Консультация относительно Общего регламента защиты личных данных

С 25 мая 2018 года вступил в силу Общий регламент защиты личных данных ЕС (General Data Protection Regulation (GDPR)), заменив Инструкцию (Директиву) 95/46/ЕС "О защите личных данных". Одним из важнейших нововведений Регламента является закрепление принципа внетерриториального применения, согласно которому Регламент может применяться к обрабатывающих персональные данные лицам из стран, не являющихся государствами-членами ЕС. Вступление в силу Регламента в последнее время вызвало в Республике Армения определенный общественный интерес и стало предметом обсуждения, с учетом именно принципа внетерриториального применения. Армянские организации в основном обеспокоены тем, применим ли к ним Регламент, или нет.

Учитывая вышесказанное и исходя из своего правомочия предоставлять консультацию, установленного пунктом 15 части 3 статьи 24 Закона Республики Армения "О защите личных данных", Агентство по защите личных данных Министерства юстиции Республики Армения ниже указывает, в каких случаях Регламент применим к обрабатывающим личные данные лицам из стран, не являющихся государствами-членами ЕС (к обрабатывающим личные данные лицам Республики Армения): например, если обрабатывающее данные лицо из Армении или уполномоченное им лицо на территории ЕС имеет вторичную организацию: дочернюю организацию, филиал и т. д.).

Однако рамки территориального применения Регламента расширились и включают также обрабатывающих данные лиц, не имеющих вторичной организации в ЕС. В этой связи часть 2 статьи 3 Регламента устанавливает, что Регламент применяется в отношении обработки личных данных жителей ЕС (who are in the Union) обрабатывающим данные лицом, не созданном в ЕС, либо уполномоченным лицом (которые в то же время не имеют вторичной организации в ЕС), когда действия по обработке данных связаны с:

(a)    предложением жителям ЕС товаров и услуг, не зависимо от того, требуется ли от данных лиц оплата этих товаров или услуг; либо

(b)    контролем (мониторингом) поведения жителей ЕС. При этом подобное поведение должно осуществляться в пределах ЕС.

В качестве критерия для разъяснения вопроса о предложении товаров и услуг жителям ЕС иностранным лицом, обрабатывающим данные (уполномоченным лицом), используется намерение обрабатывающего данные лица (уполномоченного лица) предлагать жителям ЕС товары и услуги и очевидность этого намерения.

Что касается наблюдения за поведением лиц, проживающих в ЕС, то это относится к случаям, когда, например, обработка личных данных связана с контролем поведения лиц в Интернете с помощью технических средств обработки личных данных (cookies, IP address), анализирующих и прогнозирующих предпочтения, поведение лиц в Интернете с тем, чтобы в их отношении осуществлялась целенаправленная реклама.

С помощью представленной таблицы можно проверить, применим ли Регламент к Вашей организации.