​Нові уточнення щодо територіальної сфери дії GDPR: що варто врахувати українським фармкомпаніям і їх представництвам

12 листопада 2019 року Європейська рада із захисту даних (European Data Protection Board) опублікувала четверту, оновлену редакцію Керівництва 3/2018 щодо територіальної сфери дії Загального регламенту про захист даних (GDPR), прийняту після консультацій із громадськістю. Як і у попередніх редакціях, акцент робиться на практичне застосування двох критеріїв поширення дії GDPR на контролера або оператора: діяльності осідку у ЄС та таргетингу (цільової спрямованості діяльності).

Критерій діяльність осідку у ЄС

У контексті діяльності осідку контролера або оператора в ЄС рекомендується застосовувати трикроковий тест:

1. Наявність осідку у ЄС, до якого прирівнюється здійснення ефективної та реальної діяльності через стабільне утворення незалежно від його правової форми (філія, офіс, відділення). Зокрема, навіть наявність одного працівника у ЄС, якщо він виконує свої функції протягом певного часу та стабільно, достатньо для визнання наявності осідку у ЄС;

Наприклад, фармацевтична компанія, зареєстрована у Австралії, має представництво у Берліні, що займається усією діяльністю, включно із просуванням лікарських засобів у ЄС.

2. Обробка персональних даних здійснюється у контексті діяльності такого осідку. Важливе значення тут мають отримання прибутків у ЄС, а також відносини контролера або оператора поза ЄС із його осідком у ЄС. Якщо буде встановлено нерозривний зв'язок між обробкою персональних даних контролера або оператора не з ЄС та діяльністю осідку у ЄС, на такого контролера або оператора буде поширюватись GDPR.

Наприклад, GDPR саме за цим критерієм не буде поширюватись на косметичну компанію, яка працює через свій веб-сайт, доступний різними мовами ЄС, якщо у неї немає офісу, представництва чи іншого стабільного утворення у ЄС.

3. Обробка персональних даних здійснюється у контексті діяльності такого осідку незалежно від того чи самі персональні дані обробляються на території ЄС.

Наприклад, персональні дані, пов’язані із клінічними випробуваннями фармацевтичної компанії, зареєстрованої у Франції, обробляються у японській філії такої компанії.

Якщо ці кроки застосовні, то GDPR поширюється на відповідного контролера або оператора.

Таргетинг (цільової спрямованості діяльності) контролера або оператора

У випадку відсутності осідку у ЄС до юридичних осіб може застосовуватись GDPR через його екстратериторіальну дію. У такому випадку застосовується критерій таргетингу (цільової спрямованості діяльності) контролера або оператора.

Цільова спрямованість діяльності визначається за двома чинниками:

1. Перебування суб’єктів персональних даних у ЄС (при цьому вони не обов’язково мають бути громадянами будь-якої з країн-членів ЄС).

2. Пропозиція реалізації продукції, надання послуг або моніторинг діяльності таких суб’єктів персональних даних.

Щоб зрозуміти чи поширюється критерій таргетингу на вашу компанію потрібно відповісти на такі запитання:

• Чи пропонується доставка продукції, надання послуг у будь-яку з країн-членів ЄС?
• Чи доступна версія веб-сайту мовами ЄС?
• Чи доступна згадана на веб-сайті адреси чи номеру телефону із будь-якої з країн-членів ЄС?
• Чи використовується для веб-сайту доменне ім’я верхнього рівня із будь-якої з країн-членів ЄС чи ЄС?
• Чи наявна оплата за продукцію/послуги в євро або одній з валют ЄС?
• Чи зазначається будь-яка з країн-членів ЄС поряд із назвою про продукції/послуги?
• Чи здійснюється оплата за оператора пошукової системи, з метою полегшення доступу до веб-сайту споживачам у ЄС?
• Чи проводяться будь-які маркетингові активності, рекламні кампанії, спрямовані на споживачів у ЄС?
• Чи має діяльність міжнародний характер (наприклад, туризм)?
• Чи наявні інструкції яким чином краще дістатись до місця надання послуги із будь-якої з країн-членів ЄС (наприклад, у лікарню)?
• Чи існують на веб-сайті згадки про закордонних клієнтів із різноманітних країн-членів ЄС або надані ними рекомендації?

Наслідки недотримання вимог GDPR для компаній

GDPR виділяє 2 категорії сум адміністративних штрафів, які можуть накласти наглядові органи ЄС за порушення GDPR:

1. До 10 млн євро або, у випадку підприємства, до 2% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

• щодо умов згоди дитини на веб-сайтах згідно із статтею 8 GDPR;
• обробки даних, що не вимагає ідентифікації згідно із статтею 11 GDPR;
• загальних обов’язків контролера і оператора, у т.ч. порушення принципу «захист даних за призначенням і за замовчуванням», безпеки персональних даних згідно із статтями 25–39 GDPR;
• сертифікації згідно із статтею 42 GDPR;
• органів сертифікації згідно із статтею 43 GDPR.

2. До 20 млн євро або, у випадку підприємства, до 4 % від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

• основних принципів обробки персональних даних відповідно до статті 5 GDPR;
• законності обробки персональних даних відповідно до статті 6 GDPR;
• умов надання згоди відповідно до статті 7 GDPR;
• обробки спеціальних категорій персональних даних відповідно до статті 9 GDPR;
• порушення прав суб’єктів даних відповідно до статей 12–22 GDPR;
• порушення порядку передачі персональних даних до одержувача в третій країні чи до міжнародної організації відповідно до статей 44–49 GDPR;
• порушення будь-яких обов’язків відповідно до закону держави-члена ЄС, на розширення вимог GDPR;
• невідповідність постанові або тимчасовому чи остаточному обмеженню на опрацювання чи призупинення потоків даних наглядового органу ЄС відповідно до статті 58(2) GDPR або ненадання доступу як порушення статті 58(1) GDPR.