На днях EDPB опубликовала обновленную версию рекомендаций п разъяснений по поводу области применения GDPR, Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), Version 2.0 . В частности, увеличилось количество примеров, теперь их 25 вместо 20.
Вот несколько нововведений:
- Добавлены комментарии про минимальное количество человек в офисе/представительстве в ЕС. Говорят, что даже если 1, то стоит рассматривать с точки зрения применимости GDPR, но уточняют, что просто присутствия в ЕС не достаточно, надо проанализировать его деятельность в контексте.
- В явном виде сказано, что существование устойчивой связи между Контроллером и Процессором не обязательно приводит к тому, что оба подпадут под действие GDPR, если один из них не в ЕС.
- Добавлен важный комментарий и пример №8 про то, что если услуга оказывается только на граждан не из ЕС, и она продолжает оказываться им при нахождении в ЕС (например, в качестве туриста), то эта деятельность не подпадает под GDPR. Это решает вопрос, например, с попаданием локальных банков и телеком операторов не в ЕС под область действия GDPR...
- EDPB подчеркивает, что единичные случаи нахождения субъектов в ЕС еще не говорят о том, что компания подпадает под GDPR по признаку оказания услуг на территории ЕС.
- Новый пример №13 говорит о том, что командировки своих сотрудников в ЕС (со всей связанной с этим бумажной работой) не являются критерием для попадания под GDPR.
- Отдельно написали целую главу про Процессора не в ЕС, отмечают, что важнейшим критерием попадания под действие GDPR является целевая активность (targeting activity) Контролера. Если она подпадает под GDPR, то и Процессор должен будет его соблюдать. Приводят несколько примеров...
В связи с новыми комментариями я обновил свою таблицу критериев попадания под GDPR:
Скачать ее в PDF можно на моем Патреоне - https://www.patreon.com/posts/gdpr-scope-31535171
