uk ru en
LIFE SCIENCES LAWYERS | UKRAINE & CIS
Menu

ПРАВОВОЙ АЛЬЯНС — юридическая компания, сопровождающая бизнес-интересы национальных, иностранных и международных компаний на территории Украины и ряда стран СНГ.

НАШИ КЛИЕНТЫ представляют индустрии фармацевтики, медицинских изделий, товаров народного потребления, медицины, косметики, парафармацевтики, химии, биотехнологии, сельского хозяйства и продуктов питания.

ВЕДУЩИЕ АССОЦИАЦИИ — AIPM Ukraine, APRaD и Комитет здравоохранения Европейской Бизнес Ассоциации избрали Правовой Альянс своим юридическим советником.

​Новые уточнения о территориальной сфере действия GDPR: что стоит учесть украинским фармкомпаниям и их представительствам

12 ноября 2019 года Европейский совет по защите данных (European Data Protection Board) опубликовал четвертую, обновленную редакцию Руководства 3/2018 относительно территориальной сферы действия Общего регламента о защите данных (GDPR), принятую после консультаций с общественностью. Как и в предыдущих редакциях, акцент делается на практическое применение двух критериев распространения действия GDPR на контролера или оператора: “места пребывания” (учреждения) в ЕС и таргетинга (целевой направленности деятельности).

Критерий “места пребывания” (учреждения) в ЕС контроллера или оператора

В контексте деятельности "учреждения" контроллера или оператора в ЕС рекомендуется применять трехшаговый тест:

1. Наличие “учреждения” в ЕС, к которому приравнивается осуществление эффективной и реальной деятельности через стабильное образование независимо от правовой формы (филиал, офис, отделение). В частности, даже наличие одного работника в ЕС, если он выполняет свои функции в течение определенного времени и стабильно, достаточно для признания наличия “места пребывания” в ЕС;

Например, фармацевтическая компания, зарегистрированная в Австралии, имеет представительство в Берлине, занимающейся всей деятельностью, включая продвижением лекарственных средств в ЕС.

2. Обработка персональных данных осуществляется в контексте деятельности такого “места пребывания”. Важное значение здесь имеют получения доходов в ЕС, а также отношения контроллера или оператора вне ЕС с его центром в ЕС. Если будет установлено неразрывную связь между обработкой персональных данных контроллера или оператора не с ЕС и деятельностью “места пребывания” в ЕС, на такого контроллера или оператора будет распространяться GDPR.

Например, GDPR именно по этому критерию не будет распространяться на косметическую компанию, которая работает через свой веб-сайт, доступный на разных языках ЕС, если у нее нет офиса, представительства или иного стабильного образования в ЕС.

3. Обработка персональных данных осуществляется в контексте деятельности такого “места пребывания” независимо от того или сами персональные данные обрабатываются на территории ЕС.

Например, персональные данные, связанные с клиническими испытаниями фармацевтической компании, зарегистрированной во Франции, обрабатываются в японском филиале такой компании.

Если эти шаги применимы, то GDPR распространяется на соответствующего контроллера или оператора.

Критерий “таргетинга” (целевой направленности деятельности) контроллера или оператора

В случае отсутствия “места пребывания” в ЕС, к юридическим лицам может применяться GDPR за его экстратерриториальный действие. В таком случае применяется критерий “таргетинга” (целевой направленности деятельности) контроллера или оператора.

Целевая направленности деятельности определяется двумя факторами:

1. Пребывания субъектов персональных данных в ЕС (при этом они не обязательно должны быть гражданами любой из стран-членов ЕС).

2. Предложение реализации продукции, оказания услуг или мониторинг деятельности таких субъектов персональных данных.

Чтобы понять распространяется ли критерий таргетинга на вашу компанию нужно ответить на следующие вопросы:

  • Предлагается ли доставка продукции, предоставление услуг в любую из стран-членов ЕС?
  • Доступна ли версия сайта на языках ЕС?
  • Доступно ли упоминание адреса или номера телефона с любой из стран-членов ЕС на веб-сайте?
  • Используется ли для веб-сайта доменное имя верхнего уровня с любой из стран-членов ЕС или ЕС?
  • Возможна ли оплата за продукцию / услуги в евро или одной из валют ЕС?
  • Указывается ли любая из стран-членов ЕС вместе с названием продукции / услуги?
  • Осуществляется ли оплата за оператора поисковой системы, с целью облегчения доступа к сайту потребителям в ЕС?
  • Проводятся ли любые маркетинговые активности, рекламные кампании, направленные на потребителей в ЕС?
  • Имеет ли деятельность международный характер (например, туризм)?
  • Имеются ли инструкции, каким образом лучше добраться до места предоставления услуги из любой из стран-членов ЕС (например, в больницу)?
  • Имеются ли на сайте упоминания о зарубежных клиентах из различных стран-членов ЕС или предоставленные ими рекомендации?

Последствия несоблюдения требований GDPR для компаний

GDPR выделяет 2 категории сумм административных штрафов, которые могут использовать надзорные органы ЕС за нарушение GDPR:

1. До 10 млн евро или, в случае предприятия, до 2% от общего глобального годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма выше, за следующие нарушения:

  • об условиях согласия ребенка на сайтах согласно статье 8 GDPR;
  • обработки данных, что не требует идентификации согласно статье 11 GDPR;
  • общих обязанностей контролера и оператора, в т.ч. нарушение принципа «защита данных по назначению и по умолчанию», безопасности персональных данных в соответствии со статьями 25-39 GDPR;
  • сертификации в соответствии со статьей 42 GDPR;
  • органов сертификации в соответствии со статьей 43 GDPR.

2. До 20 млн евро или, в случае предприятия, до 4% от общего глобального годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма выше, за следующие нарушения:

  • основных принципов обработки персональных данных в соответствии со статьей 5 GDPR;
  • законности обработки персональных данных в соответствии со статьей 6 GDPR;
  • условий предоставления согласия в соответствии со статьей 7 GDPR;
  • обработки специальных категорий персональных данных в соответствии со статьей 9 GDPR;
  • нарушения прав субъектов данных в соответствии со статьями 12-22 GDPR;
  • нарушения порядка предоставления персональных данных получателю в третьей стране или международной организации в соответствии со статьями 44-49 GDPR;
  • нарушения любых обязанностей в соответствии с законом государства-члена ЕС, на расширение требований GDPR;
  • несоответствия постановлению или временному или окончательному ограничению на обработку или приостановление потоков данных надзорного органа ЕС в соответствии со статьей 58 (2) GDPR или непредоставление доступа как нарушение статьи 58 (1) GDPR.

По всем вопросам о необходимости имплементации требований GDPR к деятельности Вашей компании просим обращаться к партнеру Алексею Бежевцу bezhevets@l-a.com.ua.

476

Если Вы заметили ошибку, пожалуйста, выделите ее и нажмите Ctrl+Enter, чтобы сообщить о ней