Больше
Навигация
ГЛАВА I Загальні положення (1-4)
Стаття 1. Предмет і ціліСтаття 2. Матеріальна сфера дії
Стаття 3. Територіальна сфера дії
Стаття 4. Терміни та означення
ГЛАВА II Принципи (5-11)
Стаття 5. Принципи опрацювання персональних данихСтаття 6. Законність опрацюванняСтаття 7. Умови надання згодиСтаття 8. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільстваСтаття 9. Опрацювання спеціальних категорій персональних данихСтаття 10. Опрацювання персональних даних про судимості і кримінальні злочиниСтаття 11. Опрацювання, що не вимагає ідентифікації
ГЛАВА III Права суб'єкта даних (12-23)
Стаття 12. Прозора інформація, повідомлення та форми реалізації прав суб'єкта данихСтаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта данихСтаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта данихСтаття 15. Право суб'єкта даних на доступСтаття 16. Право на виправленняСтаття 17. Право на стирання ("право бути забутим")Стаття 18. Право на обмеження опрацюванняСтаття 19. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацюванняСтаття 20. Право на мобільність данихСтаття 21. Право на запереченняСтаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінгСтаття 23. Обмеження
ГЛАВА IV Контролер і оператор (24-43)
Стаття 24. Предмет і ціліСтаття 25. Захист даних за призначенням і за замовчуваннямСтаття 26. Спільні контролериСтаття 27. Представники контролерів або операторів, які не мають осідків у СоюзіСтаття 28. ОператорСтаття 29. Опрацювання під керівництвом контролера або оператораСтаття 30. Записи опрацювання данихСтаття 31. Співпраця із наглядовим органомСтаття 32. Безпека опрацюванняСтаття 33. Нотифікація наглядового органу про порушення захисту персональних данихСтаття 34. Повідомлення суб'єкта даних про порушення захисту персональних данихСтаття 35. Оцінювання впливу на захист данихСтаття 36. Попередня консультаціяСтаття 37. Призначення співробітника з питань захисту данихСтаття 38. Позиція співробітника з питань захисту данихСтаття 39. Завдання співробітника з питань захисту данихСтаття 40. Кодекс поведінкиСтаття 41. Моніторинг затверджених кодексів поведінкиСтаття 42. СертифікаціяСтаття 43. Органи сертифікації
ГЛАВА V Передавання персональних даних до третіх країн або міжнародних організацій (44-50)
Стаття 44. Загальні принципи передаванняСтаття 45. Передавання на підставі рішення про відповідністьСтаття 46. Передавання з урахуванням належних гарантійСтаття 47. Зобов'язальні корпоративні правилаСтаття 48. Передавання або розкриття, не дозволені законодавством СоюзуСтаття 49. Відступи для спеціальних ситуаційСтаття 50. Міжнародна співпраця у сфері захисту персональних даних
ГЛАВА VI Незалежні наглядові органи (51-59)
Стаття 51. Наглядовий органСтаття 52. НезалежністьСтаття 53. Загальні умови для членів наглядового органуСтаття 54. Правила заснування наглядового органуСтаття 55. КомпетенціяСтаття 56. Компетенція керівного наглядового органуСтаття 57. ЗавданняСтаття 58. ПовноваженняСтаття 59. Звіти про виконану роботу
ГЛАВА VII Співпраця і послідовність (60-70)
Стаття 60. Співпраця між керівним наглядовим органом і іншими відповідними наглядовими органамиСтаття 61. Взаємна допомогаСтаття 62. Спільні операції наглядових органівСтаття 63. Механізм послідовностіСтаття 64. Висновок РадиСтаття 65. Врегулювання спорів РадоюСтаття 66. Екстрена процедураСтаття 67. Обмін інформацієюСтаття 68. Європейська рада із захисту данихСтаття 69. НезалежністьСтаття 70. Завдання РадиСтаття 71. ЗвітиСтаття 72. ПроцедураСтаття 73. ГоловаСтаття 74. Завдання ГоловиСтаття 75. СекретаріатСтаття 76. Конфіденційність
ГЛАВА VIII Засоби правового захисту, відповідальність і санкції (77-84)
Стаття 77. Право на подання скарги до наглядового органуСтаття 78. Право на дієвий судовий засіб правового захисту проти наглядового органуСтаття 79. Право на дієвий судовий засіб правового захисту проти контролера або оператораСтаття 80. Представництво суб'єктів данихСтаття 81. Призупинення провадженняСтаття 82. Право на відшкодування та відповідальністьСтаття 83. Загальні умови для накладання адміністративних штрафівСтаття 84. Санкції
ГЛАВА IX Положення про спеціальні ситуації опрацювання (85-91)
Стаття 85. Опрацювання і свобода вияву поглядів та свобода інформаціїСтаття 86. Опрацювання та доступ громадськості до офіційних документівСтаття 87. Опрацювання національного ідентифікаційного номеруСтаття 88. Опрацювання в контексті зайнятостіСтаття 89. Гарантії та відступи, що стосуються опрацювання для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілейСтаття 90. Обов'язки збереження таємниціСтаття 91. Чинні правила захисту даних церков і релігійних асоціацій
ГЛАВА X Делеговані акти та імплементаційні акти (92-93)
Стаття 92. Здійснення делегуванняСтаття 93. Процедура Комітету
ГЛАВА XI Прикінцеві положення (94-95)
Стаття 94. Скасування Директиви 95/46/ЄССтаття 95. Взаємозв'язок із Директивою 2002/58/ЄССтаття 96. Взаємозв'язок із попередньо укладеними УгодамиСтаття 97. Звіти КомісіїСтаття 98. Перевірка застосування інших нормативно-правових актів Союзу щодо захисту данихСтаття 99. Набуття чинності та застосування
GDPR > Стаття 3. Територіальна сфера дії
Скачать в PDF

Стаття 3 GDPR. Територіальна сфера дії

1. Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.

Руководство и прецедентное право Преамбулы Связанные статьи
Руководство и прецедентное право Преамбулы

(22) Будь-яке опрацювання персональних даних у контексті діяльності осідку контролера або оператора в Союзі необхідно здійснювати відповідно до цього Регламенту, незалежно від того, чи відбувається власне опрацювання в межах Союзу. Ефективна і реальна діяльність осідку передбачає стабільну організацію. У контексті згаданого правова форма такої організації, чи то через відділення, чи то через філію зі статусом юридичної особи, не є у цьому зв'язку визначальним фактором.

(14) Захист, передбачений цим Регламентом, поширюється на фізичних осіб, незалежно від їхнього громадянства чи місця проживання, під час опрацювання їхніх персональних даних. Цей Регламент не поширюється на опрацювання персональних даних юридичних осіб та, зокрема, підприємств, заснованих як юридичні особи, які містять інформацію про найменування, організаційно-правову форму юридичної особи і контактну інформацію юридичної особи.

Связанные статьи

2. Цей Регламент застосовують до опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов’язано з:

Связанные статьи
Связанные статьи

(a) постачанням товарів чи наданням послуг таким суб’єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб’єктів даних; або

Преамбулы Связанные статьи
Преамбулы

(23) Для того, щоб забезпечити, що фізичних осіб не позбавлено захисту, на який вони мають право за цим Регламентом, на опрацювання персональних даних суб'єктів даних, які перебувають в Союзі, контролером або оператором, що не мають осідку в Союзі, повинна поширюватися сфера застосування цього Регламенту, якщо діяльність з опрацювання стосується надання товарів або постачання послуг таким суб'єктам даних, незалежно від того, чи пов'язані вони з платежем. Для встановлення факту пропонування товарів або постачання послуг таким контролером або оператором суб'єктам даних, що перебувають в Союзі, необхідно переконатися у тому, чи є очевидним те, що контролер або оператор передбачає постачання послуг суб'єктам даних в одній або декількох державах-членах Союзу. Оскільки власне доступність у рамках Союзу веб-сайту контролера, оператора або посередника, або електронної адреси чи іншої контактної інформації, або використання мови, що є загальновживаною в третій країні, де має осідок контролер, є недостатньою для встановлення такого наміру, такі фактори як використання мови або валюти, що є загальноприйнятими в одній або декількох державах-членах, із можливістю замовити товари чи послуги тією іншою мовою, або згадування споживачів чи користувачів, що перебувають у Союзі, підтверджують те, що контролер передбачає надання товарів або постачання послуг суб'єктам даних у Союзі.

Связанные статьи

(b) моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах Союзу.

Преамбулы Связанные статьи
Преамбулы

(24) Опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, що мають осідок поза межами Союзу, необхідно також здійснювати з урахуванням цього Регламенту в частині моніторингу поведінки таких суб'єктів даних тією мірою, якою їхня поведінка має місце в межах Союзу. Для того, щоб визначити, чи можна вважати діяльність з опрацювання такою, яку здійснюють для моніторингу поведінки суб'єктів даних, необхідно встановити, чи є фізичні особи об'єктами відстежування в Інтернеті, у тому числі, чи може мати місце подальше використання методик опрацювання персональних даних, що складаються з профайлінгу фізичної особи, зокрема для прийняття рішення щодо неї або нього чи для проведення аналізу, або передбачення її або його особистих переваг, поведінки чи ставлення.

Связанные статьи

3. Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.

Преамбулы
Преамбулы

(25) Якщо законодавство держави-члена застосовують в силу норм публічного міжнародного права, цей Регламент необхідно також застосовувати до контролера, що має осідок поза межами Союзу, зокрема при дипломатичній місії держави-члена чи консульській установі.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

Комментарий эксперта Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Попадает ли наша компания под действие Регламента GDPR?” — это один из самых частых вопросов. И связан он, в том числе, с определением территории действия этого европейского документа.

Вот вам небольшой тест для самопроверки:

 

Применяется ли GDPR в данных ситуациях?

  1. Российское мобильное приложение обрабатывает данные о геолокации российских и иностранных граждан, находящихся в ЕС.
  2. Белорусский сайт знакомств собирает контактные данные всех своих пользователей. На сайте зарегистрированы также американцы и европейцы, приезжающие в Беларусь и желающие познакомиться с местными девушками.
  3. Итальянская сеть открыла новый отель в Киеве, в котором останавливаются как европейцы, так и граждане других стран. Регистрация постояльцев ведется на итальянском сайте, а данные обрабатываются в головном офисе управляющей компании в Италии.
  4. Американская платформа обучения использует персональные данные, чтобы продавать онлайн-курсы по всему миру.
  5. Граждане ЕС, которые находятся на отдыхе в Индии, пришли в местный офис австрийской авиакомпании в Мумбаи, чтобы на пару дней слетать на Бали. Для этого были собраны данные паспортов и банковской карты, а также информация о том, что пассажиры вегетарианцы.
  6. На сайт компании из Ростова-на-Дону 2-3 раза в месяц заходят пользователи из ЕС и заказывают доставку цветов по городу для своих родственников и любимых. Сайт на русском языке, доставка только по Ростову, валюта оплаты — российский рубль. 

 

Если вы сомневаетесь в ответах — то читайте дальше и смотрите подробный разбор в видеоуроке внизу статьи.

Схема «Территория действия GDPR»

3 случая, когда необходимо соблюдать Регламент: 

1. Если обработка данных ведется в контексте деятельности организационной единицы в ЕС. Другими словами, если офис физически находится в любой из стран Евросоюза, и в этом офисе производится обработка данных, то GDPR обязателен. Поэтому правильный ответ на 3-й вопрос, про итальянский отель в Киеве, — да, GDPR необходим.

К слову, этот пункт распространяется не только на физический офис или зарегистрированное юрлицо. Есть много других неочевидных примеров того, что следует считать “контекстом деятельности организационной единицы”. Мы рассказали о них подробнее на видео.


для доступа к полному тексту

Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Задать вопрос
Преамбулы

(22) Будь-яке опрацювання персональних даних у контексті діяльності осідку контролера або оператора в Союзі необхідно здійснювати відповідно до цього Регламенту, незалежно від того, чи відбувається власне опрацювання в межах Союзу. Ефективна і реальна діяльність осідку передбачає стабільну організацію. У контексті згаданого правова форма такої організації, чи то через відділення, чи то через філію зі статусом юридичної особи, не є у цьому зв'язку визначальним фактором.

(23) Для того, щоб забезпечити, що фізичних осіб не позбавлено захисту, на який вони мають право за цим Регламентом, на опрацювання персональних даних суб'єктів даних, які перебувають в Союзі, контролером або оператором, що не мають осідку в Союзі, повинна поширюватися сфера застосування цього Регламенту, якщо діяльність з опрацювання стосується надання товарів або постачання послуг таким суб'єктам даних, незалежно від того, чи пов'язані вони з платежем. Для встановлення факту пропонування товарів або постачання послуг таким контролером або оператором суб'єктам даних, що перебувають в Союзі, необхідно переконатися у тому, чи є очевидним те, що контролер або оператор передбачає постачання послуг суб'єктам даних в одній або декількох державах-членах Союзу. Оскільки власне доступність у рамках Союзу веб-сайту контролера, оператора або посередника, або електронної адреси чи іншої контактної інформації, або використання мови, що є загальновживаною в третій країні, де має осідок контролер, є недостатньою для встановлення такого наміру, такі фактори як використання мови або валюти, що є загальноприйнятими в одній або декількох державах-членах, із можливістю замовити товари чи послуги тією іншою мовою, або згадування споживачів чи користувачів, що перебувають у Союзі, підтверджують те, що контролер передбачає надання товарів або постачання послуг суб'єктам даних у Союзі.

(24) Опрацювання персональних даних суб'єктів даних, які перебувають у Союзі, контролером або оператором, що мають осідок поза межами Союзу, необхідно також здійснювати з урахуванням цього Регламенту в частині моніторингу поведінки таких суб'єктів даних тією мірою, якою їхня поведінка має місце в межах Союзу. Для того, щоб визначити, чи можна вважати діяльність з опрацювання такою, яку здійснюють для моніторингу поведінки суб'єктів даних, необхідно встановити, чи є фізичні особи об'єктами відстежування в Інтернеті, у тому числі, чи може мати місце подальше використання методик опрацювання персональних даних, що складаються з профайлінгу фізичної особи, зокрема для прийняття рішення щодо неї або нього чи для проведення аналізу, або передбачення її або його особистих переваг, поведінки чи ставлення.

(25) Якщо законодавство держави-члена застосовують в силу норм публічного міжнародного права, цей Регламент необхідно також застосовувати до контролера, що має осідок поза межами Союзу, зокрема при дипломатичній місії держави-члена чи консульській установі.

Руководство и прецедентное право Оставить комментарий
[js-disqus]