BDAR teritorinis taikymas

Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas ne tik ES įsisteigusiems ar ES veikiantiems vienetams (juridiniam ar, tam tikrais atvejais, fiziniam asmenims), tačiau gali būti taikomas ir kitiems vienetams. Čia pateiksime Europos duomenų apsaugos valdybos (EDAV) kelis išaiškinimo gairių Nr. 3/2018 punktus, aktualius vertinant BDAR taikymo ribas.

Teritorinis taikymas

BDAR 3 str. 1 d.

"BDAR taikomas [...], kai asmens duomenis ES tvarko duomenų valdytojo arba duomenų tvarkytojo buveinė, vykdydama savo veiklą, neatsižvelgiant į tai, ar duomenys tvarkomi Sąjungoje, ar ne"

BDAR nereikalauja, kad jo taikymui konkrečiam vienetui (juridiniam / fiziniam asmeniui), tvarkančiam asmens duomenis Europos Sąjungoje, tokio vieneto pagrindinė buveinė būtų ES. BDAR yra taikomas ir tais atvejais, kai ES yra vieneto filialas, atstovybė, dukterinė bendrovė, o taip pat ir tais atvejais, kai ES jo vardu veikia net ir mažiausias darinys, pavyzdžiui, vienas pastovus atstovas (darbuotojas, agentas), jei tokio atstovo atliekamas duomenų tvarkymas ES pasižymi stabilumu (angl. with a suficient degre of stability).

/ES vienetas tvarko asmens duomenis ne ES esančių asmenų/

Tuo atveju, jei ES įsiteigtos įmonės veikla yra nukreipta į rinką, esančią už ES ribų ir tvarko asmens duomenis tik tų asmenų, kurie gyvena ar lankosi toje teritorijoje (už Europos Sąjungos ribų), tokiai įmonei BDAR nuostatos yra taikomos.

/trečiosios valstybės vienetas pasitelkia duomenų tvarkytoju ES vienetą/

Jei trečiosios valstybės (pvz., Meksika) įmonė jos renkamų duomenų tvarkymui pasitelkia ES įsteigtą duomenų tvarkytoją, kuriam patiki savo klientų (esančių už ES ribų) duomenis ir jos veikla orientuota tik į Meksikos rinką, tuomet Meksikos įmonei BDAR nebūtų taikomas. Tuo tarpu duomenų tvarkytojui BDAR nuostatos vis tiek būtų taikomos.

Teritorinis taikymas užsienio vienetams

BDAR 3 str. 2 d.

BDAR taikomas asmens duomenų tvarkymui, kai ES esančių duomenų subjektų (žmonių) asmens duomenis tvarko ES neįsisteigęs duomenų valdytojas / tvarkytojas ir duomenų tvarkymo veikla yra susijusi su:

  • prekių / paslaugų siūlymu tokiems žmonėms Sąjungoje, nepaisant to, ar už šias prekes arba paslaugas duomenų subjektui reikia mokėti; arba
  • elgesio, kai jie veikia ES, stebėsena.

Šiame kontekste nuostatos dalis "ES esančių duomenų subjektų" reiškia bet kurį asmenį, kurio asmens duomenys yra tvarkomi, nepriklausomai nuo jo pilietybės, gyvenamosios vietos (en. residence) ar kitokio teisinio statuso.

Pavyzdys

JAV įsteigta bendrovė turi programėlę, kuri Romoje besilankantiems turistams pateikia miesto žemėlapį ir susijusias reklamas. Bendrovė turisto asmens duomenis tvarko, kai jis būdamas ES naudojasi programėle teikia jam paslaugas. Tokiu atveju BDAR tokiai JAV įmonei yra taikomas.

Duomenų tvarkymo veikla yra susijusi su prekių ir (ar) paslaugų siūlymu žmonėms (DS) ES, nepaisant to, ar už jas DS reikia mokėti

BDAR 3 str. 2 d. a punktas

Ketinimo užmegzti prekybos ryšius su ES teritorijoje esančiu žmogumi kriterijai

(paprastai keli kriterijai)

Pammer v Reederei Karl Schlüter GmbH & Co bei Hotel Alpenhof v Heller (ETT sprendimas C-585/08 ir C-144/09)
  • išlaidos, susijusios su nuorodos paieškos variklyje teikimo paslauga, suteikiančia galimybę asmenims, esantiems ES, lengviau pasiekti duomenų valdytojo (tvarkytojo), nesant ES teritorijoje, interneto svetainę arba duomenų valdytojas (tvarkytojas) savo užsako prekių ir (ar) paslaugų reklamą ES valstybės auditorijai;
  • tarptautinis veiklos pobūdis (pavyzdžiui, turizmo paslaugos arba maršrutų iš ES į trečiąją valstybę, kur įsisteigęs prekybininkas, pateikimas);
  • Atskiro telefono numerio ar adreso, skirto asmenims iš ES susisiekti su duomenų valdytoju, pateikimas;
  • Domeno, naudojamo ES pasirinkimas, pavyzdžiui, .de ar .eu
  • kitos kalbos ir valiutos nei paprastai vartojama ir naudojama trečiojoje valstybėje, kur įsisteigęs prekybininkas, vartojimas ir naudojimas su galimybe pateikti užsakymą ir jį patvirtinti šia kita kalba;
  • Duomenų valdytojas siūlo jo prekių pristatymą į ES valstybę (valstybes).

Duomenų tvarkymo veikla yra susijusi su elgesio, kai žmonės (duomenų subjektai) veikia ES, stebėsena

BDAR 3 str. 2 d. b punktas

Elgesio stebėsena:

  • Duomenų subjektas, kurio elgesio stebėsena yra vykdoma, yra Sąjungoje
  • Siekiama analizuoti / nuspėti asmens prioritetus, elgesį ir požiūrį

Elgesio stebėsenos pavyzdžiai:

  • Vartotojų elgsena grindžiama rinkodara (Behavioural advertisement)
  • Stebėsenos vykdymas, naudojant slapukus ar kitokias stebėsenos technologijas
  • Vaizdo stebėjimas (CCTV)
  • Individualiais asmenų profiliais paremti rinkos tyrimai ar kitos elgesio studijos
  • Asmenų sveikatos būklės stebėsena ar reguliarių ataskaitų teikimas (Monitoring or regular reporting on an individual’s health status)

Duomenų valdytojas yra įsisteigęs ten, kur pagal viešąją tarptautinę teisę taikoma ES narės teisė

BDAR 3 str. 3 d.

BDAR nuostatos šiuo atveju taikomos tuomet, kai duomenis tvarko ES narės ambasada ar konsulatai trečiojoje valstybėje.

Tai reiškia, kad ambasadoms ir (ar) konsulatams galioja tiek BDAR numatytos nuostatos, susijusios su duomenų subjektų teisių įgyvendinimo reikalavimais, o taip pat duomenų valdytojo ir (ar) tvarkytojo bendrosios pareigos, įskaitant ir susijusias su asmens duomenų perdavimu trečiosioms valstybėms ar tarptautinėms organizacijoms.