Компании, работающие вне пределов Европейского Союза, в конце ноября прошлого года получили давно ожидаемое руководство для определения того, распространяются ли на них требования Общеевропейского регламента по защите персональных данных. Руководство представил 23 ноября Европейский совет по защите данных (European Data Protection Board – EDPB) – специальный орган в составе Европейской Комиссии, на плечи которого легла нелегкая задача обеспечения последовательности применения режима GDPR. Руководство пока еще носит промежуточный характер, однако его формулировки уже дают важное представление о том, как требования влияют на компании вне Евросоюза.
Напомним, Закон о защите персональных данных - General Data Protection Regulation (GDPR) – вступил в силу в мае прошлого года и сразу же привел многие компании по всему миру в замешательство. Одним из самых сложных моментов оказался территориальный аспект действия режима GDPR – отмечает в своем блоге Эдуардо Устаран (Eduardo Ustaran), партнер Hogan Lovells. В этой связи публикацию пусть даже пока промежуточного руководства от Европейского совета по защите данных он видит важным решением для обеспечения всеобщего понимания того, как работают новые основы регулирования.
В основном новое 23-страничное руководство посвящено двум критериям, оговоренным в Статье 3 GDPR – критерию присутствия (“establishment”), и критерию целенаправленности (“targeting”). В нем же содержатся практические примеры для каждого из них, но авторы руководства из EDPB все же рекомендуют компаниям соблюдать осторожность и внимательность в анализе собственных уникальных обстоятельств по каждому случаю. Рассмотрим все чуть более подробно.
Критерий присутствия
Статья 3 (1) Общеевропейского регламента по защите персональных данных оговаривает критерий присутствия, в рамках которого обработка персональных данных осуществляется в контексте деятельности контролера или обработчика персональных данных в Европейском Союзе. При определении того, подпадает ли обработка персональных данных под оговоренный Статьей 3 (1) критерий, рекомендуется применять трехсторонний подход.
Первый аспект данного подхода – это определение того, имеет ли организация за пределами ЕС присутствие в стране-члене ЕС. Как гласят уточнения, содержащиеся в самом законе GDPR, присутствие “подразумевает эффективное и реальное осуществление деятельности в рамках устоявшихся соглашений”. Здесь стоит отметить, что минимальные критерии для “устоявшихся соглашений” могут быть довольно низкими: в отдельных случаях достаточно присутствия одного-единственного сотрудника или агента неевропейской компании, чтобы это посчитали достаточным для выполнения условия, отмечают авторы руководства. В пример приводится производитель автомобилей, штаб-квартира которого находится в США, но при этом в Брюсселе имеется еще один офис-представительство, отвечающее за европейские операции (в том числе маркетинг и продвижение). Бельгийский офис в данном примере считается примером стабильного соглашения и означает присутствие в ЕС с точки зрения требований GDPR.
Второй аспект, над которым надо задуматься – это осуществляется ли обработка персональных данных в контексте данного присутствия. То есть если деятельность европейского подразделения “неразрывно связана” с обработкой данных неевропейским контролером (и неважно, играет ли при этом роль в обработке данных само европейское подразделение) – в этом случае GDPR все равно будет применяться, гласит руководство.
Также в нем говорится, что получение выручки местным подразделением может само по себе сигнализировать о факте обработки данных неевропейским контролем или обработчиком данных “в контексте деятельности европейского присутствия”, в случае если эта деятельность “неразрывно связана” с обработкой персональных данных вне пределов ЕС.
В реальности неевропейским организациям следует проводить внимательную оценку своей деятельности по обработке данных, – рекомендует руководство от EDPB, - “сначала путем определения того, обрабатываются ли персональные данные, а затем – определяя возможные связи между деятельностью, для которой идет обработка данных, и деятельностью любой формы присутствия организации в Евросоюзе”.
И третий аспект подхода – это применимость GDPR в отношении присутствия контролера или обработчика данных в европейском регионе. В своем руководстве Европейский совет по защите данных проясняет, что именно присутствие (через определенную форму организации) контролера или обработчика данных в регионе и тот факт, что обработка ведется в контексте деятельности этой организации, служит триггером применимости режима GDPR в отношении процесса обработки. Иначе говоря, само место обработки информации не имеет значения для определения того, подпадает ли обработка в контексте деятельности европейского подразделения под требования GDPR.
Чуть дальше EDPB уточняет, что при анализе территориального аспекта применения GDPR географическое местоположение в рамках Статьи 3(1) будет иметь значение, если речь идет о местонахождении самого контролера или обработчика данных, а также если речь идет о том, что неевропейский контролер или обработчик имеет деловое присутствие в регионе. Где оно не будет иметь значения в рамках Статьи 3(1), так это в отношении места, где осуществляется обработка данных, а также в отношении местонахождения самих субъектов данных.
Критерий целенаправленности
Этот критерий, которому также посвящено руководство, описан в Статье 3(2) GDPR. Она гласит, что Общеевропейский регламент по защите персональных данных применяется в отношении обработки персональных данных находящихся в ЕС субъектов этих данных контролерами или обработчиками вне пределов Евросоюза, “если деятельность по обработке связана с: (a) предложением товаров или услуг, причем вне зависимости от того, требуется ли оплата со стороны субъекта данных в ЕС, или (b) мониторингом их поведения, если проявления этого поведения имеют место в Евросоюзе”.
Руководство говорит, что применение критерия целенаправленности в отношении субъектов данных в ЕС может порождаться двумя отдельными и альтернативными видами деятельности, осуществляемой контролером или обработчиком данных не из Европейского Союза. Как следствие, здесь в ходе анализа нужно рассматривать два аспекта.
Первое соображение – это нахождение субъектов данных в ЕС, поскольку оно определяет, будет ли применяться Статья 3(2), причем речь идет не о национальности, месте проживания или юридическом статусе, а именно о нахождении. Иначе говоря, местонахождение нужно определять прямо в момент, когда стартует деятельность, способная послужить “триггером” для применения GDPR (например, когда выходит рекламное предложение о товаре или услуге, или когда проводится изучение поведения покупателя на рынке).
Второе соображение – это предложение товаров или услуг, вне зависимости от того, требуется ли при этом оплата со стороны субъекта данных в ЕС. Основной способ определить, выполняется ли критерий целенаправленности – это посмотреть, в какой степени поведение контролера или обработчика соответствует намерению предложить товар или услугу субъекту данных в Европейском Союзе (иными словами, предназначается ли предложение находящемуся в ЕС лицу). “Обработка персональных данных европейских граждан или резидентов, которая осуществляется в третьих странах, не провоцирует применение GDPR, пока сама обработка не связана с конкретным предложением, направленным на индивидуумов в ЕС или же на мониторинг их поведения в Евросоюзе”, - объясняет руководство.
Как гласит пункт Статьи 3(2)(b), чтобы требования GDPR начали применяться, поведение потребителей, которое изучается, должно, во-первых, касаться субъектов данных в ЕС, а кроме того, проявления этого поведения должны относиться также к Евросоюзу. Отслеживание персоны через интернет является примером такого мониторинга поведения.
В соответствии с руководством, следующие виды деятельности можно отнести к мониторингу:
- Поведенческая реклама;
- Определение географического положения, особенно в маркетинговых целях;
- Онлайн-трекинг с использованием “куки” и других техник
- Аналитические онлайн-сервисы по персональным диетам и другим медицинским вопросам
- Рыночные опросы и другие исследования на основе индивидуальных профилей
- Мониторинг или регулярные отчеты по персональному состоянию здоровья
В самом последнем разделе руководства подчеркивается, что и контролер, и обработчик данных без присутствия в ЕС, на которых распространяется Статья 3(2), должны определить своего представителя в ЕС, поскольку в противном случае это будет считаться нарушением регулирующих требований. В реальности, - говорится в руководстве, - функции представителя могут осуществляться на основе сервисного договора, заключенного с физическим или юридическим лицом (юридической фирмой, консалтинговым агентством, частной компанией и так далее), если эти лица имеют присутствие в ЕС. Один представитель может действовать от имени нескольких неевропейских контролеров или обработчиков данных.
Подводя итоги, можно определенно утверждать, что GDPR простирается на самом деле далеко за пределы Европейского Союза, так что если кто-то считает, что на него эти требования не распространяются, самое время поближе ознакомиться с руководством от EDPB, тем более что срок представления комментариев истекает уже совсем скоро – 18 января.
По материалам: Compliance Week