Юридична компанія «Правовий Альянс» (далі — ЮК «Правовий Альянс») повідомляє, що 12.11.2019 р. Європейська рада із захисту даних (European Data Protection Board) опублікувала оновлену редакцію Настанови 3/2018 щодо територіальної сфери дії Загального регламенту про захист даних (General Data Protection Regulation — GDPR). У даній редакції, як і в попередніх, акцент робиться на практичному застосуванні двох критеріїв поширення дії GDPR на контролера або оператора: місця перебування (установи) у ЄС та таргетингу (цільової спрямованості діяльності).
У зв’язку з цим у контексті діяльності установи — контролера або оператора в ЄС рекомендується застосовувати трикроковий тест:
1. Наявність установи в ЄС, до якої прирівнюється здійснення ефективної та реальної діяльності через стабільне утворення незалежно від її правової форми (філія, офіс, відділення). Зокрема, навіть наявності одного працівника в ЄС, якщо він стабільно виконує свої функції протягом певного часу, достатньо для визнання наявності установи в ЄС. Наприклад, зареєстрована в Австралії фармацевтична компанія має представництво в Берліні, що займається усією діяльністю, включно із просуванням лікарських засобів у ЄС.
2. Обробка персональних даних здійснюється в контексті діяльності такої установи. Важливе значення тут мають отримання прибутків у ЄС, а також відносини контролера або оператора поза ЄС із його установою в ЄС. Якщо буде встановлено нерозривний зв’язок між обробкою персональних даних контролера або оператора не з ЄС та діяльністю установи в ЄС, на такого контролера або оператора поширюватиметься GDPR. Наприклад, GDPR саме за цим критерієм не поширюватиметься на косметичну компанію, яка працює через свій вебсайт, доступний різними мовами ЄС, якщо в неї немає офісу, представництва чи іншого стабільного утворення в ЄС.
3. Обробка персональних даних здійснюється в контексті діяльності такої установи незалежно від того, чи обробляються персональні дані на території ЄС. Наприклад, персональні дані, пов’язані із клінічними випробуваннями фармацевтичної компанії, зареєстрованої у Франції, обробляються в японській філії такої компанії.
Якщо ці кроки застосовні, то GDPR поширюватиметься на відповідного контролера або оператора.
Стосовно таргетингу (цільової спрямованості діяльності) контролера або оператора в ЮК «Правовий Альянс» відмічають, що за відсутності установи в ЄС до юридичних осіб може застосовуватися GDPR через його екстратериторіальну дію. У такому разі застосовується критерій таргетингу (цільової спрямованості діяльності) контролера або оператора.
Цільова спрямованість діяльності визначається за двома чинниками:
- перебування суб’єктів персональних даних у ЄС (при цьому вони не обов’язково мають бути громадянами будь-якої з країн — членів ЄС);
- пропозиція реалізації продукції, надання послуг або моніторинг діяльності таких суб’єктів персональних даних.
Для того щоб зрозуміти, чи поширюється критерій таргетингу на компанію, слід відповісти на такі запитання:
- чи пропонується доставка продукції, надання послуг у будь-яку з країн — членів ЄС;
- чи доступна версія вебсайту мовами ЄС;
- чи доступна згадана на вебсайті адреса чи номер телефону з будь-якої з країн — членів ЄС;
- чи використовується для вебсайту доменне ім’я верхнього рівня з будь-якої з країн — членів ЄС чи ЄС;
- чи наявна оплата за продукцію/послуги в євро або одній з валют ЄС;
- чи зазначається будь-яка з країн — членів ЄС поряд з назвою продукції/послуги;
- чи здійснюється оплата за оператора пошукової системи з метою полегшення доступу до вебсайту для споживачів у ЄС;
- чи проводяться будь-які маркетингові активності, рекламні кампанії, спрямовані на споживачів у ЄС;
- чи має діяльність міжнародний характер (наприклад туризм);
- чи наявні інструкції, яким чином краще дістатися до місця надання послуги з будь-якої з країн — членів ЄС (наприклад у лікарню);
- чи існують на вебсайті згадки про зарубіжних клієнтів з різноманітних країн — членів ЄС або надані ними рекомендації?
Наслідки недотримання вимог GDPR для компаній
За недотримання вимог GDPR наглядові органи ЄС на компанії накладатимуть адміністративні штрафи:
1. До 10 млн євро або, у разі підприємства, до 2% загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, зокрема, за порушення:
- обробки даних, що не вимагає ідентифікації згідно із статтею 11 GDPR;
- загальних обов’язків контролера й оператора, у тому числі порушення принципу «захист даних за призначенням і за замовчуванням», безпеки персональних даних згідно із статтями 25–39 GDPR;
- сертифікації згідно із статтею 42 GDPR;
- органів сертифікації згідно із статтею 43 GDPR.
2. До 20 млн євро або, у разі підприємства, до 4% загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, зокрема, за порушення:
- основних принципів обробки персональних даних відповідно до статті 5 GDPR;
- законності обробки персональних даних відповідно до статті 6 GDPR;
- обробки спеціальних категорій персональних даних відповідно до статті 9 GDPR;
- порушення порядку передачі персональних даних до одержувача в третій країні чи до міжнародної організації відповідно до статей 44–49 GDPR тощо.
Олексій Бежевець, партнер
ЮК «Правовий Альянс»
Коментарі
Коментарі до цього матеріалу відсутні. Прокоментуйте першим