Статья 3 📖 GDPR. Территориальная сфера действия

Статья 3 GDPR. Территориальная сфера действия

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет.

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Documents

WP29, Update of Opinion on applicable law in light of the CJEU judgement in Google Spain (2010).

Case Law

CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014):

55. In the light of that objective of Directive 95/46 and of the wording of Article 4(1)(a), it must be held that the processing of personal data for the purposes of the service of a search engine such as Google Search, which is operated by an undertaking that has its seat in a third State but has an establishment in a Member State, is carried out ‘in the context of the activities’ of that establishment if the latter is intended to promote and sell, in that Member State, advertising space offered by the search engine which serves to make the service offered by that engine profitable.

56. In such circumstances, the activities of the operator of the search engine and those of its establishment situated in the Member State concerned are inextricably linked since the activities relating to the advertising space constitute the means of rendering the search engine at issue economically profitable and that engine is, at the same time, the means enabling those activities to be performed. (page 14)

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018):

… where an undertaking established outside the European Union has several establishments in different Member States, the supervisory authority of a Member State is entitled to exercise the powers conferred on it by Article 28(3) of that directive with respect to an establishment of that undertaking situated in the territory of that Member State even if, as a result of the division of tasks within the group, first, that establishment is responsible solely for the sale of advertising space and other marketing activities in the territory of that Member State and, second, exclusive responsibility for collecting and processing personal data belongs, for the entire territory of the European Union, to an establishment situated in another Member State. (page 14)

Преамбулы

(22) Любая обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, осуществляется ли сама обработка собственно на территории Союза. Организационная единица подразумевает эффективное и реальное осуществление деятельности постоянных структур. При этом, правовая форма таких структур, будь то филиал или правосубъектное дочернее предприятие, не является определяющим фактором.

(14) Защита, предусмотренная настоящим Регламентом, должна применяться к физическим лицам, независимо от их гражданства или места жительства, в связи с обработкой их персональных данных. Настоящий Регламент не распространяется на обработку персональных данных юридических лиц и, в частности, на предприятия, созданные как юридические лица, включая наименование и организационно-правовую форму юридического лица, а также и реквизиты юридического лица.

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Организационная единица в Союзе

Порог для «постоянных структур [9]» может быть довольно низким, когда деятельность контролера сосредоточена на предоставлении услуг в режиме онлайн. В результате в некоторых обстоятельствах присутствие в Союзе одного единственного сотрудника или агента не-ЕС-организации, может быть достаточным для создания постоянной структуры (приравненной к «организационной единице» для целей статьи 3(1)), если этот сотрудник или агент действует с достаточной степенью постоянства. И наоборот, когда сотрудник находится в ЕС, но обработка не выполняется в Союзе в контексте деятельности сотрудника из ЕС (т. е. Обработка относится к действиям контролера за пределами ЕС), простое присутствие сотрудника в ЕС не приведет к тому, что эта обработка попадет в сферу действия GDPR. Другими словами, простого присутствия работника в ЕС недостаточно для применения GDPR, поскольку для того, чтобы рассматриваемая обработка попадала в сферу действия GDPR, она также должна выполняться в контексте деятельности сотрудника из ЕС.

_{[9] Weltimmo, параграф 31.}

Тот факт, что организация, не являющаяся членом ЕС, ответственна за обработку данных, не имеет филиала или дочерней компании в государстве-члене, не исключает возможности наличия ее организационной единицы в значении закона ЕС о защите данных. Хотя понятие организационной единицы является широким, оно не без ограничений. Невозможно сделать вывод о том, что организация не из ЕС, имеет организационную единицу в Союзе только потому, что веб-сайт организации доступен в Союзе [10].

_{[10] CJEU, Verein für Konsumenteninformation v. Amazon EU Sarl, Дело C‑191/15, 28 Июль 2016, параграф 76 (далее — “Verein für Konsumenteninformation”).}

Обработка персональных данных осуществляется «в контексте деятельности» организационной единицы

EDPB считает, что для целей статьи 3(1) «обработка персональных данных в контексте деятельности организационной единицы контролёра или процессора» должна пониматься исходя из соответствующего прецедентного права. С одной стороны, с целью достижения цели обеспечения эффективной и полной защиты, значение «в контексте деятельности организационной единицы» не может толковаться ограничительно [12]. С другой стороны, существование организационной единицы по смыслу GDPR не следует толковать слишком широко, чтобы сделать вывод о том, что существование какого-либо присутствия на территории ЕС, имеющего даже самые отдаленные связи с деятельностью организации, расположенной не на территории ЕС, по обработке данных будет достаточным, чтобы включить эту обработку в сферу действия закона ЕС о защите данных. Некоторая коммерческая деятельность, осуществляемая организацией, расположенной не на территории ЕС, в государстве-члене, действительно может быть настолько не связана с обработкой персональных данных этой организацией, что осуществление коммерческой деятельности на территории ЕС будет недостаточным для отнесения обработки данных организацией, не расположенной на территории ЕС, к сфере действия закона ЕС о защите данных [13].

_{[12] Weltimmo, параграф 25 и Google Испания, параграф 53.}

_{[13] G29 WP 179 обновление — Обновление мнения 8/2010 о применимом праве в свете CJEU решения Google Испания, 16 декабря 2015.}

Рассмотрение следующих двух факторов может помочь определить, выполняется ли обработка контролёром или процессором в контексте его организационной единицы в Союзе.

i) Отношения между контролёром данных или процессором, находящегося за пределами Союза, и его организационной единицей в Союзе

Деятельность контролёра или процессора данных, имеющих организационную единицу за пределами ЕС, по обработке данных может быть неразрывно связана с деятельностью местной организационной единицы в государстве-члене и, таким образом, может инициировать применимость законодательства ЕС, даже если эта местная организационная единица фактически не принимает какое-либо участие в самой обработке данных [14]. Если в каждом конкретном случае анализ фактов показывает, что существует неразрывная связь между обработкой персональных данных, осуществляемой контроллером или процессором, не находящихся в ЕС, и деятельностью организационной единицы, расположенной в ЕС, то закон ЕС будет применяться к такой обработке организации, расположенной за пределами ЕС, вне зависимости от организационной единицы, расположенной в ЕС, в этой обработке данных [15].

_{[14] CJEU, Google Испания, Дело C‑131/12}

_{[15] G29 WP 179 обновление — обновление мнения 8/2010 о применимом праве в свете решения CJEU Google Испания, 16 декабря 2015}

ii) Получение доходов в Союзе

Получение доходов в ЕС местной организационной единицей в той степени, в которой такая деятельность может рассматриваться как «неразрывно связанная» с обработкой персональных данных, происходящей за пределами ЕС, и обработкой персональных данных отдельных лиц в ЕС, может свидетельствовать об обработке контролёром или процессором, расположенным за пределами ЕС, осуществляемой «в контексте деятельности организационной единицы в ЕС» и может быть достаточным для применения законодательства ЕС к такой обработке [16].

_{[16] Это может потенциально иметь место, например, для любого иностранного оператора с офисом продаж или некоторым другим присутствием в ЕС, даже если этот офис не играет никакой роли в фактической обработке данных, в частности, когда обработка происходит в контексте деятельности по продажам в ЕС и деятельности организационной единицы, ориентированной на жителей государств-членов, в которых находится организационная единица(обновление WP179).}

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Субъекты данных в Союзе

Формулировка статьи 3(2) относится к «персональным данным субъектов данных, которые находятся в Союзе» . Таким образом, применение критерия таргетинга не ограничивается гражданством, местом жительства или другим типом правового статуса субъекта данных, чьи личные данные обрабатываются. Пункт 14 декларативной части подтверждает это толкование и гласит, что «защита, предоставляемая настоящим Регламентом, должна применяться к обработкам персональных данных физических лиц вне зависимости от их национальности или места жительства».

Хотя местонахождение субъекта данных на территории Союза является определяющим фактором для применения критерия таргетинга согласно статье 3(2), EDPB считает, что гражданство или правовой статус субъекта данных, который находится в Союзе, не могут ограничивать или сужать территориальную сферу действия Регламента.

Требование, чтобы субъект данных находился в Союзе, должно оцениваться в момент, когда происходит соответствующая таргетинговая деятельность, то есть в момент предложения товаров или услуг или в момент, когда поведение отслеживается, независимо от продолжительности предложения или мониторинга.

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

Преамбулы Связанные статьи

Преамбулы

(23) В целях обеспечения защиты физических лиц, право на которую они имеют в соответствии с настоящим Регламентом, обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющим организационной единицы в Союзе, подпадает под действие настоящего Регламента в случаях, когда обработка связана с предложением товаров или услуг субъектам данных, независимо от того, требуется ли от них оплата, или нет. Чтобы определить, предлагает ли такой контролёр или процессор товары или услуги субъектам данных, находящимся в Союзе, следует установить очевидность того, что контролёр или процессор намеревается предлагать услуги субъектам данных в одном или нескольких государствах-членах. Несмотря на доступность веб-сайта контролёра, процессора или посредника в Союзе, адреса электронной почты, иные контактные данные либо использование языка третьей страны, в которой учреждён контролёр, являются недостаточными для установления подобных намерений. Признаки, среди которых использование языка или валюты одного или нескольких государств-членов, с возможностью заказывать товары и услуги на этом языке, либо упоминание потребителей или пользователей, которые находятся в Союзе, могут подтверждать очевидность того, что контролёр намерен предлагать товары или услуги субъектам данных в Союзе.

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть — любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

Другой ключевой элемент, который необходимо оценить при определении того, может ли критерий таргетинга по статье 3(2)(а) быть удовлетворен, заключается в том, направлено ли предложение товаров или услуг на какое-либо лицо в Союзе, или, другими словами, является ли поведение со стороны контролера, который определяет цели и средства обработки, демонстрирующим намерение предложить товары или услуги субъекту данных, расположенному в Союзе. Пункт 23 декларативной части GDPR действительно разъясняет, что «для того, чтобы определить, предлагает ли такой контролер или процессор товары или услуги субъектам данных, которые находятся в Союзе, должно быть установлено, является ли очевидным то, что контролер или процессор предусматривают предложение услуги субъектам данных в одном или нескольких государствах-членах Союза».

Элементы, перечисленные в пункте 23 декларативной части, повторяют и соответствуют прецедентному праву CJEU, основанному на Постановлении Совета 44/2001 [25] о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам, и, в частности, статьи 15(1)(с). В деле Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (объединенные дела C-585/08 и C-144/09) Суду было предложено разъяснить, что означает «прямая деятельность» по смыслу статьи 15(1)(c) Регламента 44/2001 (Brussels I). CJEU постановил, что для того, чтобы определить, можно ли считать, что трейдер «направляет» свою деятельность в государство-член по месту жительства потребителя, по смыслу статьи 15(1)(c) Brussels I, трейдер должен проявить намерение установить коммерческие отношения с такими потребителями. В этом контексте CJEU рассмотрел доказательства, демонстрирующие, что трейдер намеревался вести бизнес с потребителями, проживающими в государстве-члене.

_{[25] Постановление Совета (ЕС) № 44/2001 от 22 декабря 2000 года о юрисдикции и признании и исполнении судебных решений по гражданским и коммерческим вопросам.}

Хотя понятие «направление деятельности» отличается от «предложения товаров или услуг», EDPB считает, что прецедентное право, а именно Pammer v Reederei Karl Schlüter GmbH & Co и Hotel Alpenhof v Heller (Объединенные дела C-585/08 и C -144/09) [26] может оказаться полезным при рассмотрении вопроса о том, предлагаются ли товары или услуги субъекту данных в Союзе. Принимая во внимание конкретные обстоятельства дела, можно, среди прочего, учитывать следующие факторы, возможно, в сочетании друг с другом:

_{[26] Это тем более имеет отношение, потому что в соответствии со статьей 6 Регламента (ЕС) № 593/2008 Европейского парламента и Совета от 17 июня 2008 года о праве, применимом к договорным обязательствам (Рим I), при отсутствии выбора права критерий «направления деятельности» в страну обычного проживания потребителя принимается во внимание, чтобы выбрать закон обычного проживания потребителя в качестве права, применимого к договору.}

— ЕС или, по крайней мере, одно государство-член обозначено по имени со ссылкой на предлагаемый товар или услугу;

— Контролер данных или процессор платят оператору поисковой системы за службу интернет-ссылок, чтобы облегчить доступ к сайту для потребителей в Союзе; или контролер или процессор начали маркетинговые и рекламные компании, направленные на аудиторию стран ЕС

— международный характер рассматриваемой деятельности, такой как определенные виды туристической деятельности;

— упоминание выделенных адресов или телефонных номеров для связи со страной ЕС;

— использование доменного имени верхнего уровня, отличного от имени третьей страны, в которой установлен контролер или процессор, например «.de», или использование нейтральных доменных имен верхнего уровня, таких как «.eu»;

— описание инструкций по поездке из одного или нескольких других государств-членов ЕС в место, где предоставляется услуга;

— упоминание международной клиентуры, состоящей из клиентов, проживающих в различных государствах-членах ЕС, в частности, путем представления аккаунтов, созданных такими клиентами;

— использование языка или валюты, отличной от той, которая обычно используется в стране трейдера, особенно языка или валюты одной или нескольких стран-членов ЕС;

— Контролер данных предлагает доставку товаров в страны-члены ЕС.

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

Преамбулы Связанные статьи

Преамбулы

(24) Обработка персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, также должна регулироваться настоящим Регламентом в случаях, связанных с мониторингом поведения таких субъектов данных в той мере, в какой их деятельность происходит в Союзе. Чтобы определить, можно ли признать деятельность по обработке как «мониторинг проведения» субъекта данных, необходимо установить, наблюдаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, включающими профилирование физического лица, в том числе, чтобы принять решение по данному лицу либо проанализировать или предсказать его личные предпочтения, поведение и отношения.

Связанные статьи

Руководство по территориальной сфере действия GDPR (статья 3)

Мониторинг поведения субъектов данных

Для того, чтобы статья 3(2)(b) повлекла применение GDPR, отслеживаемое поведение должно сначала относиться к субъекту данных в Союзе, и, как совокупный критерий, отслеживаемое поведение должно иметь место на территории Союза.

Характер процесса обработки, который можно рассматривать как поведенческий мониторинг, дополнительно описан в пункте 24 декларативной части, в котором говорится, что «для того чтобы определить, можно ли рассматривать обработку в качестве мониторинга поведения субъектов данных, следует определить, отслеживаются ли физические лица в Интернете, включая возможное последующее использование методов обработки персональных данных, которые включают в себя профилирование физического лица, особенно для принятия решений, касающихся его или ее или для анализа или прогнозирования ее или его личных предпочтений, поведения и отношений». В то время как пункт 24 декларативной части относится исключительно к мониторингу поведения посредством отслеживания человека в Интернете, EDPB считает, что отслеживание через другие типы сетей или технологий, включающих обработку персональных данных, также должно приниматься во внимание при определении того, составляет ли обработка мониторинг поведения, например, через портативные и другие умные устройства.

В отличие от положения Статьи 3(2)(а), ни Статья 3(2)(b), ни пункт 24 декларативной части явно не вводят необходимую степень «намерения таргетировать» со стороны контролера данных или процессора, чтобы определить, может ли деятельность по мониторингу повлечь применение GDPR к обработкам. Тем не менее использование слова «мониторинг» подразумевает, что контролер имеет конкретную цель для сбора и последующего повторного использования соответствующих данных о поведении человека в ЕС. EDPB не считает, что любой онлайн-сбор или анализ личных данных отдельных лиц в ЕС автоматически будет считаться «мониторингом». Необходимо будет рассмотреть цели контролера для обработки данных и, в частности, любые последующие методы поведенческого анализа или профилирования с использованием этих данных. EDPB учитывает формулировку пункта 24 декларативной части, которая указывает на то, что для определения того, включает ли обработка мониторинг поведения субъекта данных, ключевым фактором является отслеживание физических лиц в Интернете, включая потенциальное последующее использование методов профилирования.

Применение статьи 3(2)(b), когда контролер данных или процессор контролируют поведение субъектов данных, находящихся в Союзе, может, таким образом, охватывать широкий спектр мероприятий по мониторингу, включая, в частности:

— Поведенческая реклама

— геолокализация деятельности, в частности, в маркетинговых целях

— Онлайн отслеживание с помощью файлов cookie или других методов отслеживания, таких как дактилоскопия

— Персонализированные услуги для анализа питания и здоровья онлайн

— Кабельное телевидение

— Обзоры рынка и другие исследования поведения на основе индивидуальных профилей

— Мониторинг или регулярные отчеты о состоянии здоровья человека

3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где согласно международному публичному праву действует законодательство государства-члена.

Преамбулы

(25) В случаях, когда согласно международному публичному праву действует законодательство государства-члена, данный Регламент должен также применяться к контролёру, не имеющему организационной единицы в Союзе, например, в дипломатическом представительстве или консульском учреждении государства-члена.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

Комментарий эксперта Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

“Попадает ли наша компания под действие Регламента GDPR?” — это один из самых частых вопросов. И связан он, в том числе, с определением территории действия этого европейского документа.

Вот вам небольшой тест для самопроверки:

Применяется ли GDPR в данных ситуациях?

Российское мобильное приложение обрабатывает данные о геолокации российских и иностранных граждан, находящихся в ЕС.
Белорусский сайт знакомств собирает контактные данные всех своих пользователей. На сайте зарегистрированы также американцы и европейцы, приезжающие в Беларусь и желающие познакомиться с местными девушками.
Итальянская сеть открыла новый отель в Киеве, в котором останавливаются как европейцы, так и граждане других стран. Регистрация постояльцев ведется на итальянском сайте, а данные обрабатываются в головном офисе управляющей компании в Италии.
Американская платформа обучения использует персональные данные, чтобы продавать онлайн-курсы по всему миру.
Граждане ЕС, которые находятся на отдыхе в Индии, пришли в местный офис австрийской авиакомпании в Мумбаи, чтобы на пару дней слетать на Бали. Для этого были собраны данные паспортов и банковской карты, а также информация о том, что пассажиры вегетарианцы.
На сайт компании из Ростова-на-Дону 2-3 раза в месяц заходят пользователи из ЕС и заказывают доставку цветов по городу для своих родственников и любимых. Сайт на русском языке, доставка только по Ростову, валюта оплаты — российский рубль.

Если вы сомневаетесь в ответах — то читайте дальше и смотрите подробный разбор в видеоуроке внизу статьи.

Схема «Территория действия GDPR»

3 случая, когда необходимо соблюдать Регламент:

1. Если обработка данных ведется в контексте деятельности организационной единицы в ЕС. Другими словами, если офис физически находится в любой из стран Евросоюза, и в этом офисе производится обработка данных, то GDPR обязателен. Поэтому правильный ответ на 3-й вопрос, про итальянский отель в Киеве, — да, GDPR необходим.

К слову, этот пункт распространяется не только на физический офис или зарегистрированное юрлицо. Есть много других неочевидных примеров того, что следует считать “контекстом деятельности организационной единицы”. Мы рассказали о них подробнее на видео.

…

Войти
для доступа к полному тексту

Автор