Територіальна сфера дії GDPR: що слід врахувати

21 Грудня 2019 4:24 Поділитися

Юридична компанія «Правовий Альянс» (далі — ЮК «Правовий Альянс») повідомляє, що 12.11.2019 р. Європейська рада із захисту даних (European Data Protection Board) опуб­лікувала оновлену редакцію Настанови 3/2018 щодо територіальної сфери дії Загального регламенту про захист даних (General Data Protection Regulation — GDPR). У даній редакції, як і в попередніх, акцент робиться на практичному застосуванні двох критеріїв поширення дії GDPR на контролера або оператора: місця перебування (установи) у ЄС та таргетингу (цільової спрямованості діяльності).

У зв’язку з цим у контексті діяльності установи — контролера або оператора в ЄС рекомендується застосовувати трикроковий тест:

1. Наявність установи в ЄС, до якої прирівнюється здійснення ефективної та реальної діяльності через стабільне утворення незалежно від її правової форми (філія, офіс, відділення). Зокрема, навіть наявності одного працівника в ЄС, якщо він стабільно виконує свої функції протягом певного часу, достатньо для визнан­ня наявності установи в ЄС. Наприклад, зареєстрована в Австралії фармацевтична компанія має представництво в Берліні, що займається усією діяльністю, включно із просуванням лікарських засобів у ЄС.

2. Обробка персональних даних здійснюється в контексті діяльності такої установи. Важливе значення тут мають отримання прибутків у ЄС, а також відносини контролера або оператора поза ЄС із його установою в ЄС. Якщо буде встановлено нерозривний зв’язок між обробкою персональних даних контролера або оператора не з ЄС та діяльністю установи в ЄС, на такого контролера або оператора поширюватиметься GDPR. Наприклад, GDPR саме за цим критерієм не поширюватиметься на косметичну компанію, яка працює через свій вебсайт, доступний різними мовами ЄС, якщо в неї немає офісу, представництва чи іншого стабільного утворення в ЄС.

3. Обробка персональних даних здійснюється в контексті діяльності такої установи незалежно від того, чи обробляються персональні дані на території ЄС. Наприклад, персональні дані, пов’язані із клінічними випробуваннями фармацевтичної компанії, зареєстрованої у Франції, обробляються в японській філії такої компанії.

Якщо ці кроки застосовні, то GDPR поширюватиметься на відповідного контролера або оператора.

Стосовно таргетингу (цільової спрямованості діяльності) контролера або оператора в ЮК «Правовий Альянс» відмічають, що за відсутності установи в ЄС до юридичних осіб може застосовуватися GDPR через його екстратериторіальну дію. У такому разі застосовується критерій таргетингу (цільової спрямованості діяльності) контролера або оператора.

Цільова спрямованість діяльності визначається за двома чинниками:

  • перебування суб’єктів персональних даних у ЄС (при цьому вони не обов’язково мають бути громадянами будь-якої з країн — членів ЄС);
  • пропозиція реалізації продукції, надання послуг або моніторинг діяльності таких суб’єктів персональних даних.

Для того щоб зрозуміти, чи поширюється критерій таргетингу на компанію, слід відповісти на такі запитання:

  • чи пропонується доставка продукції, надання послуг у будь-яку з країн — членів ЄС;
  • чи доступна версія вебсайту мовами ЄС;
  • чи доступна згадана на вебсайті адреса чи номер телефону з будь-якої з країн — членів ЄС;
  • чи використовується для вебсайту доменне ім’я верхнього рівня з будь-якої з країн — членів ЄС чи ЄС;
  • чи наявна оплата за продукцію/послуги в євро або одній з валют ЄС;
  • чи зазначається будь-яка з країн — членів ЄС поряд з назвою продукції/послуги;
  • чи здійснюється оплата за оператора пошукової системи з метою полегшення доступу до вебсайту для споживачів у ЄС;
  • чи проводяться будь-які маркетингові активності, рекламні кампанії, спрямовані на споживачів у ЄС;
  • чи має діяльність міжнародний характер (наприклад туризм);
  • чи наявні інструкції, яким чином краще дістатися до місця надання послуги з будь-якої з країн — членів ЄС (наприклад у лікарню);
  • чи існують на вебсайті згадки про зарубіжних клієнтів з різноманітних країн — членів ЄС або надані ними рекомендації?

Наслідки недотримання вимог GDPR для компаній

За недотримання вимог GDPR наглядові органи ЄС на компанії накладатимуть адміністративні штрафи:

1. До 10 млн євро або, у разі підприємства, до 2% загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, зокрема, за порушення:

  • обробки даних, що не вимагає ідентифікації згідно із статтею 11 GDPR;
  • загальних обов’язків контролера й оператора, у тому числі порушення принципу «захист даних за призначенням і за замовчуванням», безпеки персональних даних згідно із статтями 25–39 GDPR;
  • сертифікації згідно із статтею 42 GDPR;
  • органів сертифікації згідно із статтею 43 GDPR.

2. До 20 млн євро або, у разі підприємства, до 4% загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, зокрема, за порушення:

  • основних принципів обробки персональних даних відповідно до статті 5 GDPR;
  • законності обробки персональних даних відповідно до статті 6 GDPR;
  • обробки спеціальних категорій персональних даних відповідно до статті 9 GDPR;
  • порушення порядку передачі персональних даних до одержувача в третій країні чи до міжнародної організації відповідно до статей 44–49 GDPR тощо.

Олексій Бежевець, партнер
ЮК «Правовий Альянс»

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Останні новини та статті