GDPR Scope 2.0

GDPR Scope 2.0
На днях EDPB опубликовала обновленную версию рекомендаций п разъяснений по поводу области применения GDPR,  Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), Version 2.0 . В частности, увеличилось количество примеров, теперь их 25 вместо 20.

Вот несколько нововведений:
  • Добавлены комментарии про минимальное количество человек в офисе/представительстве в ЕС. Говорят, что даже если 1, то стоит рассматривать с точки зрения применимости GDPR, но уточняют, что просто присутствия в ЕС не достаточно, надо проанализировать его деятельность в контексте.
  • В явном виде сказано, что существование устойчивой связи между Контроллером и Процессором не обязательно приводит к тому, что оба подпадут под действие GDPR, если один из них не в ЕС.
  • Добавлен важный комментарий и пример №8 про то, что если услуга оказывается только на граждан не из ЕС, и она продолжает оказываться им при нахождении в ЕС (например, в качестве туриста), то эта деятельность не подпадает под GDPR. Это решает вопрос, например, с попаданием локальных банков и телеком операторов не в ЕС под область действия GDPR... 
  • EDPB подчеркивает, что единичные случаи нахождения субъектов в ЕС еще не говорят о том, что компания подпадает под GDPR по признаку оказания услуг на территории ЕС.
  • Новый пример №13 говорит о том, что командировки своих сотрудников в ЕС (со всей связанной с этим бумажной работой) не являются критерием для попадания под GDPR.
  • Отдельно написали целую главу про Процессора не в ЕС, отмечают, что важнейшим критерием попадания под действие GDPR является целевая активность (targeting activity) Контролера. Если она подпадает под GDPR, то и Процессор должен будет его соблюдать. Приводят несколько примеров...
В связи с новыми комментариями я обновил свою таблицу критериев попадания под GDPR:

Скачать ее в PDF можно на моем Патреоне -  https://www.patreon.com/posts/gdpr-scope-31535171


Alt text

Andrey Prozorov

Информационная безопасность в России и мире