Загрузил Карина Курманкаева

edpb guidelines 3 2018 territorial scope after public consultation

реклама
Machine Translated by Google
Рекомендации 3/2018 о территориальном охвате GDPR
(Статья 3)
Версия 2.1
07 января 2020 г.
1
Усыновленный
Machine Translated by Google
История версий
Версия 2.1 07 января 2020 г.
Изменение форматирования
Версия 2.0 12 ноября 2019 г. Принятие Руководства после общественных консультаций
Версия 1.0 16 ноября 2018 г. Утверждение Руководства для консультаций по публикации
2
Усыновленный
Machine Translated by Google
Содержание
Введение ................................................. .................................................. .......................................... 4
1 Применение критерия учреждения – Статья 3(1)............................. ................................. 5
2
Применение критерия адресности – Статья 3(2) ............................ ................................................13
3 Обработка в месте, где применяется право государства-члена ЕС в соответствии с международным публичным правом.....22
4 Представитель контролеров или обработчиков, не зарегистрированных в Союзе....................23
3
Усыновленный
Machine Translated by Google
Европейский совет по защите данных
Принимая во внимание статью 70 (1)(e) Регламента 2016/679/EU Европейского парламента и Совета от 27 апреля 2016 г. о защите
физических лиц в отношении обработки персональных данных и о свободном передвижении таких данных и отмену Директивы
95/46/EC.
ПРИНЯЛ СЛЕДУЮЩИЕ РУКОВОДСТВА:
ВВЕДЕНИЕ
Территориальная сфера действия Общего регламента защиты данных1 (GDPR или Регламента) определяется статьей 3 Регламента
и представляет собой значительное развитие закона ЕС о защите данных по сравнению со структурой, определенной Директивой
95/46/EC2 .
Частично GDPR подтверждает
выбор, сделанный законодателем ЕС и Судом Европейского Союза (CJEU) в контексте Директивы 95/46/EC. Однако были введены
важные новые элементы. Самое главное, что основная цель статьи 4 Директивы заключалась в том, чтобы определить,
национальное законодательство какого государства-члена ЕС применимо, тогда как статья 3 GDPR определяет территориальную
сферу применения текста прямого действия.
Более того, хотя в статье 4 Директивы содержится ссылка на «использование оборудования» на территории Союза в качестве
основания для включения контролеров, которые «не были созданы на территории Сообщества», в сферу действия закона ЕС о
защите данных, такая ссылка не появляются в статье 3 GDPR.
Статья 3 GDPR отражает намерение законодателя обеспечить комплексную защиту прав субъектов данных в ЕС и создать, с точки
зрения требований по защите данных, равные условия для компаний, действующих на рынках ЕС, в контексте мирового
сообщества. потоки данных.
Статья 3 GDPR определяет территориальную сферу действия Регламента на основе двух основных критериев: критерия
«установления» в соответствии со статьей 3 (1) и критерия «нацеливания» в соответствии со статьей 3 (2).
Если один из этих двух критериев соблюден, соответствующие положения GDPR будут применяться к соответствующим
обработка персональных данных соответствующим контролером или обработчиком. Кроме того, статья 3(3) подтверждает
применение GDPR к обработке, когда право государства-члена применяется в силу международного публичного права.
Благодаря общей интерпретации органов по защите данных в ЕС, эти рекомендации направлены на обеспечение последовательного
применения GDPR при оценке того, подпадает ли конкретная обработка данных контролером или обработчиком под действие
новой правовой базы ЕС. В этих рекомендациях EDPB устанавливает и уточняет критерии определения применения
территориального действия GDPR. Такая общая интерпретация также важна для контролеров и процессоров, как внутри, так и за
пределами ЕС, чтобы они могли оценить, необходимо ли им соблюдать GDPR для конкретной деятельности по обработке.
Поскольку контролеры или процессоры не зарегистрированы в ЕС, но занимаются деятельностью по обработке, подпадающей под
Статья 3(2) требуется для назначения представителя в Союзе, эти руководящие принципы также предусматривают
Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц
в отношении обработки персональных данных и о свободном перемещении таких данных, а также об
отмене Директивы 95/46/EC. (Общий регламент по защите данных).
1
2 Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите частных лиц при обработке
персональных данных и о свободном перемещении таких данных.
4
Усыновленный
Machine Translated by Google
разъяснение процесса назначения этого представителя в соответствии со статьей 27, а также его ответственности и обязательств.
В качестве общего принципа EDPB утверждает, что если обработка персональных данных подпадает под территориальную сферу
действия GDPR, к такой обработке применяются все положения Регламента. В этих руководящих принципах будут указаны
различные сценарии, которые могут возникнуть в зависимости от типа деятельности по обработке, организации, осуществляющей
эту деятельность по обработке, или местонахождения таких организаций, а также подробно описаны положения, применимые к
каждой ситуации. Поэтому крайне важно, чтобы контролеры и обработчики, особенно те, которые предлагают товары и услуги на
международном уровне, проводили тщательную и конкретную оценку своей деятельности по обработке, чтобы определить,
подпадает ли соответствующая обработка персональных данных под действие GDPR.
EDPB подчеркивает, что применение статьи 3 направлено на определение того, подпадает ли под действие GDPR конкретная
обработка данных, а не физическое лицо (юридическое или физическое).
Следовательно, определенная обработка персональных данных контролером или обработчиком может подпадать под действие
Регламента, тогда как другая обработка персональных данных тем же контролером или обработчиком может не подпадать под
действие Регламента, в зависимости от деятельности по обработке.
Эти руководящие принципы, первоначально принятые EDPB 16 ноября, были представлены на общественные консультации с 23
ноября 2018 года по 18 января 2019 года и были обновлены с учетом полученных отзывов и отзывов.
1 ПРИМЕНЕНИЕ КРИТЕРИЯ УСТАНОВЛЕНИЯ – СТАТЬЯ 3(1)
Статья 3(1) GDPR предусматривает, что «Регламент применяется к обработке персональных данных в контексте деятельности
учреждения контролера или обработчика в Союзе, независимо от того, происходит ли обработка в Союзе или нет."
Статья 3(1) GDPR ссылается не только на учреждение контролера, но и на учреждение процессора. В результате обработка
персональных данных обработчиком также может подпадать под действие законодательства ЕС, поскольку обработчик имеет
предприятие, расположенное на территории ЕС.
Статья 3(1) гарантирует, что GDPR применяется к обработке данных контролером или обработчиком, осуществляемой в контексте
деятельности учреждения этого контролера или обработчика в Союзе, независимо от фактического места обработки. Поэтому
EDPB рекомендует использовать тройной подход при определении того, подпадает ли обработка персональных данных под
действие GDPR в соответствии со статьей 3(1).
В следующих разделах разъясняется применение критерия учреждения, во-первых, путем рассмотрения определения
«предприятия» в ЕС в значении закона ЕС о защите данных, во-вторых, путем рассмотрения того, что подразумевается под
«обработкой в контексте деятельности учреждение в Союзе» и, наконец, подтвердив, что GDPR будет применяться независимо от
того, происходит ли обработка, выполняемая в контексте деятельности этого учреждения, в Союзе или нет.
а) «Заведение в Союзе»
Прежде чем рассматривать, что подразумевается под «предприятием в Евросоюзе», сначала необходимо определить, кто является
контролером или обработчиком данной деятельности по обработке. Согласно определению в статье 4(7) GDPR, контролер означает
«физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно
с другими определяет цели и средства обработки персональных данных». . Обработчиком, согласно статье 4(8) GDPR, является
«физическое или юридическое лицо, орган государственной власти,
5
Усыновленный
Machine Translated by Google
агентство или другой орган, который обрабатывает персональные данные от имени контролера». Как установлено
соответствующим прецедентным правом СЕС и предыдущим заключением WP293 , определение того, является ли
организация контролером или обработчиком для целей законодательства ЕС о защите данных, является ключевым
элементом в оценке применения GDPR к обработке персональных данных в вопрос.
Хотя понятие «основное учреждение» определено в статье 4(16), GDPR не содержит определения «предприятия» для
целей статьи 34 . Однако в Декларативной части 225 разъясняется, что «[e]учреждение подразумевает эффективное и
реальное осуществление деятельности посредством стабильных механизмов. Юридическая форма таких образований,
будь то филиал или дочерняя компания, имеющая правосубъектность, не является определяющим фактором в этом
отношении».
Эта формулировка идентична формулировке, содержащейся в декларативной части 19 Директивы 95/46/EC, на которую
ссылались в нескольких постановлениях СЕС, расширяющих толкование термина «предприятие», отходя от
формалистического подхода, согласно которому предприятия создаются исключительно в место, где они
зарегистрированы6 . Действительно, СЕС постановил, что понятие истеблишмента распространяется на любую
Чтобы
определить,
имеет
реальную и эффективную деятельность — даже минимальную — осуществляемую посредством
стабильных
механизмов7
.
ли организация, базирующаяся за пределами Союза, представительство в государстве-члене ЕС, необходимо учитывать
как степень стабильности деятельности, так и эффективное осуществление деятельности в этом государстве-члене ЕС с
учетом специфики экономической ситуации. деятельность и предоставление соответствующих услуг. Это особенно
справедливо для предприятий, предлагающих услуги исключительно через Интернет8 .
Порог «стабильного соглашения9 » на самом деле может быть довольно низким, если центр деятельности контролера
касается предоставления услуг онлайн. В результате, в некоторых обстоятельствах, присутствие одного единственного
сотрудника или агента юридического лица, не входящего в ЕС, в Союзе может быть достаточным для создания
стабильного соглашения (что соответствует «предприятию» для целей Статьи 3(1)) если этот сотрудник или агент
действует с достаточной степенью стабильности. И наоборот, когда сотрудник находится в ЕС, но обработка не
осуществляется в контексте деятельности сотрудника, базирующегося в ЕС в Союзе (т. е. обработка относится к
деятельности контролера за пределами ЕС), просто присутствие сотрудника в ЕС не приведет к тому, что такая обработка
подпадает под действие GDPR. Другими словами, простого присутствия сотрудника в ЕС недостаточно для того, чтобы
инициировать применение GDPR, поскольку для того, чтобы рассматриваемая обработка подпадала под действие
GDPR, она также должна осуществляться в контексте деятельности сотрудника, находящегося в ЕС.
Тот факт, что организация, не входящая в ЕС, ответственная за обработку данных, не имеет филиала или дочерней
компании в государстве-члене ЕС, не мешает ей иметь там представительство в пределах ЕС.
3 G 29 WP169 – Мнение 1/2010 о понятиях «контроллер» и «процессор», принятое 16 февраля 2010 г.
и находится на пересмотре EDPB.
4 Определение «основное учреждение» в основном актуально для целей определения компетенции соответствующих надзорных органов в соответствии со
статьей 56 GDPR. См. Рекомендации WP29 по определению контролера или ведущего надзорного органа обработчика (16/EN WP 244 rev.01), одобренные EDPB.
5 Декларатив 22 GDPR: «Любая обработка персональных данных в контексте деятельности учреждения контролера или
обработчика в Союзе должна осуществляться в соответствии с настоящим Регламентом, независимо от того, происходит
ли сама обработка в течение Союз. Создание предполагает эффективное и реальное осуществление деятельности
посредством стабильных механизмов. Юридическая форма таких образований, будь то филиал или дочерняя компания,
имеющая правосубъектность, не является определяющим фактором в этом отношении».
6 См., в частности , Google Spain SL, Google Inc. против AEPD, Марио Костеха Гонсалес (C-131/12), Weltimmo против NAIH
(C-230/14), Verein für Konsumenteninformation против Amazon EU (C-191/15) и Wirtschaftsakademie Шлезвиг-Гольштейн
(C-210/16).
7
Вельтиммо, пункт 31.
8
Вельтиммо, пункт 29.
9
Вельтиммо, пункт 31.
6
Усыновленный
Machine Translated by Google
значение закона ЕС о защите данных. Хотя понятие истеблишмента является широким, оно не без ограничений.
Невозможно сделать вывод о том, что организация, не входящая в ЕС, имеет предприятие в Союзе только потому, что
веб-сайт предприятия доступен в Союзе10 .
Пример 1. Компания по производству автомобилей со штаб-квартирой в США имеет филиал в Брюсселе, который
контролирует всю ее деятельность в Европе, включая маркетинг и рекламу.
Бельгийский филиал можно считать стабильной организацией, которая осуществляет реальную и эффективную
деятельность с учетом характера экономической деятельности, осуществляемой компанией-производителем автомобилей.
Таким образом, бельгийский филиал можно рассматривать как учреждение в Союзе в значении GDPR.
После того, как будет сделан вывод о том, что контролер или обработчик учрежден в ЕС, следует провести конкретный
анализ, чтобы определить, осуществляется ли рассматриваемая обработка в контексте деятельности этого предприятия,
чтобы определить, действует ли статья 3( 1) применяется. Если контролер или обработчик, зарегистрированный за
пределами Союза, осуществляет «реальную и эффективную деятельность — даже минимальную» — посредством
«стабильных механизмов», независимо от своей юридической формы (например, дочерняя компания, филиал,
офис…), на территории члена Можно считать, что этот контролер или обработчик имеет предприятие в этом
государстве-члене ЕС11. Поэтому важно учитывать, происходит ли обработка персональных данных «в контексте
деятельности» такого учреждения, как указано в декларативной части 22.
б) Обработка персональных данных осуществляется «в рамках деятельности»
учреждение
Статья 3(1) подтверждает, что нет необходимости, чтобы рассматриваемая обработка осуществлялась «самим»
соответствующим учреждением ЕС; контролер или обработчик будет нести обязательства в соответствии с GDPR
всякий раз, когда обработка осуществляется «в контексте деятельности» его соответствующего учреждения в Союзе.
EDPB рекомендует, чтобы определение того, осуществляется ли обработка в контексте учреждения контролера или
процессора в Союзе для целей статьи 3(1), осуществлялось в каждом конкретном случае и на основе анализ in concreto.
Каждый сценарий должен оцениваться по существу, принимая во внимание конкретные обстоятельства дела.
EDPB считает, что для целей статьи 3(1) значение «обработки в контексте деятельности учреждения контролера или
процессора» следует понимать в свете соответствующего прецедентного права. С одной стороны, для достижения
цели обеспечения эффективной и полной защиты значение фразы «в контексте деятельности учреждения» не может
толковаться ограничительно12. С другой стороны, существование предприятия по смыслу GDPR не следует
интерпретировать слишком широко, чтобы заключить, что существование любого присутствия в ЕС, даже с самыми
отдаленными связями с деятельностью по обработке данных субъекта, не входящего в ЕС, будет быть достаточным,
чтобы включить эту обработку в сферу действия закона ЕС о защите данных. Некоторая коммерческая деятельность,
осуществляемая организацией, не входящей в ЕС, на территории государства-члена, действительно может быть
настолько удалена от обработки
10
СЕС, Verein für Konsumenteninformation против Amazon EU Sarl, дело C-191/15, 28 июля 2016 г., п. 76
(далее «Verein für Konsumenteninformation»).
11 См., в частности, параграф 29 решения по делу Вельтиммо, в котором подчеркивается гибкое определение понятия «предприятие» и разъясняется, что
«степень стабильности механизмов и эффективного осуществления деятельности в этом другом государстве-члене должна интерпретироваться в с учетом
специфики экономической деятельности и предоставления соответствующих услуг».
12
Weltimmo, параграф 25 и Google Spain, параграф 53.
7
Усыновленный
Machine Translated by Google
персональных данных этого лица, что существования коммерческой деятельности в ЕС будет недостаточно для
того, чтобы обработка данных субъектом, не входящим в ЕС, подпадала под действие закона ЕС о защите данных13 .
Рассмотрение следующих двух факторов может помочь определить, выполняется ли обработка контролером или
обработчиком в контексте его учреждения в Евросоюзе.
i) Отношения между контролером или обработчиком данных за пределами Союза и его местным
представительством в Союзе.
Деятельность по обработке данных контролера или обработчика данных, зарегистрированного за
пределами ЕС, может быть неразрывно связана с деятельностью местного учреждения в государстве-члене
и, таким образом, может привести к применению законодательства ЕС, даже если это местное учреждение
фактически не принимает никаких роль в самой обработке данных14. Если анализ фактов в каждом
конкретном случае показывает, что существует неразрывная связь между обработкой персональных
данных, осуществляемой контролером или обработчиком, не являющимся членом ЕС, и деятельностью
учреждения ЕС, к такой обработке будет применяться право ЕС, -Субъект ЕС, независимо от того, играет ли
учреждение ЕС в этой обработке данных15 .
ii) Увеличение доходов в Союзе
Получение доходов в ЕС местным учреждением, в той степени, в которой такая деятельность может
рассматриваться как «неразрывно связанная» с обработкой персональных данных, происходящей за
пределами ЕС и отдельными лицами в ЕС, может указывать на обработку не - Контролер или обработчик
ЕС осуществляется «в контексте деятельности учреждения ЕС», и этого может быть достаточно, чтобы
привести к применению законодательства ЕС к такой обработке16 .
EDPB рекомендует организациям, не входящим в ЕС, провести оценку своей деятельности по обработке, во-первых,
определяя, обрабатываются ли персональные данные, а во-вторых, выявляя потенциальные связи между
деятельностью, для которой обрабатываются данные, и деятельностью любого присутствия организация в Союзе.
Если такая ссылка будет обнаружена, ее характер будет иметь ключевое значение для определения того, применим
ли GDPR к рассматриваемой обработке, и ее необходимо оценивать, среди прочего, по двум элементам,
перечисленным выше.
Пример 2. Веб-сайт электронной коммерции управляется компанией, базирующейся в Китае. Деятельность
компании по обработке персональных данных осуществляется исключительно в Китае. Китайская компания открыла
европейский офис в Берлине, чтобы руководить и осуществлять коммерческие поисковые и маркетинговые
кампании на рынках ЕС.
В этом случае можно считать, что деятельность европейского офиса в Берлине неразрывно связана с обработкой
персональных данных, осуществляемой китайским сайтом электронной коммерции, поскольку
13 Обновление G29 WP 179 – Обновление заключения 8/2010 о применимом праве в свете решения СЕС в Google
Испания, 16 декабря 2015 г.
14
СЕС, Google Испания, дело C‑131/12
15 Обновление G29 WP 179 – Обновление заключения 8/2010 о применимом праве в свете решения СЕС по делу Google,
Испания, 16 декабря 2015 г.
16 Потенциально это может иметь место, например, для любого иностранного оператора с офисом продаж или каким-либо
другим присутствием в ЕС, даже если этот офис не играет никакой роли в фактической обработке данных, в частности, если
обработка происходит в контексте торговой деятельности в ЕС и деятельность предприятия направлена на жителей
государств-членов, в которых находится предприятие (обновление WP179).
8
Усыновленный
Machine Translated by Google
Коммерческий поиск и маркетинговая кампания на рынках ЕС, в частности, способствуют повышению прибыльности
услуг, предлагаемых веб-сайтом электронной коммерции. Обработка персональных данных китайской компанией в связи
с продажами в ЕС действительно неразрывно связана с деятельностью европейского офиса в Берлине, связанной с
коммерческим поиском и маркетинговой кампанией на рынке ЕС. Таким образом, обработку персональных данных
китайской компанией в связи с продажами в ЕС можно рассматривать как осуществляемую в контексте деятельности
европейского офиса как учреждения в Союзе.
Таким образом, эта обрабатывающая деятельность китайской компании будет регулироваться положениями GDPR в
соответствии со статьей 3 (1)».
Пример 3: Сеть отелей и курортов в Южной Африке предлагает пакетные предложения через свой веб-сайт, доступный на
английском, немецком, французском и испанском языках. Компания не имеет офиса, представительства или стабильной
структуры в ЕС.
В этом случае, в отсутствие какого-либо представительства или стабильной организации сети отелей и курортов на
территории Союза, представляется, что ни одна организация, связанная с этим контроллером данных в Южной Африке,
не может квалифицироваться как учреждение в ЕС в значении GDPR. Следовательно, рассматриваемая обработка не
может подпадать под действие положений GDPR согласно статье 3(1).
Однако необходимо конкретно проанализировать , может ли обработка, осуществляемая этим контроллером данных,
находящимся за пределами ЕС, подпадать под действие GDPR в соответствии со статьей 3(2).
в) Применение GDPR к созданию контролера или процессора в
Союз, независимо от того, происходит ли обработка в Союзе или нет.
В соответствии со статьей 3(1) обработка персональных данных в контексте деятельности контролера или обработчика
данных в Евросоюзе приводит к применению GDPR и связанным с ним обязательствам соответствующего контролера или
обработчика данных.
В тексте GDPR указано, что Регламент применяется к обработке в контексте деятельности предприятия в ЕС «независимо
от того, происходит ли обработка в Союзе или нет».
Именно присутствие через учреждение контролера или процессора данных в ЕС и тот факт, что обработка происходит в
контексте деятельности этого учреждения, приводит к применению GDPR к его деятельности по обработке. Таким образом,
место обработки не имеет значения при определении того, подпадает ли обработка, осуществляемая в контексте
деятельности предприятия ЕС, под действие GDPR.
Пример 4: Французская компания разработала приложение для совместного использования автомобилей, предназначенное
исключительно для клиентов в Марокко, Алжире и Тунисе. Услуга доступна только в этих трех странах, но вся деятельность
по обработке персональных данных осуществляется контролером данных во Франции.
Хотя сбор персональных данных происходит в странах, не входящих в ЕС, последующая обработка персональных данных
в этом случае осуществляется в рамках деятельности учреждения контролера данных в Союзе. Таким образом, хотя
обработка относится к персональным данным субъектов данных, которые не находятся в Евросоюзе, положения GDPR
будут применяться к обработке, осуществляемой французской компанией, в соответствии со статьей 3(1).
Пример 5. Фармацевтическая компания со штаб-квартирой в Стокгольме разместила всю свою деятельность по обработке
персональных данных, связанную с данными клинических испытаний, в своем филиале в Сингапуре.
9
Усыновленный
Machine Translated by Google
В этом случае, хотя обработка данных осуществляется в Сингапуре, эта обработка осуществляется в контексте
деятельности фармацевтической компании в Стокгольме, т.е. контролера данных, созданного в Союзе. Таким
образом, к такой обработке применяются положения GDPR в соответствии со статьей 3(1).
При определении территориального охвата GDPR географическое положение будет иметь важное значение в
соответствии со статьей 3 (1) в отношении места учреждения:
- сам контроллер или процессор (установлен внутри Союза или за его пределами?);
- любое деловое присутствие контролера или процессора, не входящего в ЕС (есть ли у него представительство в
Союз?)
Однако географическое местоположение не имеет значения для целей статьи 3(1) в отношении места, в котором
осуществляется обработка, или в отношении местонахождения рассматриваемых субъектов данных.
Текст статьи 3(1) не ограничивает применение GDPR обработкой персональных данных физических лиц, находящихся
в Союзе. Таким образом, EDPB считает, что любая обработка персональных данных в контексте деятельности
контролера или обработчика в Союзе подпадает под действие GDPR, независимо от местонахождения или
гражданства субъекта данных, чьи персональные данные в процессе. Этот подход поддерживается Декларативной
частью 14 GDPR, в которой говорится, что «защита, обеспечиваемая настоящим Регламентом, должна
распространяться на физических лиц, независимо от их национальности или места жительства, в отношении
обработки их персональных данных».
d) Применение критерия учреждения к контролеру и обработчику
Что касается деятельности по обработке, подпадающей под действие статьи 3(1), EDPB считает, что такие положения
применяются к контролерам и процессорам, чья деятельность по обработке осуществляется в контексте
деятельности их соответствующего предприятия в ЕС. Признавая, что требования к установлению отношений между
контролером и обработчиком17 не различаются в зависимости от географического местоположения учреждения
контролера или обработчика, EDPB придерживается мнения, что, когда дело доходит до идентификации различных
обязательств, вызванных применимости GDPR согласно статье 3(1), обработка каждой организацией должна
рассматриваться отдельно.
GDPR предусматривает различные специальные положения или обязательства, применимые к контролерам и
обработчикам данных, и поэтому, если на контролера или обработчика данных распространяется действие GDPR в
соответствии со статьей 3(1), соответствующие обязательства будут применяться к ним соответственно и отдельно.
В этом контексте EDPB, в частности, считает, что обработчик в ЕС не должен рассматриваться как учреждение
контролера данных в значении статьи 3(1) просто в силу своего статуса обработчика от имени контролера.
Существование отношений между контролером и обработчиком не обязательно приводит к применению GDPR к
обоим, если одна из этих двух организаций не будет создана в Союзе.
Организация, обрабатывающая персональные данные от имени и по поручению другой организации (компанииклиента), будет действовать в качестве обработчика для компании-клиента (контролера). Если обработчик создан в
Союзе, он будет обязан соблюдать обязательства, налагаемые на
17 В соответствии со статьей 28 EDPB напоминает, что деятельность обработчика по обработке от имени контролера
регулируется контрактом или другим правовым актом в соответствии с законодательством Союза или государства-члена,
который является обязательным для обработчика в отношении контролера, и что контролеры должны использовать только
процессоров, предоставляющих достаточные гарантии для принятия соответствующих мер таким образом, чтобы обработка
соответствовала требованиям GDPR и обеспечивала защиту прав субъектов данных.
10
Усыновленный
Machine Translated by Google
процессоров согласно GDPR («Обязательства процессоров GDPR»). Если контролер, дающий инструкции обработчику, также
находится в Евросоюзе, этот контролер будет обязан соблюдать обязательства, налагаемые на контролеров GDPR
(«Обязанности контролера GDPR»). Деятельность по обработке, которая, когда она осуществляется контролером, подпадает
под действие GDPR в силу статьи 3(1), не выходит за рамки Регламента просто потому, что контролер поручает обработчику,
не зарегистрированному в Союзе, выполнить эту обработку от его имени.
i) Обработка контролером, зарегистрированным в ЕС, дающим указание обработчику, не зарегистрированному в ЕС.
Союз
Если контролер, на которого распространяется GDPR, решает использовать процессор, расположенный за пределами Союза,
для определенной деятельности по обработке, контролеру все равно будет необходимо гарантировать посредством контракта
или другого правового акта, что процессор обрабатывает данные в соответствии с GDPR. Статья 28(3) предусматривает, что
обработка лицом, осуществляющим обработку, регулируется договором или другим правовым актом. Таким образом,
контролеру необходимо будет обеспечить заключение контракта с обработчиком, удовлетворяющего всем требованиям,
изложенным в статье 28(3). Кроме того, вполне вероятно, что для обеспечения выполнения своих обязательств по статье 28(1)
будет использоваться только процессор, предоставляющий достаточные гарантии для реализации мер таким образом, чтобы
обработка соответствовала требованиям Регламента. и защищать права субъектов данных – контролеру, возможно, придется
рассмотреть возможность наложения по контракту обязательств, налагаемых GDPR на обработчиков, на которых
распространяется действие GDPR. То есть контролер должен будет гарантировать, что обработчик, на которого не
распространяется GDPR, соблюдает обязательства, регулируемые контрактом или другим правовым актом в соответствии с
законодательством Союза или государства-члена, упомянутым в статье 28 (3).
Таким образом, обработчик, расположенный за пределами Союза, косвенно станет объектом некоторых обязательств,
налагаемых контролерами, на которые распространяется действие GDPR, в силу договорных соглашений в соответствии со статьей 28.
Кроме того, могут применяться положения Главы V GDPR.
Пример 6: Финский научно-исследовательский институт проводит исследования, касающиеся народа саами. Институт запускает
проект, который касается только саамов в России. Для этого проекта институт использует процессор, базирующийся в Канаде.
Финский контролер обязан использовать только тех процессоров, которые предоставляют достаточные гарантии для принятия
соответствующих мер таким образом, чтобы обработка соответствовала требованиям GDPR и обеспечивала защиту прав
субъектов данных. Финский контролер должен заключить соглашение об обработке данных с канадским обработчиком, и
обязанности обработчика будут предусмотрены в этом правовом акте.
ii) Обработка в контексте деятельности предприятия по обработке данных в Евросоюзе
Хотя прецедентное право дает нам четкое понимание эффекта обработки, выполняемой в контексте деятельности учреждения
контролера в ЕС, эффект обработки, выполняемой в контексте деятельности учреждения ЕС, контролера процессор менее
понятен.
EDPB подчеркивает, что важно учитывать создание контролера и процессора отдельно при определении того, является ли
каждая сторона сама по себе «учрежденной в Союзе».
Первый вопрос заключается в том, имеет ли сам контролер предприятие в Евросоюзе и осуществляет ли он обработку в
контексте деятельности этого учреждения. Предполагая, что контролер не считается обрабатывающим в контексте своего
собственного предприятия в Союзе, на этот контролер не будут распространяться обязательства контролера GDPR в
соответствии со статьей 3 (1) (хотя он все равно может быть пойман статьей 3 (2) )).
Если не действуют другие факторы, предприятие переработчика в ЕС не будет считаться предприятием в отношении
контролера.
11
Усыновленный
Machine Translated by Google
Тогда возникает отдельный вопрос о том, выполняет ли процессор обработку в контексте своей
создание в Союзе. В этом случае на обработчика будут распространяться обязательства обработчика GDPR в
соответствии со статьей 3 (1). Однако это не приводит к тому, что на контролера, не входящего в ЕС, распространяются
обязательства контролера GDPR. Другими словами, контроллер «не из ЕС» (как описано выше) не будет подпадать
под действие GDPR просто потому, что он решит использовать процессор в Союзе.
Давая указание процессору в Союзе, контролер, на которого не распространяется GDPR, не выполняет обработку
«в контексте деятельности процессора в Союзе». Обработка осуществляется в контексте собственной деятельности
контролера; процессор просто предоставляет услугу обработки18
которая не «неразрывно связана» с деятельностью контролера. Как указано выше, в случае обработчика данных,
зарегистрированного в Союзе и выполняющего обработку от имени контроллера данных, созданного за пределами
Союза и не подпадающего под действие GDPR в соответствии со статьей 3(2), EDPB считает, что деятельность по
обработке контролера данных не будут считаться подпадающими под территориальную сферу действия GDPR
только потому, что они обрабатываются от его имени обработчиком, зарегистрированным в Союзе.
Однако даже если контролер данных не зарегистрирован в Евросоюзе и на него не распространяются положения
GDPR согласно статье 3(2), на обработчик данных, как он учрежден в Евросоюзе, будут распространяться
соответствующие положения. GDPR согласно статье 3(1).
Пример 7: Мексиканская розничная компания заключает договор с обработчиком данных, зарегистрированным в
Испании, на обработку персональных данных клиентов мексиканской компании. Мексиканская компания предлагает
и направляет свои услуги исключительно на мексиканский рынок, а ее обработка касается исключительно субъектов
данных, находящихся за пределами Союза.
В этом случае мексиканская розничная компания не преследует лиц на территории Союза путем предложения
товаров или услуг, а также не отслеживает поведение людей на территории Союза. Таким образом, обработка
данных контроллером, расположенным за пределами Союза, не подпадает под действие GDPR в соответствии со
статьей 3(2).
Положения GDPR не применяются к контролеру данных в соответствии со статьей 3(1), поскольку он не обрабатывает
персональные данные в контексте деятельности предприятия в Союзе. Обработчик данных находится в Испании,
и поэтому его обработка подпадает под действие GDPR в соответствии со статьей 3 (1). Обработчик будет обязан
соблюдать обязательства обработчика, налагаемые регламентом на любую обработку, осуществляемую в контексте
его деятельности.
Когда речь идет об обработчике данных, зарегистрированном в Союзе, выполняющем обработку от имени
контролера данных, не имеющего представительства в Союзе, для целей обработки и который не подпадает под
территориальную сферу действия GDPR в соответствии со статьей 3 ( 2), на обработчика будут распространяться
следующие соответствующие положения GDPR, непосредственно применимые к обработчикам данных:
- Обязательства, налагаемые на обработчиков в соответствии со статьей 28 (2), (3), (4), (5) и (6), об обязанности
заключить соглашение об обработке данных, за исключением тех, которые относятся к помощи контролера
данных при выполнении своих (контролера) собственных обязательств в соответствии с GDPR.
- Обработчик и любое лицо, действующее под руководством контролера или обработчика, имеющего доступ к
персональным данным, не должны обрабатывать эти данные, кроме как по инструкциям контролера, если
только этого не требует законодательство Союза или государства-члена, как согласно Статье 29 и Статье 32(4).
- Там, где это применимо, обработчик должен вести учет всех категорий обработки, выполняемой от имени
контролера, в соответствии со статьей 30(2).
18 Предложение услуги по обработке в этом контексте не может рассматриваться как предложение услуги
субъектам данных в Союзе.
12
Усыновленный
Machine Translated by Google
- Там, где это применимо, обработчик должен по запросу сотрудничать с надзорным органом при выполнении своих задач в
соответствии со статьей 31.
- Обработчик должен реализовать технические и организационные меры для обеспечения уровня безопасности.
соответствует риску, согласно Статье 32.
- Обработчик должен уведомить контролера без неоправданной задержки после того, как ему станет известно об утечке
персональных данных, согласно статье 33.
- Если применимо, обработчик должен назначить ответственного за защиту данных в соответствии со статьями 37 и 38.
- Положения о передаче персональных данных третьим странам или международным организациям, как
согласно Главе V.
Кроме того, поскольку такая обработка будет осуществляться в контексте деятельности обработчика в Союзе, EDPB напоминает,
что обработчик должен будет обеспечить, чтобы его обработка оставалась законной в отношении других обязательств в
соответствии с законодательством ЕС или национальным законодательством. . Статья 28(3) также определяет, что «обработчик
должен немедленно информировать контролера, если, по его мнению, инструкция нарушает настоящий Регламент или другие
положения Союза или государства-члена о защите данных».
В соответствии с позицией, занятой ранее Рабочей группой по статье 29, EDPB придерживается мнения, что территория Союза
не может использоваться в качестве «убежища данных», например, когда деятельность по обработке влечет за собой
недопустимые этические проблемы19, и что определенные юридические обязательства, выходящие за рамки применение
законодательства ЕС о защите данных, в частности европейских и национальных правил в отношении общественного
порядка, в любом случае должно соблюдаться любым обработчиком данных, зарегистрированным в Союзе, независимо от
местонахождения контролера данных. Это соображение также учитывает тот факт, что при реализации законодательства ЕС
положения, вытекающие из GDPR и связанных с ним национальных законов, подпадают под действие Хартии основных прав
Союза20. Однако это не накладывает дополнительных обязательств на контролеров за пределами Союза в отношении
обработки, не подпадающей под территориальную сферу действия GDPR.
2 ПРИМЕНЕНИЕ КРИТЕРИЯ НАПРАВЛЕНИЯ – СТАТЬЯ 3(2)
Отсутствие предприятия в Евросоюзе не обязательно означает, что деятельность по обработке данных контролером или
обработчиком данных, зарегистрированным в третьей стране, будет исключена из сферы действия GDPR, поскольку статья
3(2) определяет обстоятельства, при которых GDPR применяется к контролеру или обработчику, не зарегистрированному в
Союзе, в зависимости от его деятельности по обработке.
В этом контексте EDPB подтверждает, что в отсутствие предприятия в Союзе контролер или процессор не может
воспользоваться механизмом единого окна, предусмотренным в статье 56 GDPR.
Действительно, механизм сотрудничества и согласованности GDPR применяется только к контролерам и процессорам,
имеющим предприятие или предприятия в Европейском Союзе21 .
Хотя настоящие руководящие принципы направлены на разъяснение территориальной сферы действия GDPR, EDPB также
хочет подчеркнуть, что контролерам и обработчикам также необходимо будет принимать во внимание другие применимые
тексты, такие как, например, отраслевое законодательство ЕС или государств-членов и национальные законы. Некоторые
положения GDPR действительно позволяют государствам-членам ЕС вводить дополнительные условия и определять
конкретную систему защиты данных на национальном уровне в определенных областях или в отношении конкретных ситуаций обработки.
19 G29 WP169 – Мнение 1/2010 о понятиях «контроллер» и «процессор», принятое 16 февраля 2010 г.
и находится на пересмотре EDPB.
20 Хартия Европейского Союза об основных правах, 2012/C 326/02.
21 G29 WP244 ред. 1, 13 декабря 2016 г., Рекомендации по определению ведущего надзорного органа контролера
или процессора – одобрено EDPB.
13
Усыновленный
Machine Translated by Google
Поэтому контролеры и обработчики должны убедиться, что они осведомлены и соблюдают эти дополнительные условия и
рамки, которые могут варьироваться от одного государства-члена к другому. Такие различия в положениях о защите данных,
применимых в каждом государстве-члене ЕС, особенно заметны в отношении положений статьи 8 (при условии, что возраст,
в котором дети могут дать действительное согласие в отношении обработки их данных службами информационного общества,
может варьироваться от 13 и 16), статьи 9 (в отношении обработки особых категорий данных), статьи 23 (ограничения) или
положений, содержащихся в главе IX GDPR (свобода выражения мнений и информации; публичный доступ к официальным
документам; национальный идентификационный номер; контекст занятости; обработка в целях архивирования в
общественных интересах, в целях научных или исторических исследований или статистических целях; секретность; церкви и
религиозные объединения).
Статья 3(2) GDPR предусматривает, что «настоящий Регламент применяется к обработке персональных данных субъектов
данных, находящихся в Союзе, контролером или обработчиком, не зарегистрированным в Союзе, если деятельность по
обработке связана с: (a) предложение товаров или услуг, независимо от того, требуется ли оплата от субъекта данных, таким
субъектам данных в Союзе; или (b) мониторинг их поведения, поскольку их поведение происходит в пределах Союза».
Применение «критерия таргетирования» к субъектам данных, которые находятся в Союзе, в соответствии со статьей 3(2),
может быть инициировано действиями по обработке, осуществляемыми контролером или обработчиком, не
зарегистрированным в Союзе, которые относятся к двум различным и альтернативным виды деятельности при условии, что
эта деятельность по обработке относится к субъектам данных, которые находятся в Союзе. Помимо того, что этот критерий
применим только к обработке, осуществляемой контролером или обработчиком, не установленным в Союзе, целевой
критерий в значительной степени фокусируется на том, что такое «деятельность по обработке» «связаны с», что следует
рассматривать в каждом конкретном случае.
EDPB подчеркивает, что контролер или процессор может подпадать под действие GDPR в отношении некоторых видов своей
деятельности по обработке, но не подпадать под действие GDPR в отношении другой деятельности по обработке.
Определяющим элементом территориального применения GDPR согласно статье 3(2) является рассмотрение рассматриваемой
деятельности по обработке.
Поэтому при оценке условий применения критерия таргетинга EDPB рекомендует использовать двойной подход, чтобы
определить, во-первых, относится ли обработка к персональным данным субъектов данных, находящихся в Союзе, и, вовторых, относится ли обработка к предложению товаров или услуг или для мониторинга поведения субъектов данных в Союзе.
а) Субъекты данных в Союзе
Формулировка статьи 3(2) относится к «персональным данным субъектов данных, находящихся в Союзе». Таким образом,
применение критерия таргетинга не ограничивается гражданством, местом жительства или другим типом правового статуса
субъекта данных, чьи персональные данные обрабатываются. Декларативная часть 14 подтверждает эту интерпретацию и
гласит, что «защита, обеспечиваемая настоящим Регламентом, должна распространяться на физических лиц, независимо от
их гражданства или места жительства, в отношении обработки их персональных данных».
Это положение GDPR отражает основной закон ЕС, который также устанавливает широкую сферу защиты персональных
данных, не ограничиваясь гражданами ЕС, при этом статья 8 Хартии основных прав предусматривает, что право на защиту
персональных данных не ограничивается гражданами ЕС. ограничено, но предназначено для «всех»22 .
22 Хартия основных прав Европейского Союза, статья 8(1), «Каждый имеет право на защиту
касающихся его персональных данных».
14
Усыновленный
Machine Translated by Google
Хотя местонахождение субъекта данных на территории Союза является определяющим фактором для применения критерия
таргетинга в соответствии со статьей 3(2), EDPB считает, что гражданство или правовой статус субъекта данных, находящегося в
Союзе не может ограничивать или ограничивать территориальную сферу применения Положения.
Требование о том, чтобы субъект данных находился в Евросоюзе, должно оцениваться в момент, когда имеет место соответствующая
триггерная деятельность, т.е. в момент предложения товаров или услуг или в момент, когда поведение отслеживается, независимо
от продолжительности сделанное предложение или проведенный мониторинг.
Однако EDPB считает, что в отношении деятельности по обработке данных, связанной с предложением услуг, это положение
направлено на деятельность, которая намеренно, а не непреднамеренно или случайно, нацелена на физических лиц в ЕС.
Следовательно, если обработка относится к услуге, которая предлагается только физическим лицам за пределами ЕС, но услуга не
отменяется при въезде таких лиц в ЕС, соответствующая обработка не будет подпадать под действие GDPR. В этом случае обработка
не связана с преднамеренным преследованием лиц в ЕС, а относится к преследованию лиц за пределами ЕС, которое будет
продолжаться независимо от того, останутся ли они за пределами ЕС или посетят ли они Союз.
Пример 8. Австралийская компания предлагает услуги мобильных новостей и видеоконтента, основанные на предпочтениях и
интересах пользователей. Пользователи могут получать ежедневные или еженедельные обновления. Услуга предлагается
исключительно пользователям, расположенным в Австралии, которые при подписке должны указать австралийский номер телефона.
Австралийский подписчик услуги едет в отпуск в Германию и продолжает пользоваться услугой.
Хотя австралийский подписчик будет использовать эту услугу, находясь в ЕС, услуга не «предназначена» для физических лиц в
Союзе, а предназначена только для физических лиц в Австралии, поэтому обработка персональных данных австралийской
компанией не подпадает под сферу действия. GDPR.
Пример 9: Стартап, основанный в США, без какого-либо делового присутствия или представительства в ЕС, предоставляет туристам
приложение для картографирования городов. Приложение обрабатывает персональные данные, касающиеся местонахождения
клиентов, использующих приложение (субъектов данных), когда они начинают использовать приложение в городе, который они
посещают, чтобы предложить целевую рекламу мест для посещения, ресторанов, баров и отелей. Приложение доступно туристам
во время посещения Нью-Йорка, Сан-Франциско, Торонто, Парижа и Рима.
Американский стартап с помощью своего приложения для картографирования городов специально нацелен на людей в Евросоюзе
(а именно в Париже и Риме), предлагая им свои услуги, когда они находятся в Евросоюзе. Обработка персональных данных
субъектов данных, находящихся в ЕС, в связи с предложением услуги подпадает под действие GDPR согласно статье 3(2)a. Кроме
того, обрабатывая данные субъекта данных
данные о местоположении, чтобы предлагать целевую рекламу на основе их местоположения, обработка также относится к
мониторингу поведения отдельных лиц в Союзе. Таким образом, обработка стартапов в США также подпадает под действие GDPR
в соответствии со статьей 3(2)b.
EDPB также желает подчеркнуть, что факт обработки персональных данных физического лица в Евросоюзе сам по себе не является
достаточным для того, чтобы инициировать применение GDPR к деятельности по обработке контролера или процессора, не
зарегистрированного в Евросоюзе. Кроме того, всегда должен присутствовать элемент «нацеливания» на отдельных лиц в ЕС,
либо путем предложения им товаров или услуг, либо путем наблюдения за их поведением (как поясняется ниже).
15
Усыновленный
Machine Translated by Google
Пример 10: Гражданин США путешествует по Европе во время отпуска. Находясь в Европе, он загружает и использует
новостное приложение, предлагаемое американской компанией. Приложение предназначено исключительно для рынка
США, о чем свидетельствуют условия использования приложения и указание доллара США в качестве единственной валюты.
доступен для оплаты. Сбор личных данных туристов из США через приложение американской компанией не подпадает
под действие GDPR.
Кроме того, следует отметить, что обработка персональных данных граждан или резидентов ЕС, происходящая в третьей
стране, не приводит к применению GDPR, если обработка не связана с конкретным предложением, адресованным
физическим лицам в ЕС или на мониторинг их поведения в
Союз.
Пример 11. У банка на Тайване есть клиенты, которые проживают на Тайване, но имеют гражданство Германии.
Банк активен только на Тайване; ее деятельность не направлена на рынок ЕС. Обработка банком персональных данных
своих немецких клиентов не подпадает под действие GDPR.
Пример 12: Иммиграционная служба Канады обрабатывает персональные данные граждан ЕС при въезде на территорию
Канады с целью рассмотрения их заявлений на получение визы. Эта обработка не подпадает под действие GDPR.
б) Предложение товаров или услуг, независимо от того, требуется ли оплата от
субъекта данных, субъектам данных в Союзе.
Первым видом деятельности, приводящим к применению статьи 3(2), является «предложение товаров или услуг»,
концепция, которая получила дальнейшее развитие в законодательстве ЕС и прецедентном праве и которую следует
принимать во внимание при применении критерия адресности. Предложение услуг также включает предложение услуг
информационного общества, определенных в пункте (b) статьи 1(1) Директивы (ЕС) 2015/153523 как «любая услуга
информационного общества, то есть любая услуга, обычно предоставляемая для вознаграждение, на расстоянии,
электронными средствами и по индивидуальному запросу получателя услуг».
В статье 3(2)(a) указано, что критерий адресности, касающийся предложения товаров или услуг, применяется независимо
от того, требуется ли оплата от субъекта данных. Поэтому вопрос о том, следует ли рассматривать деятельность
контролера или обработчика, не зарегистрированного в Евросоюзе, как предложение товара или услуги, не зависит от
того, производится ли оплата в обмен на предоставленные товары или услуги24 .
Пример 13: Американская компания, не имеющая представительства в ЕС, обрабатывает персональные данные своих
сотрудников, которые находились во временной командировке во Франции, Бельгии и Нидерландах, в целях управления
персоналом, в частности, для возмещения расходов на их проживание. и выплата им суточных, размер которых
варьируется в зависимости от страны, в которой они находятся.
В этой ситуации, хотя деятельность по обработке конкретно связана с лицами, находящимися на территории Союза (т.е.
с сотрудниками, временно находящимися во Франции, Бельгии и Нидерландах), она не относится к предложению услуги
этим лицам, а, скорее, является часть обработки, необходимой работодателю для выполнения своих договорных
обязательств и обязанностей по управлению персоналом, связанных с личным
23 Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 г., устанавливающая порядок предоставления
информации в области технических регламентов и правил об услугах информационного общества.
24
См., в частности, CJEU, C-352/85, Bond van Adverteerders and Others против Государства Нидерланды, 26 апреля.
1988, пар. 16) и СЕС, C-109/92, Wirth [1993] Racc. I-6447, пар. 15.
16
Усыновленный
Machine Translated by Google
работа. Обработка не связана с предложением услуг и, следовательно, не подпадает под действие GDPR в соответствии со статьей 3(2)a.
Еще одним ключевым элементом, который необходимо оценить при определении того, может ли быть выполнен целевой критерий статьи
3(2)(a), является то, направлено ли предложение товаров или услуг на лицо в Союзе, или, другими словами, является ли поведение по часть
контролера, которая определяет средства и цели обработки, демонстрирует свое намерение предложить товары или услуги субъекту
данных, находящемуся в Союзе. В декларативной части 23 GDPR действительно разъясняется, что «чтобы определить, является ли такой
контролер или
процессор предлагает товары или услуги субъектам данных, которые находятся в Союзе, следует выяснить, очевидно ли, что контролер
или процессор планирует предлагать услуги субъектам данных в одном или нескольких государствах-членах Союза».
В декларативной части далее уточняется, что «принимая во внимание, что простая доступность веб-сайта контролера, обработчика или
посредника в Союзе, адреса электронной почты или других контактных данных или использование языка, обычно используемого в третьей
стране, где находится контролер, недостаточно для установления такого намерения, таких факторов, как использование языка или валюты,
обычно используемых в одном или нескольких государствах-членах ЕС, с возможностью заказа товаров и услуг на этом другом языке, или
упоминание клиентов или пользователей, которые находятся в Союза, может дать понять, что контролер планирует предлагать товары
или услуги субъектам данных в Союзе».
Элементы, перечисленные в декларативной части 23, перекликаются и соответствуют прецедентному праву СЕС, основанному на
Регламенте Совета 44/200125 о юрисдикции, признании и исполнении судебных решений по гражданским и коммерческим делам, и в
частности на его статье 15(1)(c). . В деле «Паммер против Ридерай Карл Шлютер ГмбХ и Ко» и «Отель Альпенхоф против Хеллера»
(объединенные дела C-585/08 и C-144/09) Суд попросили разъяснить, что означает «направлять деятельность» по смыслу статьи 15. (1)(c)
Регламента 44/2001 (Брюссель I). СЕС постановил, что для определения того, можно ли считать, что торговец «направляет» свою
деятельность в государство-член ЕС, где проживает потребитель, в значении статьи 15(1)(c) Брюссельского соглашения I, торговец должен
заявили о своем намерении установить коммерческие отношения с такими потребителями. В этом контексте СЕС рассмотрел
доказательства, способные продемонстрировать, что торговец планировал вести бизнес с потребителями, проживающими в государствечлене ЕС.
Хотя понятие «руководство деятельностью» отличается от «предложения товаров или услуг», EDPB рассматривает это прецедентное
право в деле Паммер против Reederei Karl Schlüter GmbH & Co и Отель Альпенхоф против Хеллера (объединенные дела C-585/08 и
C-144/09)26 может оказаться полезным при рассмотрении вопроса о том, предлагаются ли товары или услуги субъекту данных в Союзе.
Таким образом, принимая во внимание конкретные обстоятельства дела, можно, среди прочего, принять во внимание следующие факторы,
возможно, в сочетании друг с другом:
- ЕС или хотя бы одно государство-член обозначается по названию со ссылкой на товар или услугу.
предложенный;
- Контроллер или процессор данных платит оператору поисковой системы за услуги интернет-ссылки, чтобы облегчить доступ к его сайту
потребителям в Союзе; или контролер или процессор запустил маркетинговые и рекламные кампании, направленные на аудиторию
страны ЕС.
- Международный характер рассматриваемой деятельности, например, определенная туристическая деятельность;
25 Регламент Совета (ЕС) № 44/2001 от 22 декабря 2000 г. о юрисдикции, признании и исполнении
судебных решений по гражданским и коммерческим делам.
26 Тем более актуально, что в соответствии со статьей 6 Регламента (ЕС) № 593/2008 Европейского Парламента и
Совета от 17 июня 2008 г. о праве, применимом к договорным обязательствам (Рим I), при отсутствии выбора
права, этот критерий «направленности деятельности» в страну обычного проживания потребителя учитывается
для обозначения права обычного места жительства потребителя как права, применимого к договору.
17
Усыновленный
Machine Translated by Google
- Упоминание выделенных адресов или номеров телефонов, с которыми можно связаться из страны ЕС; Использование доменного имени верхнего уровня, отличного от имени третьей страны, в которой находится
контролер или процессор, например «.de», или использование нейтральных доменных имен верхнего уровня,
таких как «.eu»;
- Описание инструкций по проезду из одного или нескольких других государств-членов ЕС до места предоставления
услуги;
- Упоминание международной клиентуры, состоящей из клиентов, проживающих в различных странах-членах ЕС.
Государства, в частности, путем предоставления счетов, написанных такими клиентами;
- Использование языка или валюты, отличной от того, которая обычно используется в стране трейдера,
особенно язык или валюта одного или нескольких государств-членов ЕС;
- Контроллер данных предлагает доставку товаров в государства-члены ЕС.
Как уже упоминалось, некоторые из перечисленных выше элементов, взятые по отдельности, не могут представлять
собой четкое указание на намерение контролера данных предлагать товары или услуги субъектам данных в Союзе,
однако каждый из них должен быть принят во внимание в любой конкретный анализ с целью определить, можно ли
рассматривать совокупность факторов, относящихся к коммерческой деятельности контролера данных, как
предложение товаров или услуг, адресованных субъектам данных в Союзе.
Однако важно напомнить, что Декларативная часть 23 подтверждает, что простая доступность веб-сайта контролера,
обработчика или посредника в Союзе, упоминание на веб-сайте его электронной почты или географического адреса
или его номера телефона без международного кода , сам по себе не предоставляет достаточных доказательств, чтобы
продемонстрировать намерение контролера или обработчика предложить товары или услуги субъекту данных,
находящемуся в Союзе. В этом контексте EDPB напоминает, что когда товары или услуги непреднамеренно или
случайно предоставляются лицу на территории Союза, соответствующая обработка персональных данных не
подпадает под территориальную сферу действия GDPR.
Пример 14: Веб-сайт, расположенный и управляемый в Турции, предлагает услуги по созданию, редактированию,
печати и доставке персонализированных семейных фотоальбомов. Веб-сайт доступен на английском, французском,
голландском и немецком языках, а платежи можно производить в евро. На сайте указано, что во Францию, страны
Бенилюкса и Германию фотоальбомы можно доставлять только по почте.
В этом случае ясно, что создание, редактирование и печать персонализированных семейных фотоальбомов
представляют собой услугу по смыслу законодательства ЕС. Тот факт, что веб-сайт доступен на четырех языках ЕС и
что фотоальбомы могут быть доставлены по почте в шесть государств-членов ЕС, свидетельствует о намерении со
стороны турецкого веб-сайта предлагать свои услуги частным лицам в Союзе.
Как следствие, ясно, что обработка, осуществляемая турецким веб-сайтом в качестве контролера данных, относится к
предложению услуг субъектам данных в Союзе и, следовательно, подпадает под обязательства и положения GDPR,
согласно его статью 3(2)(а).
В соответствии со статьей 27 контролер данных должен будет назначить представителя в Евросоюзе.
Пример 15: Частная компания, базирующаяся в Монако, обрабатывает персональные данные своих сотрудников в
целях выплаты заработной платы. Большое количество сотрудников компании – французы и итальянцы.
жители.
В этом случае, хотя обработка, осуществляемая компанией, относится к субъектам данных во Франции и Италии, она
не происходит в контексте предложения товаров или услуг. Действительно, управление человеческими ресурсами,
включая выплату заработной платы компанией третьей страны, не может рассматриваться как предложение услуг по
смыслу статьи 3(2)a. Обработка, о которой идет речь, не относится к предложению товаров.
18
Усыновленный
Machine Translated by Google
или услуг субъектам данных в Союзе (а также для мониторинга поведения) и, как следствие, не подпадает под действие
положений GDPR в соответствии со статьей 3.
Эта оценка не наносит ущерба применимому законодательству соответствующей третьей страны.
Пример 16: Швейцарский университет в Цюрихе запускает процесс отбора степени магистра, предоставляя онлайн-платформу,
где кандидаты могут загрузить свое резюме и сопроводительное письмо, а также свои контактные данные. Процесс отбора
открыт для любого студента, владеющего немецким и английским языками на достаточном уровне и имеющего степень
бакалавра. Университет не размещает специальную рекламу среди студентов университетов ЕС и принимает оплату только
в швейцарской валюте.
Поскольку в процессе подачи заявок и отбора на эту степень магистра не существует каких-либо различий или требований
для студентов из Союза, невозможно установить, что Швейцарский университет намерен ориентироваться на студентов из
конкретных стран-членов ЕС. Достаточный уровень немецкого и английского языков является общим требованием, которое
применяется к любому заявителю, будь то резидент Швейцарии, гражданин Союза или студент из третьей страны. Таким
образом, без других факторов, указывающих на конкретную ориентацию студентов в государствах-членах ЕС, невозможно
установить, что рассматриваемая обработка относится к предложению образовательных услуг субъекту данных в Союзе, и,
следовательно, такая обработка не будет подпадать под действие Положения GDPR.
Швейцарский университет также предлагает летние курсы по международным отношениям и специально рекламирует
это предложение в университетах Германии и Австрии с целью максимизации посещаемости курсов. В этом
В этом случае существует явное намерение Швейцарского университета предложить такую услугу субъектам данных,
находящимся в Союзе, и к соответствующей деятельности по обработке будет применяться GDPR.
в) Мониторинг поведения субъектов данных
Вторым видом деятельности, приводящим к применению статьи 3(2), является мониторинг поведения субъектов данных,
поскольку их поведение происходит в пределах Союза.
В декларативной части 24 поясняется, что «обработка персональных данных субъектов данных, находящихся в Союзе,
контролером или обработчиком, не зарегистрированным в Союзе, также должна подпадать под действие настоящего
Регламента, когда она связана с мониторингом поведения таких лиц. субъекты данных, поскольку их поведение происходит
в пределах Союза».
Чтобы статья 3(2)(b) инициировала применение GDPR, отслеживаемое поведение должно в первую очередь относиться к
субъекту данных в Союзе, и, как совокупный критерий, отслеживаемое поведение должно иметь место на территории Союза.
Характер деятельности по обработке, которую можно рассматривать как поведенческий мониторинг, дополнительно
уточняется в Декларативной части 24, в которой говорится, что «чтобы определить, можно ли рассматривать деятельность
по обработке как мониторинг поведения субъектов данных, необходимо выяснить, являются ли физические лица
отслеживаются в Интернете, включая потенциальное последующее использование методов обработки персональных
данных, которые заключаются в профилировании физического лица, в частности, для принятия решений относительно него
или для анализа или прогнозирования его или его личных предпочтений, поведения и отношений». Хотя Декларация 24
относится исключительно к мониторингу поведения посредством отслеживания человека в Интернете, EDPB считает, что
отслеживание через другие типы сетей или технологий, включающих обработку персональных данных, также должно
приниматься во внимание при определении того, составляет ли деятельность по обработке для поведенческого мониторинга,
например, с помощью носимых и других интеллектуальных устройств.
19
Усыновленный
Machine Translated by Google
В отличие от положения статьи 3(2)(a), ни статья 3(2)(b), ни декларативная часть 24 прямо не предусматривают необходимую степень
«намерения преследовать» со стороны контролера или обработчика данных, чтобы определить, является ли деятельность по
мониторингу приведет к применению GDPR к деятельности по обработке.
Однако использование слова «мониторинг» подразумевает, что контролер преследует конкретную цель — сбор и последующее
повторное использование соответствующих данных о поведении человека на территории ЕС. EDPB не считает, что любой онлайн-сбор
или анализ личных данных физических лиц в ЕС автоматически будет считаться «мониторингом». Необходимо будет учитывать цель
обработки данных контролером и, в частности, любой последующий поведенческий анализ или методы профилирования, включающие
эти данные. EDPB принимает во внимание формулировку декларативной части 24, которая указывает, что для определения того,
включает ли обработка мониторинг поведения субъекта данных, отслеживание физических лиц в Интернете, включая потенциальное
последующее использование методов профилирования, является ключевым фактором.
Таким образом, применение статьи 3(2)(b), когда контролер или процессор данных отслеживает поведение субъектов данных,
находящихся в Союзе, может охватывать широкий спектр мероприятий по мониторингу, включая, в частности:
- Поведенческая реклама
- Деятельность по геолокализации, в частности в маркетинговых целях
- Онлайн-отслеживание с использованием файлов cookie или других методов отслеживания, таких как снятие отпечатков пальцев.
- Персонализированные онлайн-услуги по анализу диеты и здоровья.
- КАБЕЛЬНОЕ ТЕЛЕВИДЕНИЕ
- Обзоры рынка и другие поведенческие исследования на основе индивидуальных профилей
- Мониторинг или регулярная отчетность о состоянии здоровья человека
Пример 17. Консультационная компания в сфере розничной торговли, основанная в США, предоставляет консультации по планировке
торговых точек торговому центру во Франции на основе анализа перемещений покупателей по торговому центру, собранного с
помощью отслеживания Wi-Fi.
Анализ перемещений клиентов внутри центра посредством отслеживания Wi-Fi будет приравниваться к мониторингу поведения
отдельных лиц. В этом случае поведение субъектов данных происходит в Евросоюзе, поскольку торговый центр расположен во
Франции. Таким образом, на консалтинговую компанию, как на контролера данных, распространяется действие GDPR в отношении
обработки этих данных для этой цели в соответствии со статьей 3(2)(b).
В соответствии со статьей 27 контролер данных должен будет назначить представителя в Евросоюзе.
Пример 18: Разработчик приложения, зарегистрированный в Канаде и не имеющий представительства в Евросоюзе, отслеживает
поведение субъекта данных в Евросоюзе и, следовательно, на него распространяется GDPR в соответствии со статьей 3(2)b. Разработчик
использует процессор, созданный в США, для оптимизации и обслуживания приложения.
В отношении этой обработки канадский контролер обязан использовать только соответствующих обработчиков и обеспечивать, чтобы
его обязательства по GDPR были отражены в контракте или правовом акте, регулирующем отношения с его обработчиком в США, в
соответствии со статьей 28.
г) Процессор не установлен в Союзе
Действия по обработке, которые «связаны» с целевой деятельностью, повлекшей за собой применение статьи 3(2), подпадают под
территориальную сферу действия GDPR. EDPB считает, что необходимо
20
Усыновленный
Machine Translated by Google
связь между деятельностью по обработке и предложением товара или услуги, но обработка как контролером, так и
обработчиком имеет значение и должна быть принята во внимание.
Когда речь идет об обработчике данных, не зарегистрированном в Союзе, чтобы определить, может ли его обработка
подпадать под действие GDPR в соответствии со статьей 3 (2), необходимо посмотреть, связаны ли действия обработчика
данных с » к целенаправленной деятельности контролера.
EDPB считает, что если деятельность контролера по обработке связана с предложением товаров или услуг или с
мониторингом поведения отдельных лиц в Союзе («таргетинг»), любой обработчик, которому поручено выполнять
такую деятельность по обработке от имени контролера будет подпадать под действие GDPR в соответствии со статьей 3
(2) в отношении такой обработки.
«Нацеленный» характер обработки связан с ее целями и средствами; Решение о нападении на отдельных лиц в Союзе
может быть принято только организацией, действующей в качестве контролера. Такая интерпретация не исключает
возможности того, что обработчик может активно принимать участие в деятельности по обработке, связанной с
выполнением критериев таргетинга (т. е. обработчик предлагает товары или услуги или выполняет действия по
мониторингу от имени и по указанию контролера). .
Таким образом, EDPB считает, что основное внимание следует уделить связи между действиями по обработке,
выполняемыми обработчиком, и целевыми действиями, предпринимаемыми контролером данных.
Пример 19: Бразильская компания продает пищевые ингредиенты и местные рецепты через Интернет, делая это
предложение товаров доступным для лиц в Союзе, рекламируя эти продукты и предлагая доставку во Франции, Испании
и Португалии. В этом контексте компания поручает обработчику данных, также расположенному в Бразилии, разработать
специальные предложения для клиентов во Франции, Испании и Португалии на основе их предыдущих заказов и
выполнить соответствующую обработку данных.
Действия по обработке, выполняемые обработчиком по указанию контролера данных, связаны с предложением товаров
субъекту данных в Союзе. Кроме того, разрабатывая эти индивидуальные предложения, обработчик данных напрямую
контролирует субъектов данных в ЕС. Таким образом, обработка обработчиком подпадает под действие GDPR в
соответствии со статьей 3(2).
Пример 20. Американская компания разработала приложение для здоровья и образа жизни, позволяющее
пользователям записывать в американской компании свои личные показатели (время сна, вес, артериальное давление,
сердцебиение и т. д.). Затем приложение предоставляет пользователям ежедневные советы по питанию и
спортивным рекомендациям. Обработка осуществляется контролером данных в США. Приложение доступно и
используется отдельными лицами в Союзе. Для хранения данных американская компания использует процессор,
установленный в США (поставщик облачных услуг).
В той степени, в которой американская компания отслеживает поведение людей в ЕС, при использовании приложения
для здоровья и образа жизни она будет «нацеливаться» на людей в ЕС, а обработка ею персональных данных
людей в ЕС будет подпадать под действие закона. сфера действия GDPR согласно статье 3(2).
Выполняя обработку по инструкциям и от имени американской компании, облачный провайдер/обработчик
выполняет обработку, «связанную» с нацеливанием его контролера на физических лиц в ЕС. Эта обработка данных,
осуществляемая обработчиком от имени своего контролера, подпадает под действие GDPR в соответствии со статьей
3(2).
Пример 21: Турецкая компания предлагает культурные туры на Ближний Восток с гидами, говорящими на английском,
французском и испанском языках. Пакетные туры рекламируются и предлагаются через веб-сайт, доступный на трех
языках, позволяющий онлайн-бронирование и оплату в евро и фунтах стерлингов.
В целях маркетинга и коммерческого поиска компания поручает обработчику данных позвонить
21
Усыновленный
Machine Translated by Google
центр, созданный в Тунисе для связи с бывшими клиентами в Ирландии, Франции, Бельгии и Испании, чтобы получить
отзывы об их предыдущих путешествиях и сообщить им о новых предложениях и направлениях.
Контролер «нацеливается», предлагая свои услуги физическим лицам в ЕС, и его обработка подпадает под действие статьи
3 (2).
Обрабатывающая деятельность тунисского процессора, которая продвигает услуги контролеров физическим лицам в ЕС,
также связана с предложением услуг контролером и, следовательно, подпадает под действие статьи 3(2). Кроме того, в этом
конкретном случае тунисский обработчик активно принимает участие в деятельности по обработке, связанной с
выполнением критериев отбора, предлагая услуги от имени и по указанию турецкого контролера.
д) Взаимодействие с другими положениями GDPR и другими законами.
EDPB также дополнительно оценит взаимодействие между применением территориального охвата GDPR согласно статье 3
и положениями о международной передаче данных согласно главе V. В этом отношении могут быть выпущены
дополнительные рекомендации, если это будет необходимо.
Контроллеры или обработчики, не зарегистрированные в ЕС, будут обязаны соблюдать национальные законы своих третьих
стран в отношении обработки персональных данных. Однако, если такая обработка касается физических лиц в Евросоюзе в
соответствии со статьей 3(2), контролер, помимо соблюдения национального законодательства своей страны, будет обязан
соблюдать GDPR. Это будет иметь место независимо от того, осуществляется ли обработка в соответствии с юридическим
обязательством в третьей стране или просто по выбору контролера.
3 ОБРАБОТКА В МЕСТАХ, ГДЕ ПРИМЕНЯЕТСЯ ЗАКОН ГОСУДАРСТВА-УЧАСТНИКА
ДОСТОИННОСТЬ МЕЖДУНАРОДНОГО ПУБЛИЧНОГО ПРАВА
Статья 3(3) предусматривает, что «[это] Регламент применяется к обработке персональных данных контролером, не
учрежденным в Союзе, но в месте, где право государства-члена применяется в силу международного публичного права».
Это положение расширено в декларативной части 25, в которой говорится, что «[где] законодательство государства-члена
ЕС применяется в силу международного публичного права, настоящий Регламент также должен применяться к контролеру,
не учрежденному в Союзе, например, в дипломатическом представительстве государства-члена или консульское учреждение».
Таким образом, EDPB считает, что GDPR применяется к обработке персональных данных, осуществляемой посольствами и
консульствами государств-членов ЕС, расположенными за пределами ЕС, поскольку такая обработка подпадает под действие
GDPR в силу статьи 3(3). или консульское учреждение, в качестве контролера или обработчика данных, будут тогда
подчиняться всем соответствующим положениям GDPR, в том числе, когда речь идет о правах субъекта данных, общих
обязательствах, связанных с контролером и обработчиком, а также передачей персональных данных третьи страны или
международные организации.
Пример 22: Консульство Нидерландов в Кингстоне, Ямайка, открывает онлайн-заявку на набор местного персонала для
поддержки своей администрации.
Хотя консульство Нидерландов в Кингстоне, Ямайка, не учреждено в Евросоюзе, тот факт, что это консульское учреждение
страны ЕС, к которой применяется право государства-члена в силу международного публичного права, делает GDPR
применимым к обработке персональных данных. согласно статье 3(3).
22
Усыновленный
Machine Translated by Google
Пример 23: Немецкий круизный лайнер, путешествующий в международных водах, обрабатывает данные гостей на борту с
целью адаптации предложения развлечений во время круиза.
Хотя судно находится за пределами Союза, в международных водах, тот факт, что это круизное судно зарегистрировано в
Германии, означает, что в соответствии с международным публичным правом GDPR должен применяться к обработке им
персональных данных в соответствии со статьей 3 (3). .
Хотя это и не связано с применением статьи 3(3), другой ситуацией является ситуация, когда в силу международного права
определенные субъекты, органы или организации, созданные в Союзе, пользуются привилегиями и иммунитетами, такими как
те, которые изложены в Венском договоре. Конвенция о дипломатических сношениях 196127 года, Венская конвенция о
консульских сношениях 1963 года или соглашения о штаб-квартирах, заключенные между международными организациями и
странами их пребывания в Союзе. В связи с этим EDPB напоминает, что применение GDPR не наносит ущерба положениям
международного права, например, тем, которые регулируют привилегии и иммунитеты дипломатических миссий и консульских
учреждений, не входящих в ЕС, а также международных организаций. В то же время важно помнить, что любой контролер или
обработчик, на который распространяется действие GDPR в отношении определенной деятельности по обработке и который
обменивается персональными данными с такими субъектами, органами и организациями, должен соблюдать GDPR, в том числе
там, где это применимо. его правила о переводах в третьи страны или международные организации.
4 ПРЕДСТАВИТЕЛЬ КОНТРОЛЛЕРОВ ИЛИ ПРОЦЕССОРОВ НЕ
СОЗДАНО В СОЮЗЕ
Контроллеры или обработчики данных, на которых распространяется GDPR в соответствии со статьей 3(2), обязаны назначить
представителя в Союзе. Таким образом, контролер или обработчик, не зарегистрированный в Союзе, но на которого
распространяется действие GDPR, не назначит представителя в Союзе, что будет являться нарушением Регламента.
Это положение не является совершенно новым, поскольку Директива 95/46/EC уже предусматривала аналогичное обязательство.
В соответствии с Директивой, это положение касалось контролеров, не зарегистрированных на территории Сообщества, которые
для целей обработки персональных данных использовали оборудование, автоматизированное или иное, расположенное на
территории государства-члена. GDPR налагает обязанность назначить представителя в Союзе для любого контролера или
обработчика, подпадающего под действие статьи 3(2), если только они не соответствуют критериям освобождения согласно
статье 27(2). Чтобы облегчить применение этого конкретного положения, EDPB считает необходимым предоставить дальнейшее
руководство по процессу назначения, установлению обязанностей и ответственности представителя в Союзе в соответствии со
статьей 27.
Стоит отметить, что контролер или обработчик, не зарегистрированный в Союзе, который назначил письменного представителя
в Союзе в соответствии со статьей 27 GDPR, не подпадает под действие статьи 3(1), а это означает, что присутствие представителя
в Союзе не является «учреждением» контролера или обработчика в силу статьи 3(1).
а) Назначение представителя
В пункте 80 пояснения поясняется, что «представитель должен быть прямо назначен письменным поручением контролера или
обработчика действовать от его имени в отношении его обязательств по настоящему Регламенту.
Назначение такого представителя не влияет на ответственность контролера или обработчика данных в соответствии с настоящим
Регламентом. Такой представитель должен выполнять свои задачи в соответствии с
27 http://legal.un.org/ilc/texts/instruments/english/conventions/9_1_1961.pdf
23
Усыновленный
Machine Translated by Google
мандат, полученный от контролера или процессора, включая сотрудничество с компетентными надзорными органами в
отношении любых действий, предпринятых для обеспечения соблюдения настоящего Регламента».
Таким образом, письменный мандат, упомянутый в декларативной части 80, регулирует отношения и обязательства между
представителем в Союзе и контролером или обработчиком данных, учрежденным за пределами Союза, не затрагивая при
этом ответственность или ответственность контролера или обработчика. Представителем в Союзе может быть физическое
или юридическое лицо, зарегистрированное в Союзе, способное представлять контролера или обработчика данных,
зарегистрированного за пределами Союза, в отношении их соответствующих обязательств в соответствии с GDPR.
На практике функция представителя в Союзе может осуществляться на основании договора оказания услуг, заключенного с
физическим лицом или организацией, и, следовательно, может быть принята на себя широким кругом коммерческих и
некоммерческих организаций, таких как юридические фирмы, консалтинговые компании, частные компании и т. д. при
условии, что такие организации созданы в Союзе. Один представитель также может действовать от имени нескольких
контролеров и процессоров, не входящих в ЕС.
Когда функцию представителя берет на себя компания или организация любого другого типа, рекомендуется назначить
одного человека в качестве ведущего контактного лица и «ответственного» лица для каждого представленного контролера
или обработчика. Обычно также было бы полезно указать эти пункты в контракте на обслуживание.
В соответствии с GDPR, EDPB подтверждает, что, когда несколько видов обработки данных контролера или процессора
подпадают под действие статьи 3(2) GDPR (и ни одно из исключений статьи 27(2) GDPR не применяется), этот контролер или
не ожидается, что обработчик будет назначать нескольких представителей для каждой отдельной деятельности по
обработке, подпадающей под действие статьи 3(2). EDPB не считает, что функция представителя в Союзе совместима с ролью
внешнего офицера по защите данных («DPO »), который будет создан в Союзе. Статья 38(3) устанавливает некоторые
основные гарантии, помогающие гарантировать, что ОИ могут выполнять свои задачи с достаточной степенью автономии
внутри своей организации. В частности, контролеры или обработчики обязаны следить за тем, чтобы DPO «не получал
никаких инструкций относительно выполнения [его или ее] задач». В декларативной части 97 добавлено, что лица,
занимающиеся защитой данных, «независимо от того, являются ли они сотрудниками контролера, должны иметь
возможность выполнять свои обязанности и задачи независимым образом» 28. Такое требование достаточной степени
автономии и независимости службы защиты данных Судя по всему, это должностное лицо несовместимо с функцией
представителя в Союзе. Представитель действительно подчиняется мандату контролера или обработчика и будет
действовать от его имени и, следовательно, по его прямым инструкциям29 . Представитель уполномочен контролером или
обработчиком, который он представляет, и, следовательно, действует от его имени при выполнении своей задачи, и такая
роль не может быть совместима с выполнением обязанностей и задач сотрудника по защите данных независимым образом.
Кроме того, в дополнение к своей интерпретации EDPB напоминает позицию, уже занятую
В WP29 подчеркивается, что «конфликт интересов также может возникнуть, например, если внешнего DPO просят
представлять контролера или обработчика в судах по делам, связанным с вопросами защиты данных» 30
.
Аналогичным образом, учитывая возможный конфликт обязательств и интересов в делах об исполнительном производстве,
EDPB не считает функцию представителя контроллера данных в Союзе совместимой
28 WP29 Руководство по сотрудникам по защите данных («DPO»), WP 243 rev.01 – одобрено EDPB.
29 Внешний DPO, также действующий в качестве представителя в Евросоюзе, не может, например, находиться в ситуации,
когда ему в качестве представителя поручено сообщить субъекту данных о решении или мере, принятых контролером или
обработчиком, которые он или она, как DPO сочли несоответствующим положениям GDPR и рекомендовали воздержаться
от этого.
30 WP29 «Руководство по ответственным за защиту данных» («DPO»), WP 243 rev.01 – одобрено EDPB.
24
Усыновленный
Machine Translated by Google
с ролью обработчика данных для того же контроллера данных, в частности, когда речь идет о соблюдении их
соответствующих обязанностей и соблюдения требований.
Хотя GDPR не налагает никаких обязательств на контролера данных или самого представителя уведомлять о
назначении последнего надзорный орган, EDPB напоминает, что в соответствии со статьями 13(1)a и 14(1)a, как
В рамках своих информационных обязательств контролеры должны предоставить субъектам данных
информацию о личности их представителя в Союзе. Эта информация, например, должна быть включена в
[уведомление о конфиденциальности и] предварительную информацию, предоставляемую субъектам данных в
момент сбора данных. Контролер, не зарегистрированный в Евросоюзе, но подпадающий под действие статьи
3(2) и не сообщающий субъектам данных, находящимся в Евросоюзе, о личности своего представителя, нарушит
свои обязательства по обеспечению прозрачности согласно GDPR. Кроме того, такая информация должна быть
легко доступна надзорным органам, чтобы облегчить установление контакта для нужд сотрудничества.
Пример 24: Веб-сайт, упомянутый в примере 12, расположенный и управляемый в Турции, предлагает услуги по
созданию, редактированию, печати и доставке персонализированных семейных фотоальбомов. Веб-сайт
доступен на английском, французском, голландском и немецком языках, а платежи можно производить в евро
или фунтах стерлингов. На сайте указано, что доставка фотоальбомов по почте возможна только во Францию,
страны Бенилюкса и Германию. Поскольку этот веб-сайт подпадает под действие GDPR в соответствии со статьей
3(2)(a), контролер данных должен назначить представителя в Союзе.
Представитель должен быть зарегистрирован в одном из государств-членов ЕС, где доступна предлагаемая
услуга, в данном случае во Франции, Бельгии, Нидерландах, Люксембурге или Германии. Имя и контактные
данные контролера данных и его представителя в Евросоюзе должны быть частью информации, доступной
онлайн субъектам данных после того, как они начнут использовать услугу путем создания своего фотоальбома.
Оно также должно быть указано в общем уведомлении о конфиденциальности веб-сайта.
б) Освобождение от обязательства по указанию31
Хотя применение статьи 3(2) приводит к возникновению обязательства назначить представителя в Союзе для
контролеров или обработчиков, учрежденных за пределами Союза, статья 27(2) предусматривает отступление
от обязательного назначения представителя в Союзе в двух отдельных случаях. :
• обработка является «случайной и не включает в себя в больших масштабах обработку особых категорий
данных, указанных в статье 9(1), или обработку персональных данных, касающихся уголовных
судимостей и преступлений, указанных в статье 10», и такая обработка «маловероятно приведет к
риску для прав и свобод физических лиц, принимая во внимание характер, контекст, объем и цели
обработки».
В соответствии с позицией, занятой ранее Рабочей группой по Статье 29, EPDB считает, что деятельность
по обработке может считаться «случайной» только в том случае, если она не осуществляется регулярно и
происходит вне обычного хода бизнеса или деятельности контролера или процессор32 .
Кроме того, хотя GDPR не определяет, что представляет собой крупномасштабная обработка, WP29 ранее
рекомендовал в своих рекомендациях WP243 для сотрудников по защите данных (DPO) учитывать, в
частности, следующие факторы при определении того, выполняется ли обработка в большом масштабе:
количество заинтересованных субъектов данных – либо в виде конкретного числа, либо в виде
31 Часть критериев и интерпретаций, изложенных в G29 WP243 rev.1 (Уполномоченный по защите данных), одобренных EDPB,
могут использоваться в качестве основы для освобождения от обязательства по указанию.
32 Документ с изложением позиции WP29 об отступлениях от обязательства вести учет обработки данных в соответствии
со статьей 30(5) GDPR.
25
Усыновленный
Machine Translated by Google
доля соответствующего населения; объем данных и/или диапазон различных элементов данных, которые
обрабатываются; продолжительность или постоянство деятельности по обработке данных; географический
масштаб обрабатывающей деятельности33 .
Наконец, EDPB подчеркивает, что освобождение от обязательства по указанию согласно статье 27
34,
относится к обработке, «маловероятно, что она приведет к риску для прав и свобод физических лиц»
таким образом, не ограничивая освобождение от обработки, которое вряд ли приведет к высокому риску для прав
и свобод субъектов данных. В соответствии с Декларативной частью 75 при оценке риска для прав и свобод
субъектов данных следует учитывать как вероятность, так и серьезность риска.
Или
• обработка осуществляется «государственным органом или органом».
Квалификация «государственного органа или организации» для организации, созданной за пределами Союза,
должна будет оцениваться надзорными органами конкретно и в каждом конкретном случае35. EDPB отмечает, что,
учитывая характер их задач и миссий, случаи, когда государственный орган или орган в третьей стране будет
предлагать товары или услуги субъектам данных в Союзе или будет контролировать их поведение, происходящее
в Союзе, являются скорее всего, будет ограничено.
в) Учреждение в одном из государств-членов, где обрабатываются субъекты данных, чьи
персональные данные
Статья 27(3) предусматривает, что «представитель должен быть учрежден в одном из государств-членов ЕС, где
находятся субъекты данных, чьи персональные данные обрабатываются в связи с предложением им товаров или услуг
или чье поведение контролируется». В случаях, когда значительная часть субъектов данных, чьи персональные данные
обрабатываются, находится в одном конкретном государстве-члене ЕС, EDPB рекомендует в качестве хорошей практики,
чтобы представитель был учрежден в этом же государстве-члене ЕС.
Однако представитель должен оставаться легко доступным для субъектов данных в государствах-членах ЕС, где он не
установлен и где предлагаются услуги или товары или где поведение отслеживается.
EDPB подтверждает, что критерием создания представителя в Союзе является местонахождение субъектов данных,
персональные данные которых обрабатываются. Место обработки, даже обработчиком, зарегистрированным в другом
государстве-члене ЕС, здесь не является важным фактором для определения места нахождения представителя.
Пример 25: Индийская фармацевтическая компания, не имеющая ни присутствия, ни представительства в Евросоюзе и
подпадающая под действие GDPR в соответствии со статьей 3(2), спонсирует клинические исследования, проводимые
исследователями (больницами) в Бельгии, Люксембурге и Нидерландах. Большинство пациентов, участвующих в
клинических исследованиях, проживают в Бельгии.
Индийская фармацевтическая компания в качестве контролера данных должна назначить представителя в Союзе,
учрежденного в одном из трех государств-членов, где пациенты в качестве субъектов данных участвуют в
33 Руководящие принципы WP29 для сотрудников по защите данных (DPO), принятые 13 декабря 2016 г., последняя редакция — 5 декабря .
Апрель 2017 г., WP 243 ред.01 – одобрен EDPB.
34 Статья 27(2)(a) GDPR.
35 GDPR не определяет, что представляет собой «государственный орган или орган». EDPB считает, что такое понятие должно быть
определено национальным законодательством. Соответственно, органы государственной власти и органы включают национальные,
региональные и местные органы власти, однако в соответствии с применимыми национальными законами эта концепция обычно
включает также ряд других органов, регулируемых публичным правом.
26
Усыновленный
Machine Translated by Google
клиническое исследование (Бельгия, Люксембург или Нидерланды). Поскольку большинство пациентов являются
резидентами Бельгии, рекомендуется, чтобы представитель находился в Бельгии. Однако в этом случае
представитель в Бельгии должен быть легко доступен для субъектов данных и надзорных органов в Нидерландах
и Люксембурге.
В этом конкретном случае представитель в Союзе может быть законным представителем спонсора в Союзе в
соответствии со статьей 74 Регламента (ЕС) 536/2014 о клинических исследованиях, при условии, что он не
действует в качестве обработчика данных от имени. спонсора клинического исследования, что он учрежден в
одном из трех государств-членов, и что обе функции регулируются и выполняются в соответствии с каждой
правовой базой.
г) Обязанности и ответственность представителя
Представитель в Евросоюзе действует от имени контролера или процессора, которого он представляет, в
отношении обязательств контролера или процессора в соответствии с GDPR. Это подразумевает, в частности,
обязательства, связанные с осуществлением прав субъекта данных, и в этом отношении, как уже указывалось,
личность и контактные данные представителя должны быть предоставлены субъектам данных в соответствии со
статьями 13 и 14. Хотя он сам не несет ответственности за соблюдая права субъекта данных, представитель
должен способствовать общению между субъектами данных и представляемым контролером или обработчиком,
чтобы осуществление прав субъектов данных было эффективным.
В соответствии со статьей 30, контролер или представитель обработчика должен, в частности, вести учет действий
по обработке, находящихся под ответственностью контролера или обработчика. EDPB считает, что, хотя ведение
этой записи является обязанностью, налагаемой как на контролера или обработчика, так и на представителя,
контролер или обработчик, не зарегистрированный в Союзе, несет ответственность за основное содержание и
обновление записи и должен одновременно предоставлять своему представителю всю точную и обновленную
информацию, чтобы запись могла храниться и быть доступной представителю в любое время. В то же время сам
представитель несет ответственность за возможность предоставить ее в соответствии со статьей 27, например,
при обращении к надзорному органу в соответствии со ст. 27(4).
Как поясняется в пункте 80, представитель также должен выполнять свои задачи в соответствии с мандатом,
полученным от контролера или обработчика, включая сотрудничество с компетентными надзорными органами в
отношении любых действий, предпринятых для обеспечения соблюдения настоящего Регламента. На практике
это означает, что надзорный орган будет связываться с представителем по любому вопросу, касающемуся
обязательств по соблюдению требований контролером или обработчиком, установленным за пределами Союза,
и представитель должен иметь возможность содействовать любому информационному или процедурному обмену
между запрашивающим надзорным органом. орган и контролер или обработчик, установленный за пределами Союза.
Таким образом, при необходимости с помощью команды представитель в Союзе должен быть в состоянии
эффективно общаться с субъектами данных и сотрудничать с соответствующими надзорными органами. Это
означает, что такое общение в принципе должно происходить на языке или языках, используемых надзорными
органами и заинтересованными субъектами данных, или, если это приведет к непропорциональным усилиям,
представитель должен использовать другие средства и методы, чтобы обеспечить эффективность коммуникации.
Поэтому наличие представителя имеет важное значение для обеспечения того, чтобы субъекты данных и
надзорные органы могли легко установить контакт с контролером или обработчиком данных, не находящимся за
пределами ЕС. В соответствии с пунктом 80 декларативной части и статьей 27(5) назначение представителя в
Союзе не влияет на ответственность контролера или обработчика данных в соответствии с GDPR и не наносит
ущерба юридическим искам, которые могут быть инициированы против контроллер или сам процессор. GDPR не
устанавливает
27
Усыновленный
Machine Translated by Google
субститутивная ответственность представителя вместо контролера или процессора, которого он представляет в
Союзе.
Однако следует отметить, что концепция представителя была введена именно с целью облегчить связь и
обеспечить эффективное соблюдение GDPR в отношении контролеров или процессоров, подпадающих под
действие статьи 3(2) GDPR. С этой целью было намерение предоставить надзорным органам возможность
инициировать исполнительное производство через представителя, назначенного контролерами или
обработчиками, не зарегистрированными в Союзе. Это включает в себя возможность надзорных органов
направлять представителю корректирующие меры или административные штрафы и санкции, наложенные на
контролера или обработчика, не зарегистрированного в Союзе, в соответствии со статьями 58 (2) и 83 GDPR.
Однако возможность привлечь представителя к прямой ответственности ограничивается его прямыми
обязательствами, указанными в статьях 30 и статье 58 (1) a GDPR.
EDPB также подчеркивает, что статья 50 GDPR, в частности, направлена на облегчение соблюдения
законодательства в отношении третьих стран и международных организаций, и что в настоящее время
рассматривается возможность разработки дальнейших механизмов международного сотрудничества в этом
отношении.
28
Усыновленный
Скачать