мониторингу поведения отдельных лиц в Союзе («таргетинг»), любой процессор, которому поручено выполнять эту обработку по поручению контролера, будет подпадать под действие GDPR в силу статьи 3(2) в отношении этой обработки.

The EDPB considers that, where processing activities by a controller relates to the offering of goods or services or to the monitoring of individuals’ behaviour in the Union (‘targeting’), any processor instructed to carry out that processing activity on behalf of the controller will fall within the scope of the GDPR by virtue of Art 3(2) in respect of that processing.

«Таргетинговый» характер обработки связан с ее целями и средствами; Решение о таргетинге на отдельных лиц в Союзе может быть принято только лицом, действующим в качестве контролера. Такая интерпретация не исключает возможности того, что процессор может принимать активное участие в процессах обработки, связанных с выполнением критериев таргетинга (т.е. процессор предлагает товары или услуги или выполняет действия по контролю от имени и по поручению контролера).

The ‘Targeting’ character of a processing activity is linked to its purposes and means; a decision to target individuals in the Union can only be made by an entity acting as a controller. Such interpretation does not rule out the possibility that the processor may actively take part in processing activities related to carrying out the targeting criteria (i.e. the processor offers goods or services or carries out monitoring actions on behalf of, and on instruction from, the controller).

Поэтому EDPB считает, что основное внимание следует уделять связи между обработками, выполняемыми процессором, и действиями по таргетингу, выполняемыми контролером данных.

The EDPB therefore considers that the focus should be on the connection between the processing activities carried out by the processor and the targeting activity undertaken by a data controller.

Пример 19: Бразильская компания продает пищевые ингредиенты и местные рецепты онлайн, делая это предложение о товаре доступным для людей в Союзе, рекламируя эти продукты и предлагая доставку во Францию, Испанию и Португалию. В этом контексте компания дает указание процессору данных, также созданному в Бразилии, разрабатывать специальные предложения для клиентов во Франции, Испании и Португалии на основе их предыдущих заказов и выполнять соответствующую обработку данных.

Example 19: A Brazilian company sells food ingredients and local recipes online, making this offer of good available to persons in the Union, by advertising these products and offering the delivery in the France, Spain and Portugal. In this context, the company instructs a data processor also established in Brazil to develop special offers to customers in France, Spain and Portugal on the basis of their previous orders and to carry out the related data processing.

Обработки, осуществляемые процессором по указанию контролера данных, связаны с предложением товара субъекту данных в Союзе. Кроме того, разрабатывая эти индивидуальные предложения, процессор осуществляет непосредственный мониторинг субъектов данных в ЕС. Обработка осуществляется процессором, следовательно, подпадает под GDPR согласно Статье 3(2).

Processing activities by the processor, under the instruction of the data controller, are related to the offer of good to data subject in the Union. Furthermore, by developing these customized offers, the data processor directly monitors data subjects in the EU. Processing by the processor are therefore subject to the GDPR, as per Article 3(2).

Пример 20. Американская компания разработала приложение для здоровья и здорового образа жизни, позволяющее пользователям оставлять в американской компании свои личные данные (время сна, вес, артериальное давление, сердцебиение и т. Д.). Затем приложение ежедневно предоставляет пользователям рекомендации по еде и спорту. Обработка осуществляется контролером данных в США. Приложение доступно и используется лицами в Союзе. Для хранения данных американская компания использует процессор, установленный в США (поставщик облачных услуг).

Example 20: A US company has developed a health and lifestyle app, allowing users to record with the US company their personal indicators (sleep time, weight, blood pressure, heartbeat, etc…). The app then provide users with daily advice on food and sport recommendations. The processing is carried out by the US data controller. The app is made available to, and is used by, individuals in the Union. For the purpose of data storage, the US company uses a processor established in the US (cloud service provider)

В той мере, в какой американская компания отслеживает поведение отдельных лиц в ЕС при работе с приложением «Здоровье и здоровый образ жизни», она будет «нацеливаться» на отдельных лиц в ЕС, и ее обработка личных данных отдельных лиц в ЕС будет подпадать под действие GDPR в силу ст. 3(2).

To the extent that the US company is monitoring the behaviour of individuals in the EU, in operating the health and lifestyle app it will be ‘targeting’ individuals in the EU and its processing of the personal data of individuals in the EU will fall within the scope of the GDPR under Art 3(2).

Выполняя обработку по поручению и от имени американской компании, поставщик/процессор осуществляет обработку, «связанную» с таргетингом отдельных лиц в ЕС, который осуществляется контролером. Эта обработка, осуществляемая процессором от имени его контролера, подпадает под действие GDPR согласно ст. 3(2).

In carrying out the processing on instructions from, and on behalf of, the US company the cloud provider/processor is carrying out a processing activity ‘relating to’ the targeting of individuals in the EU by its controller. This processing activity by the processor on behalf of its controller falls within the scope of the GDPR under Art 3(2).

Пример 21: Турецкая компания предлагает туристические поездки по Ближнему Востоку с гидами на английском, французском и испанском языках. Поездки на путевки особенно рекламируются и предлагаются через веб-сайт на трех языках, что позволяет осуществлять онлайн-бронирование и оплату в евро и фунтах стерлингов. В маркетинговых и коммерческих целях компания дает указание процессору, созданному в Тунисе контактному центру для связи с бывшими клиентами в Ирландии, Франции, Бельгии и Испании с целью получения отзывов об их предыдущих поездках и информирования их о новых предложениях и направлениях. , Контролер осуществляет «таргетинг», предлагая свои услуги отдельным лицам в ЕС, и его обработка подпадает под действие Статьи 3(2).

Example 21: A Turkish company offers cultural package travels in the Middle East with tour guides speaking English, French and Spanish. The package travels are notably advertised and offered through a website available in the three languages, allowing for online booking and payment in Euros and GBP. For marketing and commercial prospection purposes, the company instructs a data processor, a call center, established in Tunisia to contact former customers in Ireland, France, Belgium and Spain in order to get feedback on their previous travels and inform them about new offers and destinations. The controller is ‘targeting’ by offering its services to individuals in the EU and its processing will fall within the scope of Art 3(2).

Обработка тунисским процессором, в связи с которой продвигаются услуги контролеров для отдельных лиц в ЕС, также связана с предложением услуг контролером и, следовательно, подпадает под действие статьи 3(2). Кроме того, в этом конкретном случае тунисский процессор активно участвует в осуществлении обработки, связанной с выполнением критериев таргетинга, предлагая услуги от имени и по указанию турецкого контролера.

The processing activities of the Tunisian processor, which promotes the controllers’ services towards individuals in the EU, is also related to the offer of services by the controller and therefore falls within the scope of Art 3(2). Furthermore, in this specific case, the Tunisian processor actively takes part in processing activities related to carrying out the targeting criteria, by offering services on behalf of, and on instruction from, the Turkish controller.

e) Взаимодействие с другими положениями GDPR и другими законодательными актами

e) Interaction with other GDPR provisions and other legislations

EDPB также проведет дальнейшую оценку взаимодействия между применением территориальной сферы действия GDPR согласно Статье 3 и положений о трансграничной передаче данных согласно Главе V. В этом случае могут быть выпущены дополнительные указания, если это будет необходимо.

The EDPB will also further assess the interplay between the application of the territorial scope of the GDPR as per Article 3 and the provisions on international data transfers as per Chapter V. Additional guidance may be issued in this regard, should this be necessary.

Контролеры или процессоры, не имеющие организационной единицы в ЕС, должны будут соблюдать национальные законы своих третьих стран в отношении обработки персональных данных. Однако в тех случаях, когда такая обработка связана с таргетинговым воздействием на отдельных лиц в Союзе в соответствии со статьей 3(2), контролер, помимо того, что подчиняется национальному законодательству своей страны, должен соблюдать GDPR. Это будет иметь место независимо от того, выполняется ли обработка в соответствии с юридическим обязательством в третьей стране или просто по усмотрению контролера.

Controllers or processors not established in the EU will be required to comply with their own third country national laws in relation to the processing of personal data. However, where such processing relates to the targeting of individuals in the Union as per Article 3(2) the controller will, in addition to being subject to its country’s national law, be required to comply with the GDPR. This would be the case regardless of whether the processing is carried out in compliance with a legal obligation in the third country or simply as a matter of choice by the controller.

3. ОБРАБОТКА В МЕСТЕ, В КОТОРОМ ЗАКОНОДАТЕЛЬСТВО ГОСУДАРСТВА-ЧЛЕНА ЗАЯВЛЯЕТСЯ В СИЛУ МЕЖДУНАРОДНОГО ПУБЛИЧНОГО ПРАВА

3. PROCESSING IN A PLACE WHERE MEMBER STATE LAW APPLIES BY VIRTUE OF PUBLIC INTERNATIONAL LAW

Статья 3(3) предусматривает, что «Регламент применяется к обработке персональных данных контролером, не имеющем организационной единицы в Союзе, но в месте, где законодательство государств-членов применяется в силу международного публичного права». Это положение расширено в пункте 25 декларативной части, который гласит, что «когда законодательство государств-членов применяется в соответствии с международным публичным правом, этот Регламент должен также применяться к контролеру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве государства-члена или консульском учреждении».

Article 3(3) provides that “[t]his Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law”. This provision is expanded upon in Recital 25 which states that “[w]here Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State’s diplomatic mission or consular post.”

Поэтому EDPB считает, что GDPR применяется к обработке персональных данных, осуществляемой посольствами и консульствами государств-членов ЕС, расположенными за пределами ЕС, поскольку такая обработка подпадает под действие GDPR в силу статьи 3(3). На дипломатическую или консульскую должность государства-члена в качестве контролера или процессора данных будут распространяться все соответствующие положения GDPR, в том числе когда речь идет о правах субъекта данных, общих обязательствах, касающихся контролера и процессора, а также передачи личных данных третьим странам или международным организациям.

The EDPB therefore considers that the GDPR applies to personal data processing carried out by EU Member States’ embassies and consulates located outside the EU as such processing falls within the scope of the GDPR by virtue of Article 3(3). A Member State’s diplomatic or consular post, as a data controller or processor, would then be subject to all relevant provisions of the GDPR, including when it comes to the rights of the data subject, the general obligations related to controller and processor and the transfers of personal data to third countries or international organisations.

Пример 22: Консульство Нидерландов в Кингстоне, Ямайка, открывает онлайн-заявку на наем местного персонала для поддержки своей администрации.

Example 22: The Dutch consulate in Kingston, Jamaica, opens an online application process for the recruitment of local staff in order to support its administration.

Хотя консульство Нидерландов в Кингстоне, Ямайка, не создано в Союзе, тот факт, что оно является консульским учреждением страны ЕС, где законодательство государств-членов применяется на основании международного публичного права, делает GDPR применимым к обработке персональных данных в силу статьи 3(3).

While the Dutch consulate in Kingston, Jamaica, is not established in the Union, the fact that it is a consular post of an EU country where Member State law applies by virtue of public international law renders the GDPR applicable to its processing of personal data, as per Article 3(3).

Пример 23. Немецкий круизный лайнер, путешествующий в международных водах, обрабатывает данные о гостях на борту с целью адаптации предложения развлекательных круизов. Хотя судно находится за пределами Союза в международных водах, тот факт, что оно является зарегистрированным в Германии круизным судном, означает, что в соответствии с международным публичным правом GDPR должен применяться к обработке персональных данных в соответствии со статьей 3(3).

Example 23: A German cruise ship travelling in international waters is processing data of the guests on board for the purpose of tailoring the in-cruise entertainment offer. While the ship is located outside the Union, in international waters, the fact that it is Germanregistered cruise ship means that by virtue of public international law the GDPR shall be applicable to its processing of personal data, as per Article 3(3).

Хотя это и не связано с применением статьи 3(3), другая ситуация — это ситуация, когда в силу международного права определенные образования, органы или организации, созданные в Союзе, пользуются привилегиями и иммунитетами, такими как те, которые установлены в Венской Конвенции о дипломатических сношениях 1961 года [27], Венской конвенции о консульских сношениях 1963 года или соглашениях о штаб-квартирах, заключенных между международными организациями и их принимающими странами в Союзе. В этой связи EDPB напоминает, что применение GDPR не наносит ущерба положениям международного права, таким как положения, регулирующие привилегии и иммунитеты дипломатических представительств и консульских учреждений, не входящих в ЕС, а также международных организаций. В то же время важно напомнить, что любой контролер или процессор, подпадающий под действие GDPR для данного вида обработки и обменивающий персональные данные с такими организациями, органами и организациями, должен соблюдать GDPR, в том числе, где это применимо, правила о передаче в третьи страны или международные организации.

Though not related to the application of Article 3(3), a different situation is the one where, by virtue of international law, certain entities, bodies or organisations established in the Union benefit from privileges and immunities such as those laid down in the Vienna Convention on Diplomatic Relations of 1961 [27], the Vienna Convention on Consular Relations of 1963 or headquarter agreements concluded between international organisations and their host countries in the Union. In this regard, the EDPB recalls that the application of the GDPR is without prejudice to the provisions of international law, such as the ones governing the privileges and immunities of non-EU diplomatic missions and consular posts, as well as international organisations. At the same time, it is important to recall that any controller or processor that falls within the scope of the GDPR for a given processing activity and that exchanges personal data with such entities, bodies and organisations have to comply with the GDPR, including where applicable its rules on transfers to third countries or international organisations.

[27] http://legal.un.org/ilc/texts/instruments/english/conventions/9_1_1961.pdf

[27] http://legal.un.org/ilc/texts/instruments/english/conventions/9_1_1961.pdf

4. ПРЕДСТАВИТЕЛЬ КОНТРОЛЕРА ИЛИ ПРОЦЕССОРА, НЕ ИМЕЮЩЕГО ОРГАНИЗАЦИОННОЙ ЕДИНИЦЫ В СОЮЗЕ

4. REPRESENTATIVE OF CONTROLLERS OR PROCESSORS NOT ESTABLISHED IN THE UNION

Контролеры или процессоры данных, подпадающие под действие GDPR в соответствии со статьей 3(2), обязаны назначить представителя в Союзе. Контролер или процессор, не имеющие организационной единицы в Союзе, но подпадающие под действие GDPR, которые не назначили представителя в Союзе, будут считаться в силу этого нарушителями Регламента.

Data controllers or processors subject to the GDPR as per its Article 3(2) are under the obligation to designate a representative in the Union. A controller or processor not established in the Union but subject to the GDPR failing to designate a representative in the Union would therefore be in breach of the Regulation.

Это положение не является целиком и полностью новым, поскольку Директива 95/46/EC уже предусматривает аналогичное обязательство. В соответствии с Директивой это положение касалось контролеров, не имеющих организационной единицы на территории Сообщества, которые для целей обработки персональных данных использовали оборудование, автоматизированное или иное, расположенное на территории государства-члена. GDPR налагает обязательство назначать представителя в Союзе для любого контролера или процессора, подпадающего под сферу действия Статьи 3(2), если они не соответствуют критериям Статьи 27(2), исключающим такую обязанность. Чтобы облегчить применение этого конкретного положения, EDPB считает необходимым предоставить дальнейшие указания относительно процесса назначения, обязанностей по учреждению и обязанностей представителя в Союзе в соответствии со Статьей 27.

This provision is not entirely new since Directive 95/46/EC already provided for a similar obligation. Under the Directive, this provision concerned controllers not established on Community territory that, for purposes of processing personal data, made use of equipment, automated or otherwise, situated on the territory of a Member State. The GDPR imposes an obligation to designate a representative in the Union to any controller or processor falling under the scope of Article 3(2), unless they meet the exemption criteria as per Article 27(2). In order to facilitate the application of this specific provision, the EDPB deems it necessary to provide further guidance on the designation process, establishment obligations and responsibilities of the representative in the Union as per Article 27.

Стоит отметить, что контролер или процессор, не имеющие организационной единицы в Союзе, который в письменной форме назначил представителя в Союзе в соответствии со статьей 27 GDPR, не подпадает под действие статьи 3(1), что означает, что присутствие представителя в Союзе не является «организационной единицей» контролера или процессора в силу статьи 3(1).

It is worth noting that a controller or processor not established in the Union who has designated in writing a representative in the Union, in accordance with article 27 of the GDPR, does not fall within the scope of article 3(1), meaning that the presence of the representative within the Union does not constitute an “establishment” of a controller or processor by virtue of article 3(1).

a) Назначение представителя

a) Designation of a representative

Пункт 80 декларативной части разъясняет, что «представитель должен быть явно назначен письменным мандатом контролера или процессора, чтобы действовать от его имени в отношении его обязательств по настоящему Регламенту. Назначение такого представителя не влияет на обязанности или ответственность контролера или процессора в соответствии с настоящим Регламентом. Такой представитель должен выполнять свои задачи в соответствии с мандатом, полученным от контролера или процессора, включая сотрудничество с компетентными надзорными органами в отношении любых действий, предпринимаемых для обеспечения соблюдения настоящего Регламента».

Recital 80 clarifies that “[t]he representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation.”

Таким образом, письменный мандат, упомянутый в пункте 80 декларативной части, должен регулировать отношения и обязательства между представителем в Союзе и контроллером или процессором данных, имеющими организационную единицу за пределами Союза, не затрагивая при этом обязанности или ответственность контролера или процессора. Представителем в Союзе может быть физическое или юридическое лицо, имеющее организационную единицу в Союзе, способное представлять контролера или процессора данных, созданных за пределами Союза, относящихся к их обязательствам по GDPR.

The written mandate referred to in Recital 80 shall therefore govern the relations and obligations between the representative in the Union and the data controller or processor established outside the Union, while not affecting the responsibility or liability of the controller or processor. The representative in the Union may be a natural or a legal person established in the Union able to represent a data controller or processor established outside the Union with regard to their respective obligations under the GDPR.

На практике функция представительства в Союзе может осуществляться на основании договора об оказании услуг, заключенного с физическим или юридическим лицом, и поэтому может быть оказана широким кругом коммерческих и некоммерческих организаций, таких как юридические фирмы, консалтинговые компании, частные компании и т.д. при условии, что такие организации создаются в Союзе. Один представитель также может действовать от имени нескольких не входящих в ЕС контролеров и процессоров.

In practice, the function of representative in the Union can be exercised based on a service contract concluded with an individual or an organisation, and can therefore be assumed by a wide range of commercial and non-commercial entities, such as law firms, consultancies, private companies, etc… provided that such entities are established in the Union. One representative can also act on behalf of several non-EU controllers and processors.

Когда функцию представителя осуществляется компанией или любым другим типом организации, рекомендуется назначить одного человека в качестве ведущего контакта и ответственного лица для каждого представляемого контролера или процессора. Было бы также полезно указать эти пункты в договоре на обслуживание.

When the function of representative is assumed by a company or any other type of organisation, it is recommended that a single individual be assigned as a lead contact and person “in charge” for each controller or processor represented. It would generally also be useful to specify these points in the service contract.

В соответствии с GDPR, EDPB подтверждает, что, когда несколько видов деятельности контроллера или процессор подпадают под действие Статьи 3(2) GDPR (и не применяется ни одно из исключений из Статьи 27(2) GDPR), контролер или процессор не обязаны назначать нескольких представителей для каждого отдельного вида обработки, подпадающего под сферу действия статьи 3(2). EDPB не считает функцию представителя в Союзе совместимой с ролью внешнего сотрудника по защите данных («DPO»), которая будет создана в Союзе. Статья 38(3) устанавливает некоторые основные гарантии, помогающие убедиться, что DPO могут выполнять свои задачи с достаточной степенью автономии в рамках своей организации. В частности, контролеры или процессоры обязаны обеспечить условия, в которых DPO «не получает никаких инструкций относительно выполнения [его или ее] задач». Пункт 97 декларативной части добавляет, что DPO, «независимо от того, являются ли они сотрудниками контролера, должны иметь возможность выполнять свои обязанности и задачи независимым образом» [28]. Такое требование о достаточной степени автономии и независимости сотрудника по защите данных, по-видимому, не совместимо с функцией представителя в Союзе. Представитель действительно подчиняется мандату контролера или процессора и будет действовать от его имени и, следовательно, по его прямому указанию [29]. Представитель уполномочен контролером или процессором, которого он представляет, и, следовательно, действует от его имени при выполнении своей задачи, и такая роль не может быть совместима с выполнением обязанностей и задач сотрудника по защите данных независимым образом.

In line with the GDPR, the EDPB confirms that, when several processing activities of a controller or processor fall within the scope of Article 3(2) GDPR (and none of the exceptions of Article 27(2) GDPR apply), that controller or processor is not expected to designate several representatives for each separate processing activity falling within the scope of article 3(2).The EDPB does not consider the function of representative in the Union as compatible with the role of an external data protection officer (“DPO”) which would be established in the Union. Article 38(3) establishes some basic guarantees to help ensure that DPOs are able to perform their tasks with a sufficient degree of autonomy within their organisation. In particular, controllers or processors are required to ensure that the DPO “does not receive any instructions regarding the exercise of [his or her] tasks”. Recital 97 adds that DPOs, “whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner” [28]. Such requirement for a sufficient degree of autonomy and independence of a data protection officer does not appear to be compatible with the function of representative in the Union. The representative is indeed subject to a mandate by a controller or processor and will be acting on its behalf and therefore under its direct instruction [29]. The representative is mandated by the controller or processor it represents, and therefore acting on its behalf in exercising its task, and such a role cannot be compatible with the carrying out of duties and tasks of the data protection officer in an independent manner.

[28] Руководство WP29 по сотрудникам по защите данных («DPO»), WP 243 rev.01 — одобрено EDPB.

[28] WP29 Guidelines on Data Protection Officers (‘DPOs’), WP 243 rev.01 — endorsed by the EDPB.

[29] Внешний DPO, также выступающий в качестве представителя в Союзе, не должен оказаться в ситуации, когда, например, ему как представителю поручено сообщить субъекту данных решение или меру, принятые контролером или процессором, которые он или она как DPO посчитал несоответствующими положениям GDPR и которые рекомендовал не применять.

[29] An external DPO also acting as representative in the Union could not for example be in a situation where he is instructed, as a representative, to communicate to a data subject a decision or measure taken by the controller or processor which he or she, as a DPO, had deemed uncompliant with the provisions of the GDPR and advised against.

Кроме того, и в дополнение к своей интерпретации, EDPB повторяет позицию, поддерживаемую WP29, подчеркивая, что «конфликт интересов может также возникнуть, например, если внешнего инспектора по защите персональных данных попросят представлять контролера или процессора в судах в случаях, связанных с защитой персональных данных» [30].

Furthermore, and to complement its interpretation, the EDPB recalls the position already taken by the WP29 stressing that “a conflict of interests may also arise for example if an external DPO is asked to represent the controller or processor before the Courts in cases involving data protection issues” [30].

[30] WP29 Руководство для инспекторов по защите персональных данных («DPO»), WP 243 rev.01 — одобрено EDPB.

[30] WP29 Guidelines on Data Protection Officers (‘DPOs’), WP 243 rev.01 — endorsed by the EDPB.

Схожим образом, учитывая возможный конфликт обязательств и интересов в случаях исполнительного производства, EDPB не считает функцию представителя контролера данных в Союзе совместимой с ролью процессора данных для того же контролера данных, в частности, в случаях, когда это затрагивает выполнение соответствующих обязанностей.

Similarly, given the possible conflict of obligation and interests in cases of enforcement proceedings, the EDPB does not consider the function of a data controller representative in the Union as compatible with the role of data processor for that same data controller, in particular when it comes to compliance with their respective responsibilities and compliance.

Хотя GDPR не налагает на контролера данных или самого представителя никаких обязательств по уведомлению контролирующего органа о назначении представителя, EDPB напоминает, что в соответствии со статьями 13(1) a и 14(1)a, как часть своих информационных обязательств, контролеры должны предоставлять субъектам данных информацию о личности их представителя в Союзе. Эта информация, например, должна быть включена в [политику приватности] предварительную информацию, предоставляемую субъектам данных в момент сбора данных. Контролер, не имеющий организационной единицы в Союзе, но подпадающий под Статью 3(2) и не информирующий субъектов данных, которые находятся в Союзе, о личности его представителя, будет нарушать свои обязательства по прозрачности согласно GDPR. Кроме того, такая информация должна быть легко доступна для контролирующих органов, чтобы облегчить установление контакта в целях сотрудничества.

While the GDPR does not impose any obligation on the data controller or the representative itself to notify the designation of the latter to a supervisory authority, the EDPB recalls that, in accordance with Articles 13(1)a and 14(1)a, as part of their information obligations, controllers shall provide data subjects information as to the identity of their representative in the Union. This information shall for example be included in the [privacy notice and] upfront information provided to data subjects at the moment of data collection. A controller not established in the Union but falling under Article 3(2) and failing to inform data subjects who are in the Union of the identity of its representative would be in breach of its transparency obligations as per the GDPR. Such information should furthermore be easily accessible to supervisory authorities in order to facilitate the establishment of a contact for cooperation needs.

Пример 24. Веб-сайт, упомянутый в примере 12, расположенные в Турции и управляемый оттуда, предлагает услуги по созданию, изданию, печати и доставке персонализированных семейных фотоальбомов. Веб-сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро или стерлингах. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию. Этот веб-сайт подпадает под действие GDPR согласно статье 3(2)(а), и как контролер данных должен назначить представителя в Союзе.

Example 24: The website referred to in example 12, based and managed in Turkey, offers services for the creation, edition, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros or Sterling. The website indicates that photo albums can only be delivered by post mail in the France, Benelux countries and Germany. This website being subject to the GDPR, as per its Article 3(2)(a), the data controller must designate a representative in the Union.

Представитель должен быть создан в одном из государств-членов, где доступна предлагаемая им услуга, в данном случае во Франции, Бельгии, Нидерландах, Люксембурге или Германии. Имя и контактные данные контроллера данных и его представителя в Союзе должны быть частью доступны пользователям сразу после того, как они начнут пользоваться услугой, то есть с момента создания своего фотоальбома. Информация о представителе также должна быть доступна в политике приватности.

The representative must be established in one of the Member States where the service offered is available, in this case either in France, Belgium, Netherlands, Luxembourg or Germany. The name and contact details of the data controller and its representative in the Union must be part of the information made available online to data subjects once they start using the service by creating their photo album. It must also appear in the website general privacy notice.

b) освобождение от обязательства по назначению [31]

b) Exemptions from the designation obligation [31]

[31] Часть критериев и толкований, изложенных в G29 WP243 rev.1 (инспектор по защите персональных данных), одобренном EDPB, может использоваться в качестве основы для исключений из обязательства по назначению.

[31] Part of the criteria and interpretation laid down in G29 WP243 rev.1 (Data Protection Officer) — endorsed by the EDPB can be used as a basis for the exemptions to the designation obligation.

Хотя применение статьи 3(2) приводит к возникновению обязанности назначать представителя в Союзе для контролеров или процессоров, имеющими организационную единицу за пределами Союза, статья 27(2) предусматривает отступление от обязательного назначения представителя в Союзе в двух различных случаях:

While the application of Article 3(2) triggers the obligation to designate a representative in the Union for controllers or processors established outside the Union, Article 27(2) foresees derogation from the mandatory designation of a representative in the Union, in two distinct cases:

• обработка является «случайной, не включает широкомасштабную обработку специальных категорий данных, как указано в статье 9(1), или обработку персональных данных, касающихся уголовных приговоров и преступлений, указанных в статье 10», и такая обработка «вряд ли приведет к риску для прав и свобод физических лиц, принимая во внимание характер, контекст, сферу и цели обработки».

• processing is “occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10”, and such processing “is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing”.

В соответствии с позициями, занятыми ранее Рабочей группой по Статье 29, EPDB считает, что процесс обработки может рассматриваться как «случайный», только если он не выполняется регулярно и происходит вне обычного контекста деятельности контролера или процессора [32].

In line with positions taken previously by the Article 29 Working Party, the EPDB considers that a processing activity can only be considered as “occasional” if it is not carried out regularly, and occurs outside the regular course of business or activity of the controller or processor [32].

[32] WP29 об отступлениях от обязанности вести учет деятельности процессора в соответствии со статьей 30(5) GDPR.

[32] WP29 position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

Кроме того, хотя GDPR не определяет, что составляет широкомасштабную обработку, WP29 ранее рекомендовал в своих руководящих принципах WP243 об инспекторах по защите персональных данных (DPO) учитывать, в частности, следующие факторы при определении того, выполняется ли обработка в большом масштабе: число соответствующих субъектов данных — либо в виде конкретного числа, либо в виде доли от соответствующего населения; объем данных и/или диапазон различных обрабатываемых элементов данных; продолжительность или постоянство деятельности по обработке данных; географический масштаб деятельности по обработке данных [33].

Furthermore, while the GDPR does not define what constitutes large-scale processing, the WP29 has previously recommended in its guidelines WP243 on data protection officers (DPOs) that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale: the number of data subjects concerned — either as a specific number or as a proportion of the relevant population; the volume of data and/or the range of different data items being processed; the duration, or permanence, of the data processing activity; the geographical extent of the processing activity [33].

[33] Руководство WP29 об инспекторах по защите персональных данных (DPO), принятое 13 декабря 2016 года, в последней редакции от 5 апреля 2017 года, WP 243 rev.01, одобрено EDPB.

[33] WP29 guidelines on data protections officers (DPOs), adopted on 13th December 2016, as last revised on 5th April 2017, WP 243 rev.01 — endorsed by the EDPB.

Наконец, EDPB подчеркивает, что освобождение от обязательства по назначению согласно Статье 27 относится к обработке, которая «вряд ли приведет к риску для прав и свобод физических лиц» [34], таким образом, не ограничивая возможность освобождения от обработок, которые вряд ли приведут к высокому риску для прав и свобод субъектов данных. В соответствии с пунктом 75 декларативной части, при оценке риска для прав и свобод субъектов данных, следует учитывать как вероятность, так и серьезность риска.

Finally, the EDPB highlights that the exemption from the designation obligation as per Article 27 refers to processing “unlikely to result in a risk to the rights and freedoms of natural persons” [34], thus not limiting the exemption to processing unlikely to result in a high risk to the rights and freedoms of data subjects. In line with Recital 75, when assessing the risk to the rights and freedom of data subjects, considerations should be given to both the likelihood and severity of the risk.

[34] Статья 27(2)(а) GDPR.

[34] Article 27(2)(a) GDPR.

Или

Or

• обработка осуществляется «государственным органом или представителем государственного органа».

• processing is carried out “by a public authority or body”.

Квалификация в качестве «государственного органа или представителя государственного органа» для организации, имеющей организационную единицу за пределами Союза, должна оцениваться надзорными органами фактически и в каждом конкретном случае [35]. EDPB отмечает, что, учитывая характер их функций и задач, случаи, когда государственный орган или его представитель в третьей стране будут предлагать товары или услуги субъекту данных в Союзе или будут контролировать их поведение, происходящее в рамках Союза, вероятнее всего, будут ограничены.

The qualification as a “public authority or body” for an entity established outside the Union will need to be assessed by supervisory authorities in concreto and on a case by case basis [35]. The EDPB notes that, given the nature of their tasks and missions, cases where a public authority or body in a third country would be offering goods or services to data subject in the Union, or would monitor their behaviour taking place within the Union, are likely to be limited.

[35] GDPR не определяет, что представляет собой «государственный орган или представитель государственного органа». EDPB считает, что такое понятие должно быть определено национальным законодательством. Соответственно, к государственным органам и их представителям относятся национальные, региональные и местные органы власти, однако в соответствии с применимыми национальными законами эта концепция, как правило, также включает ряд других органов, регулируемых публичным правом.

[35] The GDPR does not define what constitutes a ‘public authority or body’. The EDPB considers that such a notion is to be determined under national law. Accordingly, public authorities and bodies include national, regional and local authorities, but the concept, under the applicable national laws, typically also includes a range of other bodies governed by public law.

c) Создание в одном из государств-членов, в котором находятся субъекты данных, чьи персональные данные обрабатываются

c) Establishment in one of the Member States where the data subjects whose personal data are processed

Статья 27(3) предусматривает, что «представитель должен быть создан в одном из государств-членов, где находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением им товаров или услуг, или чье поведение отслеживается». В тех случаях, когда значительная часть субъектов данных, чьи персональные данные обрабатываются, находятся в одном конкретном государстве-члене, EDPB рекомендует в качестве хорошей практики, чтобы у представителя была организацияонная единица в этом же государстве-члене. Тем не менее представитель должен оставаться легкодоступным для субъектов данных в государствах-членах, где он не представлен и где предоставляются услуги или товары или где осуществляется мониторинг поведения.

Article 27(3) foresees that “the representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are”. In cases where a significant proportion of data subjects whose personal data are processed are located in one particular Member State, the EDPB recommends, as a good practice, that the representative is established in that same Member State. However, the representative must remain easily accessible for data subjects in Member States where it is not established and where the services or goods are being offered or where the behaviour is being monitored.

EDPB подтверждает, что критерием для создания представителя в Союзе является местонахождение субъектов данных, чьи персональные данные обрабатываются. Место обработки, даже процессором, имеющий организационную единицу в другом государстве-члене, не является важным фактором для определения местоположения представителя.

The EDPB confirms that the criterion for the establishment of the representative in the Union is the location of data subjects whose personal data are being processed. The place of processing, even by a processor established in another Member State, is here not a relevant factor for determining the location of the establishment of the representative.

Пример 25. Индийская фармацевтическая компания, не имеющая ни делового присутствия, ни организационной единцы в Союзе, но подпадающая под GDPR в силу Статьи 3(2), спонсирует клинические испытания, проводимые исследователями (больницами) в Бельгии, Люксембурге и Нидерландах. Большинство пациентов, участвующих в клинических испытаниях, находятся в Бельгии.

Example 25: An Indian pharmaceutical company, with neither business presence nor establishment in the Union and subject to the GDPR as per Article 3(2), sponsors clinical trials carried out by investigators (hospitals) in Belgium, Luxembourg and the Netherlands. The majority of patients participating to the clinical trials are situated in Belgium.

Индийская фармацевтическая компания в качестве контролера данных должна назначить представителя в Союзе, а именно в одном из трех государств-членов, где пациенты в качестве субъектов данных участвуют в клиническом испытании (Бельгия, Люксембург или Нидерланды). Поскольку большинство пациентов являются бельгийскими резидентами, рекомендуется, чтобы представитель был установлен в Бельгии. В этом случае представитель в Бельгии должен быть легко доступен для субъектов данных и контролирующих органов в Нидерландах и Люксембурге.

The Indian pharmaceutical company, as a data controller, shall designate a representative in the Union established in one of the three Member States where patients, as data subjects, are participating in the clinical trial (Belgium, Luxembourg or the Netherlands). Since most patients are Belgian residents, it is recommended that the representative is established in Belgium. Should this be the case, the representative in Belgium should however be easily accessible to data subjects and supervisory authorities in the Netherlands and Luxembourg.

В этом конкретном случае представитель в Союзе может быть законным представителем спонсора в Союзе в соответствии со статьей 74 Регламента (ЕС) 536/2014 о клинических испытаниях при условии, что он не выступает в качестве процессора данных от имени спонсора клинического испытания, что он создан в одном из трех государств-членов и что обе функции регулируются и выполняются в соответствии с каждым правовым режимом.

In this specific case, the representative in the Union could be the legal representative of the sponsor in the Union, as per Article 74 of Regulation (EU) 536/2014 on clinical trials, provided that it does not act as a data processor on behalf of the clinical trial sponsor, that it is established in one of the three Member States, and that both functions are governed by and exercised in compliance with each legal framework.

d) Обязанности и ответственность представителя

d) Obligations and responsibilities of the representative

Представитель в Союзе действует от имени представляемых им контроллера или процессора в отношении их обязательств по GDPR. Это подразумевает, в частности, обязательства, связанные с осуществлением прав субъекта данных, и в этом отношении, как уже говорилось, личность и контактные данные представителя должны быть предоставлены субъектам данных в соответствии со статьями 13 и 14. Хотя сам он не несет ответственности за соблюдение прав субъектов данных, представитель должен содействовать обмену данными между субъектами данных и представленным контроллером или процессором, чтобы осуществление прав субъектов данных было эффективным.

The representative in the Union acts on behalf of the controller or processor it represents with regard to the controller or processor’s obligations under the GDPR. This implies notably the obligations relating to the exercise of data subject rights, and in this regard and as already stated, the identity and contact details of the representative must be provided to data subjects in accordance with articles 13 and 14. While not itself responsible for complying with data subject rights, the representative must facilitate the communication between data subjects and the controller or processor represented, in order to make the exercise of data subjects’ rights are effective.

В соответствии со статьей 30 представитель контроллера или процессора должен, в частности, вести учет операций по обработке данных под надзором контроллера или процессора. EDPB считает, что, хотя ведение этого учета является обязательством, налагаемым как на контролера или процессора, так и на представителя; контроллер или процессор, не имеющие организационной единицы Союзе, несут ответственность за основное содержимое и обновление данных учета и должны одновременно предоставлять своему представителю всю точную и обновленную информацию, чтобы данные учета также могли храниться и предоставляться представителем в любое время. В то же время представитель несет ответственность за возможность предоставить данные в соответствии со статьей 27, например при обращении в надзорный орган согласно ст. 27(4).

As per Article 30, the controller or processor’s representative shall in particular maintain a record of processing activities under the responsibility of the controller or processor. The EDPB considers that, while the maintenance of this record is an obligation imposed on both the controller or processer and the representative,, the controller or processor not established in the Union is responsible for the primary content and update of the record and must simultaneously provide its representative with all accurate and updated information so that the record can also be kept and made available by the representative at all time At the same time, it is the representative´s own responsibility to be able to provide it in line with Article 27, e.g. when being addressed by a supervisory authority according to Art. 27(4).

Как уточняется в пункте декларативной части 80, представитель должен также выполнять свои задачи в соответствии с мандатом, полученным от контролера или процессора, включая сотрудничество с компетентными надзорными органами в отношении любых действий, предпринимаемых для обеспечения соблюдения настоящего Регламента. На практике это означает, что надзорный орган будет связываться с представителем в связи с любым вопросом, касающимся соблюдения контролером или процессором, имеющими организационную единицу вне пределов Союза, обязательств, и представитель должен оказывать содействие в любом информационном или процедурном обмене между запрашивающим надзорным органом и контролером или процессором, которые имеют организационную единицу за пределами Союза.

As clarified by recital 80, the representative should also perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. In practice, this means that a supervisory authority would contact the representative in connection with any matter relating to the compliance obligations of a controller or processor established outside the Union, and the representative shall be able to facilitate any informational or procedural exchange between a requesting supervisory authority and a controller or processor established outside the Union.

В случае необходимости с помощью команды представитель в Союзе должен иметь возможность эффективно общаться с субъектами данных и сотрудничать с соответствующими надзорными органами. Это означает, что коммуникация должна осуществляться на языке или языках, используемых надзорными органами и соответствующими субъектами данных, или, если это приведет к непропорциональным усилиям, представитель должен использовать другие средства и методы для обеспечения эффективности общения. Поэтому наличие представителя необходимо для того, чтобы субъекты данных и контролирующие органы могли легко установить контакт с контролером или процессором, не входящим в ЕС. В соответствии с пунктом декларативной части 80 и Статьей 27(5), назначение представителя в Союзе не влияет на обязанности и ответственность контролера или процессора в рамках GDPR и не препятствует судебным искам, которые могут быть инициированы против контроллера или процессора. GDPR не устанавливает замещающую ответственность представителя вместо контролера или процессора, которых он представляет в Союзе.

With the help of a team if necessary, the representative in the Union must therefore be in a position to efficiently communicate with data subjects and cooperate with the supervisory authorities concerned. This means that this communication should in principle take place in the language or languages used by the supervisory authorities and the data subjects concerned or, should this result in a disproportionate effort, that other means and techniques shall be used by the representative in order to ensure the effectiveness of communication. The availability of a representative is therefore essential in order to ensure that data subjects and supervisory authorities will be able to establish contact easily with the non-EU controller or processor. In line with Recital 80 and Article 27(5), the designation of a representative in the Union does not affect the responsibility and liability of the controller or of the processor under the GDPR and shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves. The GDPR does not establish a substitutive liability of the representative in place of the controller or processor it represents in the Union.

Следует, однако, отметить, что концепция представителя была введена именно с целью облегчения связи и обеспечения эффективного применения GDPR в отношении контроллеров или процессоров, подпадающих под статью 3(2) GDPR. Существовало намерение разрешить надзорным органам возбуждать исполнительное производство через представителя, назначенного контролерами или процессорами, не имеющими организационной единицы в Союзе. Это включает в себя возможность для надзорных органов назначать представителю корректирующие меры или административные штрафы, пени и неустойки, налагаемые на контролера или процессора, которые не имеют организационной единицы в Союзе, в соответствии со статьями 58(2) и 83 GDPR. Возможность возложить на представителя прямую ответственность ограничивается его прямыми обязательствами, указанными в статьях 30 и статье 58(1) а GDPR.

It should however be noted that the concept of the representative was introduced precisely with the aim of facilitating the liaison with and ensuring effective enforcement of the GDPR against controllers or processors that fall under Article 3(2) of the GDPR. To this end, it was the intention to enable supervisory authorities to initiate enforcement proceedings through the representative designated by the controllers or processors not established in the Union. This includes the possibility for supervisory authorities to address corrective measures or administrative fines and penalties imposed on the controller or processor not established in the Union to the representative, in accordance with articles 58(2) and 83 of the GDPR. The possibility to hold a representative directly liable is however limited to its direct obligations referred to in articles 30 and article 58(1) a of the GDPR

Кроме того, EDPB подчеркивает, что статья 50 GDPR, в частности, направлена на содействие применению законодательства в отношении третьих стран и международных организаций, и что в настоящее время рассматривается вопрос о разработке дальнейших механизмов международного сотрудничества в этой области.

The EDPB furthermore highlights that article 50 of the GDPR notably aims at facilitating the enforcement of legislation in relation to third countries and international organisation, and that the development of further international cooperation mechanisms in this regard is currently being considered.