Статья 3 📖 GDPR. Территориальная сфера действия

第 3 條 GDPR. 領土適用範圍

1. 本規則適用於控管者或處理者在歐盟境內之分支機構所為之個人資料處理活動，不問該處理是否發生於歐盟境內。

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Documents

WP29, Update of Opinion on applicable law in light of the CJEU judgement in Google Spain (2010).

Case Law

CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014):

55. In the light of that objective of Directive 95/46 and of the wording of Article 4(1)(a), it must be held that the processing of personal data for the purposes of the service of a search engine such as Google Search, which is operated by an undertaking that has its seat in a third State but has an establishment in a Member State, is carried out ‘in the context of the activities’ of that establishment if the latter is intended to promote and sell, in that Member State, advertising space offered by the search engine which serves to make the service offered by that engine profitable.

56. In such circumstances, the activities of the operator of the search engine and those of its establishment situated in the Member State concerned are inextricably linked since the activities relating to the advertising space constitute the means of rendering the search engine at issue economically profitable and that engine is, at the same time, the means enabling those activities to be performed. (page 14)

CJEU, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/16 (2018):

… where an undertaking established outside the European Union has several establishments in different Member States, the supervisory authority of a Member State is entitled to exercise the powers conferred on it by Article 28(3) of that directive with respect to an establishment of that undertaking situated in the territory of that Member State even if, as a result of the division of tasks within the group, first, that establishment is responsible solely for the sale of advertising space and other marketing activities in the territory of that Member State and, second, exclusive responsibility for collecting and processing personal data belongs, for the entire territory of the European Union, to an establishment situated in another Member State. (page 14)

Преамбулы

(22) 控管者或處理者在歐盟境內之分支機構所為之一切個人資料處理均應受本規則之拘束，無論其處理行為本身是否發生於歐盟境內。分支機構係指透過穩定安排，從事於有效且實際之活動。此等安排之法律形式，不因其係透過分公司或具有法人格之子公司所為而有不同。

(14) 本規則所保護者，係不論當事人之國籍或住居所，凡涉及其個人資料之處理均屬之。本規則並未涵蓋法人及具法人資格之特定事業的個人資料處理（包括法人名稱、設立形式及其聯繫方式）。

Связанные статьи

2. 本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境內之資料主體所為涉及如下事項之個人資料處理：

Связанные статьи

(a) 對歐盟境內之資料主體提供商品或服務，不問是否需要資料主體付款；

Преамбулы Связанные статьи

Преамбулы

(23) 為確保當事人受本規則所保護之權利不被侵奪，凡為歐盟境內之資料主體，雖由非設立於歐盟境內之控管者及處理者進行個人資料處理，惟其處理活動涉及為該等資料主體提供商品或服務者，不問是否涉及付款，本規則仍應予適用。為決定控管者或處理者是否為歐盟境內之資料主體提供商品或服務，應確認是否明顯可知該控管者或處理者預見其係提供服務予位於一個或多個歐盟會員國境內之資料主體。如僅係可接近使用控管者、處理者或中介者於歐盟境內之網頁、電子郵件或其他聯繫方式，或所使用之語言係控管者設立地之第三國所通常使用之語言，均不足以確認其具有提供商品或服務之上述意圖；但諸如：所使用之語言或貨幣通常係使用於一個或多個會員國境內且有以該語言訂購其商品或服務之可能性，或所提及之消費者或使用者位於歐盟境內者，則可能使其明顯可知控管者擬向於歐盟境內之資料主體提供商品或服務。

Связанные статьи

(b) 對於資料主體於歐盟內所為行為之監控。

Преамбулы Связанные статьи

Преамбулы

(24) 凡為歐盟境內之資料主體，雖由非設立於歐盟境內之控管者及處理者進行個人資料處理，惟其涉及對該資料主體之行為所為監控且該受監控之行為係發生於歐盟境內者，本規則亦應予適用。為決定該資料處理是否可受認定為監控該資料主體之行為，應確認當事人是否於網路中被追蹤，包括以個人資料處理技術為潛在之後續使用而將當事人建檔，特別是為了得到其決策，或為分析或預測其個人喜好、行為及態度。

Связанные статьи

3. 本規則適用於由非設立於歐盟境內之控管者，但在會員國法律依國際公法可得適用領域內所為之個人資料處理。

Преамбулы

(25) 凡會員國法律依國際公法可得適用之領域，本規則亦應拘束非設立於歐盟境內之控管者，諸如會員國之使領館。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

Комментарий эксперта Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

“Попадает ли наша компания под действие Регламента GDPR?” — это один из самых частых вопросов. И связан он, в том числе, с определением территории действия этого европейского документа.

Вот вам небольшой тест для самопроверки:

Применяется ли GDPR в данных ситуациях?

Российское мобильное приложение обрабатывает данные о геолокации российских и иностранных граждан, находящихся в ЕС.
Белорусский сайт знакомств собирает контактные данные всех своих пользователей. На сайте зарегистрированы также американцы и европейцы, приезжающие в Беларусь и желающие познакомиться с местными девушками.
Итальянская сеть открыла новый отель в Киеве, в котором останавливаются как европейцы, так и граждане других стран. Регистрация постояльцев ведется на итальянском сайте, а данные обрабатываются в головном офисе управляющей компании в Италии.
Американская платформа обучения использует персональные данные, чтобы продавать онлайн-курсы по всему миру.
Граждане ЕС, которые находятся на отдыхе в Индии, пришли в местный офис австрийской авиакомпании в Мумбаи, чтобы на пару дней слетать на Бали. Для этого были собраны данные паспортов и банковской карты, а также информация о том, что пассажиры вегетарианцы.
На сайт компании из Ростова-на-Дону 2-3 раза в месяц заходят пользователи из ЕС и заказывают доставку цветов по городу для своих родственников и любимых. Сайт на русском языке, доставка только по Ростову, валюта оплаты — российский рубль.

Если вы сомневаетесь в ответах — то читайте дальше и смотрите подробный разбор в видеоуроке внизу статьи.

Схема «Территория действия GDPR»

3 случая, когда необходимо соблюдать Регламент:

1. Если обработка данных ведется в контексте деятельности организационной единицы в ЕС. Другими словами, если офис физически находится в любой из стран Евросоюза, и в этом офисе производится обработка данных, то GDPR обязателен. Поэтому правильный ответ на 3-й вопрос, про итальянский отель в Киеве, — да, GDPR необходим.

К слову, этот пункт распространяется не только на физический офис или зарегистрированное юрлицо. Есть много других неочевидных примеров того, что следует считать “контекстом деятельности организационной единицы”. Мы рассказали о них подробнее на видео.

…

Войти
для доступа к полному тексту

Автор