Главная > Статья 3. Территориальная сфера действия
Скачать в PDF

Статья 3 GDPR. Территориальная сфера действия

Article 3 GDPR. Territorial scope

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет.

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

Разъяснения и прецеденты Преамбулы

(22) Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно не территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

(22) Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.

(14) Защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных юридических лиц и, в частности, на предприятия, созданные как юридические лица, включая наименование и организационно-правовую форму юридического лица, а также и реквизиты юридического лица.

(14) The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

Преамбулы

(23) В целях обеспечения защиты физических лиц, право на которую они имеют в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющим организационной единицы в Союзе, подпадает под действие настоящего Регламента в случаях, когда обработка связана с предложением товаров или услуг субъектам данных, независимо от того, требуется ли от них оплата, или нет. Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах. Несмотря на доступность веб-сайта контролёра, процессора или посредника в Союзе, адреса электронной почты, иные контактные данные либо использование языка третьей страны, в которой учреждён контролёр, являются недостаточными для установления подобных намерений. Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

(23) In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

Преамбулы

(24) Обработка персональных данных субъектов данных, находящихся в Союзе, котролером или процессором, не имеющими организационной единицы в Союзе, также должна регулироваться настоящим Регламентом в случаях, связанных с мониторингом поведения таких субъектов данных в той мере, в какой их деятельность происходит в Союзе. Чтобы определить, можно ли признать деятельность по обработке как «мониторинг проведения» субъекта данных, необходимо установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.

(24) The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.

3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где согласно международному публичному праву действует законодательство государства-члена.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Преамбулы

(25) В случаях, когда согласно международному публичному праву действует законодательство государства-члена, данный Регламент должен также применяться к контролёру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.

(25) Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State’s diplomatic mission or consular post.

Пояснение Преамбулы Разъяснения и прецеденты Оставьте комментарий
Пояснение

Попадает ли наша компания под действие Регламента GDPR?” — это один из самых частых вопросов. И связан он, в том числе, с определением территории действия этого европейского документа.

Вот вам небольшой тест для самопроверки:

 

Применяется ли GDPR в данных ситуациях?

  1. Российское мобильное приложение обрабатывает данные о геолокации российских и иностранных граждан, находящихся в ЕС.
  2. Белорусский сайт знакомств собирает контактные данные всех своих пользователей. На сайте зарегистрированы также американцы и европейцы, приезжающие в Беларусь и желающие познакомиться с местными девушками.
  3. Итальянская сеть открыла новый отель в Киеве, в котором останавливаются как европейцы, так и граждане других стран. Регистрация постояльцев ведется на итальянском сайте, а данные обрабатываются в головном офисе управляющей компании в Италии.
  4. Американская платформа обучения использует персональные данные, чтобы продавать онлайн-курсы по всему миру.
  5. Граждане ЕС, которые находятся на отдыхе в Индии, пришли в местный офис австрийской авиакомпании в Мумбаи, чтобы на пару дней слетать на Бали. Для этого были собраны данные паспортов и банковской карты, а также информация о том, что пассажиры вегетарианцы.
  6. На сайт компании из Ростова-на-Дону 2-3 раза в месяц заходят пользователи из ЕС и заказывают доставку цветов по городу для своих родственников и любимых. Сайт на русском языке, доставка только по Ростову, валюта оплаты — российский рубль. 

 

Если вы сомневаетесь в ответах — то читайте дальше и смотрите подробный разбор в видеоуроке внизу статьи.

Схема «Территория действия GDPR»

3 случая, когда необходимо соблюдать Регламент: 

1. Если обработка данных ведется в контексте деятельности организационной единицы в ЕС. Другими словами, если офис физически находится в любой из стран Евросоюза, и в этом офисе производится обработка данных, то GDPR обязателен. Поэтому правильный ответ на 3-й вопрос, про итальянский отель в Киеве, — да, GDPR необходим.

К слову, этот пункт распространяется не только на физический офис или зарегистрированное юрлицо. Есть много других неочевидных примеров того, что следует считать “контекстом деятельности организационной единицы”. Мы рассказали о них подробнее на видео.


для доступа к полному тексту

Автор
Сергей Воронкевич CIPP/E, CIPM, MBA
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Преамбулы

(22) Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно не территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

(22) Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.

(23) В целях обеспечения защиты физических лиц, право на которую они имеют в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющим организационной единицы в Союзе, подпадает под действие настоящего Регламента в случаях, когда обработка связана с предложением товаров или услуг субъектам данных, независимо от того, требуется ли от них оплата, или нет. Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах. Несмотря на доступность веб-сайта контролёра, процессора или посредника в Союзе, адреса электронной почты, иные контактные данные либо использование языка третьей страны, в которой учреждён контролёр, являются недостаточными для установления подобных намерений. Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

(23) In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.

(24) Обработка персональных данных субъектов данных, находящихся в Союзе, котролером или процессором, не имеющими организационной единицы в Союзе, также должна регулироваться настоящим Регламентом в случаях, связанных с мониторингом поведения таких субъектов данных в той мере, в какой их деятельность происходит в Союзе. Чтобы определить, можно ли признать деятельность по обработке как «мониторинг проведения» субъекта данных, необходимо установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.

(24) The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.

(25) В случаях, когда согласно международному публичному праву действует законодательство государства-члена, данный Регламент должен также применяться к контролёру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.

(25) Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State’s diplomatic mission or consular post.

Разъяснения и прецеденты Оставьте комментарий