Подпадают ли под действие GDPR филиалы, представительства и иные обособленные подразделения иностранных компаний в ЕС?
Поскольку Регламент распространяет свое действие не только на самостоятельные юридические лица, но и на иные образования, «установившиеся» на территории ЕС, под его действие также попадают подразделения иностранных компаний в Европейском Союзе, включая филиалы и представительства. Даже в тех случаях, когда эти подразделения не работают непосредственно с физическими лицами на территории ЕС, они, как минимум, неизбежно будут оперировать их данными в рамках различных ситуаций, связанных с деятельностью подразделения.
В качестве примера, такое оперирование персональными данными будет иметь место в рамках трудовых отношений, ведь даже в тех случаях, когда сотрудники подразделения не являются гражданами ЕС, на них будут распространяться все права, а на подразделение – обязанности и ответственность, предусмотренные GDPR, поскольку для целей Регламента не имеет значения ни гражданство, ни резидентство лица в ЕС, а лишь его местонахождение.
Если ваша компания не зарегистрирована в ЕС и не имеет подразделений в этих странах
Регламент гласит, что деятельность лица, не учрежденного в ЕС, все равно подпадает под действие Регламента, если она связана:
• с предложением товаров, работ или услуг субъектам данных, которые находятся в ЕС, либо
• с мониторингом поведенческой активности лиц, находящихся в ЕС.
Таким образом, в первую очередь нововведения затронут телекоммуникационные компании, а также любые иные компании, зарегистрированные за пределами ЕС, если они предлагают товары и услуги на территории ЕС, и оперируют персональными данными субъектов, находящихся в ЕС. Возникает закономерный вопрос о том, как определить, предлагает ли компания, не зарегистрированная в ЕС, товары и услуги в ЕС? Регламент содержит на этот счет следующие критерии:
- использование компанией в рамках предложения товаров и услуг языка и валюты одного или нескольких государств-членов ЕС;
- возможность заказа товаров, работ, услуг на данном языке;
- упоминание покупателей и пользователей, находящихся в ЕС.
Какие еще обязанности, помимо соблюдения требований GDPR, возлагаются на операторов персональных данных, учрежденных за пределами ЕС?
Они обязуются назначить своих представителей в Европейском Союзе, которые будут действовать от их лица по вопросам, связанным с защитой персональных данных, и являться связующим звеном между компаниями и органами власти, компетентными контролировать исполнение Регламента на территории ЕС.
Иностранным компаниям также следует обратить внимание на требования Регламента, связанные с передачей персональных данных из Европейского Союза в третьи страны. Такая передача может иметь место в случае внутрикорпоративного трансфера данных и требует тщательной проработки политик компании в данной области, направленной на выполнение требований GDPR.