В продължение на серията публикации относно промените, въведени с GDPR, с настоящата публикация ще ви запознаем с териториалния обхват на GDPR.
Териториалният обхват на GDPR е ключов фактор при привеждането на дейността на бизнеса в съответствие с правилата по защита на личните данни, тъй като в днешно време много услуги се предоставят в световен мащаб и онлайн. Компаниите извън ЕС са поставени пред проблема да определят дали те са пряко подчинени на строгите изисквания на GDPR или не. В помощ на компаниите, през края на 2018 г., правоприемникът на WP29, Европейският комитет по защита на данните (EDPB) публикува „Насоки за териториалният обхват на GDPR“.
Тази статия има за цел да обобщи и изясни
критериите, както и да предостави някои насоки и полезна информация за
териториалния обхват на GDPR.
Териториалният обхват на GDPR е определен в член 3, като разпоредбата съдържа три основни критерия.
Установяване на територията на ЕС
Първият
критерии за определяне на териториалния обхват на GDPR е установяването
на администратор или обработващ лични данни в ЕС (Чл. 3 (1)).
Съгласно
GDPR, „установяването“ предполага ефективното и действителното
упражняване на дейност по силата на стабилни договорености. Формата на
тези договорености, например дали дейността се извършва чрез клон или
дъщерно дружество, не е от значение.
Съдът на ЕС също постановява
в неговата практика, че понятието за установяване обхваща всяка реална и
ефективна дейност, осъществявана чрез стабилни договорености. Всъщност
дори наличието на един служител или представител на дружество извън ЕС,
би могло да бъде достатъчно за да представлява стабилно споразумение,
ако този служител или представител действа с достатъчна степен на
стабилност.
Това, че дадено дружество извън ЕС няма клон или
дъщерно дружество в държава-членка, не изключва възможността то да бъде
счетено за установено на територията а ЕС по смисъла на GDPR. Трябва да
се има предвид, че когато компания със седалище в САЩ има клон, офис за
продажби или просто когато извършва дейности за повишаване на нейните
приходи в ЕС, може да се счете, че има стабилни договорености в ЕС и
следователно GDPR да се прилага спряно нейната дейност.
Следва да
се обърне внимание, че съгласно Член 3 критерият за установяване на
територията на ЕС се преценя поотделно както за администратора, така и
за обработващия лични данни. EDPB е на мнение, че когато става въпрос за
идентифициране на различните задължения, породени от приложимостта на
GDPR, дейностите по обработване на лични данни от всеки правен субект,
бил той администратор или обработващ, следва да се разглеждат
самостоятелно.
Например, в случаите, когато администратор на
лични данни е установен на територията на ЕС и включи на обработващ
лични данни, който се намира извън ЕС, такъв обработващ няма да се счита
като установен в рамките на ЕС, само защото администраторът е дружество
в ЕС. В този случай GDPR няма да бъде директно приложим за
обработващия, установен извън ЕС. Единствено администраторът в ЕС ще
бъде задължен да прилага изисквания на GDPR, приложими към
администратори на лични данни („задълженията на администраторите на
лични данни на GDPR“). Едно от тези изисквания е именно администраторът
на лични данни да подсигури чрез договор или друг правен акт, че
обработващият, установен извън ЕС, обработва данните в съответствие с
GDPR.
Точно обратното се отнася за администратор на лични данни,
установен извън рамките на Европейския съюз. Той не може да се счита за
установен в ЕС, само защото използва обработващ лични данни от ЕС. В
този случай, GDPR ще бъде приложим само за обработващия лични данни и
само той ще трябва да се съобразява с изискванията на GDPR, приложими
към обработващите лични данни („задълженията на обработващите лични
данни на GDPR“). Например, това са задълженията на обработващия лични
данни в ЕС да приложи подходящи технически и организационни мерки в
съответствие с Регламента относно обмена на данни с администратора, да
уведомява администратора без неоправдано забавяне, след като разбере за
нарушение на сигурността на личните данни, или да определи длъжностно
лице по защита на данните (ДЛЗД), когато това се изисква от Регламента.
Таргетиране на лица в ЕС
Вторият критерии за териториална приложимост на GDPR е така нареченото „таргетиране“ на лица в ЕС (Член 3 (2)).
GDPR
определя критерия за таргетиране като „предлагането на стоки или
услуги, независимо от това дали се изисква плащане от субекта на данни в
ЕС“, както и като „наблюдение на тяхното поведение, доколкото това
поведение се проявява в рамките на Съюза“. Налице ли е таргетиране
зависи главно от въпроса дали дейностите на дадено предприятие са
насочени към потребители, намиращи се в ЕС, което трябва да се определи
във всеки отделен случай.
Местоположението на субекта данни на
територията на ЕС е определящ фактор за прилагането на критерия за
таргетиране. Европейският комитет за защита на данните смята, че
националността или правният статут на лицето не може да ограничава
териториалния обхват на GDPR. Следователно и дейностите, насочени към
жителите на трети държави, които се намират в ЕС, също могат да
предизвикат прилагането на критерия за таргетиране и да доведат до
прилагане на GDPR спрямо тези дейности.
За да могат дружествата
да определят дали техните дейности трябва да се считат за предлагане на
стоки и услуги на субекти на данни в ЕС, последните следва да преценяват
всички особености на техния бизнес модел, като например намерението им
да предлагат стоки или услуги в ЕС чрез уебсайт, дали ги предлагат на
местен език и приемат местна валута, дали са посочили местно лице за
контакт за целите на продажби и съпорт т.н.
За да се задейства
прилагането на втория критерий за таргетиране, а именно „наблюдение на
поведение“, дейността по наблюдението трябва на първо място да се отнася
за лице в ЕС и наблюдаваното поведение трябва да се извършва на
територията на ЕС.
GDPR и Европейският комитет за защита на данните
отбелязват като няколко примера за наблюдение дейностите на
поведенческата реклама, гео-локализиращите дейности, онлайн
проследяването чрез използване на бисквитки или други техники за
проследяване, персонализираните диети и онлайн услугите за анализ на
здравето, видеонаблюдението, пазарните проучвания и други поведенчески
проучвания, базирани на индивидуални профили, мониторинг или редовно
следене на здравословното състояние на индивида и други.
Важно е да
се отбележи, че обработването на лични данни на лица, които се намират
извън територията на ЕС, били те и граждани на ЕС, не предизвиква
прилагане на GDPR, доколкото обработването на лични данни не е свързано с
предлагане на конкретна услуга, насочена към лица в ЕС, или към
наблюдение на тяхното поведение в ЕС.
Прилагане на правото на държавите-членки по силата на международното право
Разпоредбата
на чл. 3(3) е по-обстойно обяснена в Съображение 25, което гласи, че
когато правото на държавите-членки се прилага по силата на
международното публично право, то GDPR следва да се прилага и за
администратор, който не е установен на територията на ЕС.
Това
означава, че GDPR може да се прилага и за обработването на лични данни,
извършвано от посолствата и консулствата на държавите-членки на ЕС, или в
кораби на ЕС, когато те се намират в международни води. Фактът, че
дадена дейност се извършва на кораб, регистриран в ЕС, означава, че по
силата на международното публично право се прилага GDPR.
Администраторите или обработващите лични данни, които не са установени в Съюза, трябва да назначат местен представител.
И
накрая, е важно да се има предвид, че администратор или обработващ
лични данни, който не е установен в ЕС, но спрямо него се прилага GDPR, е
длъжен да определи представител в ЕС в съответствие с член 27, а ако не
бъде определен такъв представител, следователно съответният
администратор или обработващ ще бъде в нарушение на Регламента.
GDPR
и Европейският комитет за защита на данните, дават някои допълнителни
насоки относно процеса на определяне, задълженията и отговорностите на
представителя в ЕС. Например, важно е да се знае, че представителят:
• може да бъде физическо или юридическо лице, установено в Съюза;
• следва да бъде изрично посочен с писмен мандат, например договор с
администратора или обработващия лични данни да действа от негово име и
във връзка с неговите задължения съгласно GDPR;
• не може да бъде едновременно Длъжностно лице за защита на данните (DPO) на дружеството;
Член 27(2) предвижда някои изключения от задължението за определяне на представител в Съюза, като например:
• когато обработването е спорадично, не включва мащабно обработване
на специални категории лични данни или обработване на лични данни,
свързани с присъди и нарушения; или
• когато обработването се извършва от публичен орган или структура.
Член
27(3) предвижда, че представителят трябва да бъде установен в една от
държавите-членки, където субектите на данни, чиито лични данни се
обработват във връзка с предлагането на стоки или услуги на тях или
чието поведение се наблюдава.
Освен това, Европейският комитет за
защита на данните препоръчва представителят да бъде лесно достъпен за
всички субекти на данни във всяка от държавите-членки, в която се
предлагат услугите или стоките или се наблюдава поведението.
Моля, имайте предвид, че представителят в Съюза действа от името на администратора или обработващия лични данни, който ги представлява по отношение на задълженията им съгласно GDPR. Това е особено важно за изпълнението на задълженията, свързани с упражняването на правата на субектите на данни, и в това отношение данните за контакт на представителя трябва да бъдат включени във всички информационни документи на администаторите на лични данни съгласно изискванията на чл. 13 и 14, като например уведомленията им за защита на личните данни.
Представителят следва също така да изпълнява задачите си в съответствие с мандата, получен от администратора или обработващия лични данни, включително да си сътрудничи с компетентните надзорни органи по отношение на всяко действие, предприето за осигуряване на съответствието с GDPR.
Насоките 3/2018 относно териториалния обхват на GDPR
(член 3) на Европейския комитет по защита на данните могат да бъдат
намерени тук.