Відповідає Сергій Барбашин, адвокат, власник Barbashyn Law Firm, Заступник голови комітету з Інтелектуальної власності НААУ, Голова UNBA NextGen, Віце-президент Європейської асоціації молодих адвокатів (EYBA).
Запитання:
Чи поширюється дія GDPR на територію України?
Відповідь:
General Data Protection Regulation (GDPR) - це загальний регламент ЄС, який встановлює вимоги, щодо захисту конфіденційності фізичних осіб в ЄС шляхом встановлення правил щодо того, як їхні персональні дані можуть збиратися, оброблятися та зберігатися компаніями та організаціями.
Важливо визначити чи компанія підпадає під дію GDPR, оскільки компаніям, які не дотримуються його норм, можуть загрожувати значні штрафи та інші санкції.
Відповідно до статті 3 GDPR його норми застосовується до обробки персональних даних фізичних осіб, які перебувають на території Європейського Союзу (ЄС), а також до компаній, які обробляють персональні дані фізичних осіб на території ЄС, незалежно від того, де компанія базується.
Іншими словами, GDPR застосовується до будь-якої компанії, яка:
1) зареєстрована або розташована в ЄС.
В такому випадку місце зберігання та обробки персональних даних, які збирає компанія не має значення. При цьому навіть, якщо в ЄС розташована філія або представництво іноземної компанії без статусу юридичної особи і вони здійснюють обробку персональних даних громадян та резидентів ЄС, компанія може розглядатись як така, що розташована на території ЄС.
2) пропонує послуги чи товари особам на території ЄС.
Пропозицією може вважатись використання мови однієї з держав-членів ЄС в одній з версій сайту компанії, вказування цін на товари або послуги у валюті держави-члена ЄС або ж використання національних доменів однієї або з держав-членів ЄС.
Наприклад, одна з версій сайту українського інтернет-магазину зоотоварів представлена італійською мовою та ціни на товари вказані в євро вважається пропозицією товарів особам на території ЄС.
3) відстежує поведінку осіб в ЄС.
Одним з найбільш поширених прикладів відстежування є використання файлів cookie для аналітики або реклами на сайті. Переважно зазначена норма стосується компаній, які пропонують свої товари, або послуги споживачам в ЄС. Однак, компанія, яка не орієнтована на споживачів з ЄС, але може збирати їх персональні дані на своєму сайті, технічно може бути притягнута до відповідальності за порушення норм GDPR.
Отже, GDPR має екстратериторіальну дію і якщо українська компанія базується за межами ЄС, але пропонує послуги чи товари або обробляє персональні дані фізичних осіб-резидентів ЄС, то застосування нею норм GDPR у своїй діяльності є обов’язковим.