ru uk en
LIFE SCIENCES LAWYERS | UKRAINE & CIS
Menu

ПРАВОВИЙ АЛЬЯНС — юридична компанія, що супроводжує бізнес-інтереси національних, іноземних і міжнародних компаній на території України та ряду країн СНД.

НАШІ КЛІЄНТИ представляють індустрії фармацевтики, медичних виробів, товарів народного споживання, медицини, косметики, парафармацевтики, хімії, біотехнології, сільського господарства та продуктів харчування.

ПРОВІДНІ АСОЦІАЦІЇ — AIPM Ukraine, APRaD та Комітет з охорони здоров'я Європейської Бізнес Асоціації обрали Правовий Альянс своїм юридичним радником.

​Нові уточнення щодо територіальної сфери дії GDPR: що варто врахувати українським фармкомпаніям і їх представництвам

12 листопада 2019 року Європейська рада із захисту даних (European Data Protection Board) опублікувала четверту, оновлену редакцію Керівництва 3/2018 щодо територіальної сфери дії Загального регламенту про захист даних (GDPR), прийняту після консультацій із громадськістю. Як і у попередніх редакціях, акцент робиться на практичне застосування двох критеріїв поширення дії GDPR на контролера або оператора: діяльності осідку у ЄС та таргетингу (цільової спрямованості діяльності).

Критерій діяльність осідку у ЄС

У контексті діяльності осідку контролера або оператора в ЄС рекомендується застосовувати трикроковий тест:

1. Наявність осідку у ЄС, до якого прирівнюється здійснення ефективної та реальної діяльності через стабільне утворення незалежно від його правової форми (філія, офіс, відділення). Зокрема, навіть наявність одного працівника у ЄС, якщо він виконує свої функції протягом певного часу та стабільно, достатньо для визнання наявності осідку у ЄС;

Наприклад, фармацевтична компанія, зареєстрована у Австралії, має представництво у Берліні, що займається усією діяльністю, включно із просуванням лікарських засобів у ЄС.

2. Обробка персональних даних здійснюється у контексті діяльності такого осідку. Важливе значення тут мають отримання прибутків у ЄС, а також відносини контролера або оператора поза ЄС із його осідком у ЄС. Якщо буде встановлено нерозривний зв'язок між обробкою персональних даних контролера або оператора не з ЄС та діяльністю осідку у ЄС, на такого контролера або оператора буде поширюватись GDPR.

Наприклад, GDPR саме за цим критерієм не буде поширюватись на косметичну компанію, яка працює через свій веб-сайт, доступний різними мовами ЄС, якщо у неї немає офісу, представництва чи іншого стабільного утворення у ЄС.

3. Обробка персональних даних здійснюється у контексті діяльності такого осідку незалежно від того чи самі персональні дані обробляються на території ЄС.

Наприклад, персональні дані, пов’язані із клінічними випробуваннями фармацевтичної компанії, зареєстрованої у Франції, обробляються у японській філії такої компанії.

Якщо ці кроки застосовні, то GDPR поширюється на відповідного контролера або оператора.

Таргетинг (цільової спрямованості діяльності) контролера або оператора

У випадку відсутності осідку у ЄС до юридичних осіб може застосовуватись GDPR через його екстратериторіальну дію. У такому випадку застосовується критерій таргетингу (цільової спрямованості діяльності) контролера або оператора.

Цільова спрямованість діяльності визначається за двома чинниками:

1. Перебування суб’єктів персональних даних у ЄС (при цьому вони не обов’язково мають бути громадянами будь-якої з країн-членів ЄС).

2. Пропозиція реалізації продукції, надання послуг або моніторинг діяльності таких суб’єктів персональних даних.

Щоб зрозуміти чи поширюється критерій таргетингу на вашу компанію потрібно відповісти на такі запитання:

  • Чи пропонується доставка продукції, надання послуг у будь-яку з країн-членів ЄС?
  • Чи доступна версія веб-сайту мовами ЄС?
  • Чи доступна згадана на веб-сайті адреси чи номеру телефону із будь-якої з країн-членів ЄС?
  • Чи використовується для веб-сайту доменне ім’я верхнього рівня із будь-якої з країн-членів ЄС чи ЄС?
  • Чи наявна оплата за продукцію/послуги в євро або одній з валют ЄС?
  • Чи зазначається будь-яка з країн-членів ЄС поряд із назвою про продукції/послуги?
  • Чи здійснюється оплата за оператора пошукової системи, з метою полегшення доступу до веб-сайту споживачам у ЄС?
  • Чи проводяться будь-які маркетингові активності, рекламні кампанії, спрямовані на споживачів у ЄС?
  • Чи має діяльність міжнародний характер (наприклад, туризм)?
  • Чи наявні інструкції яким чином краще дістатись до місця надання послуги із будь-якої з країн-членів ЄС (наприклад, у лікарню)?
  • Чи існують на веб-сайті згадки про закордонних клієнтів із різноманітних країн-членів ЄС або надані ними рекомендації?

Наслідки недотримання вимог GDPR для компаній

GDPR виділяє 2 категорії сум адміністративних штрафів, які можуть накласти наглядові органи ЄС за порушення GDPR:

1. До 10 млн євро або, у випадку підприємства, до 2% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

  • щодо умов згоди дитини на веб-сайтах згідно із статтею 8 GDPR;
  • обробки даних, що не вимагає ідентифікації згідно із статтею 11 GDPR;
  • загальних обов’язків контролера і оператора, у т.ч. порушення принципу «захист даних за призначенням і за замовчуванням», безпеки персональних даних згідно із статтями 25–39 GDPR;
  • сертифікації згідно із статтею 42 GDPR;
  • органів сертифікації згідно із статтею 43 GDPR.

2. До 20 млн євро або, у випадку підприємства, до 4 % від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

  • основних принципів обробки персональних даних відповідно до статті 5 GDPR;
  • законності обробки персональних даних відповідно до статті 6 GDPR;
  • умов надання згоди відповідно до статті 7 GDPR;
  • обробки спеціальних категорій персональних даних відповідно до статті 9 GDPR;
  • порушення прав суб’єктів даних відповідно до статей 12–22 GDPR;
  • порушення порядку передачі персональних даних до одержувача в третій країні чи до міжнародної організації відповідно до статей 44–49 GDPR;
  • порушення будь-яких обов’язків відповідно до закону держави-члена ЄС, на розширення вимог GDPR;
  • невідповідність постанові або тимчасовому чи остаточному обмеженню на опрацювання чи призупинення потоків даних наглядового органу ЄС відповідно до статті 58(2) GDPR або ненадання доступу як порушення статті 58(1) GDPR.
З усіх питань щодо необхідності імплементації вимог GDPR до діяльності Вашої компанії просимо звертатися до партнера Олексія Бежевця bezhevets@l-a.com.ua.
1353

Якщо Ви помітили помилку, будь ласка, виділіть та натисніть Ctrl+Enter, щоб повідомити про неї