О чём эта статья
Статья 3 определяет, когда GDPR применяется. Это ключевой вопрос: «попадает ли эта компания под GDPR».
3(1) — Контролёры и обработчики в ЕС
GDPR применяется к обработке персональных данных в контексте деятельности подразделения контролёра или обработчика в Союзе — независимо от того, происходит ли сама обработка в Союзе.
Даже если технически данные обрабатываются на серверах вне ЕС, наличие филиала в ЕС — достаточно.
3(2) — «Длинная рука GDPR»
GDPR применяется к обработке данных субъектов в Союзе контролёром или обработчиком не находящимся в Союзе, если обработка связана с:
(a) предложением товаров или услуг таким субъектам — независимо от того, требуется ли оплата;
(b) мониторингом их поведения, поскольку поведение происходит в Союзе.
Это значит: американская, китайская или любая другая компания, обрабатывающая данные европейцев, попадает под GDPR без какого-либо физического присутствия в ЕС.
3(3) — Применение национального права
GDPR применяется и там, где право государства-члена применяется в силу международного публичного права (посольства, корабли под флагом).
Почему это важно для аудита
Art. 3(2) — главный контраргумент против отказа DPA расследовать дела против американских компаний. Регулятор не может сказать «эта компания находится в США, мы её не достанем»: если она обрабатывает данные граждан ЕС — GDPR к ней применим напрямую.
См. также Art. 27 — обязанность таких компаний назначать представителя в ЕС.