August 9, 2025
2 min read
Аналіз територіальної сфери застосування Загального регламенту про захист даних (GDPR) показує, що його застосовність визначається переважно статтею 3 (Регламент (ЄС) 2016/679). Регламент застосовується не лише до організацій, заснованих у межах Європейського Союзу (ЄС), але й до тих, що знаходяться за межами ЄС за певних обставин. Висновки можна узагальнити таким чином:
Організації, засновані в ЄС:
Будь-яка організація з фізичною присутністю в ЄС, незалежно від місця обробки даних, підпадає під дію GDPR, якщо вона обробляє персональні дані осіб, які проживають в ЄС. Критерій «заснування» тлумачиться широко, охоплюючи дочірні компанії, філії та навіть представників, якщо існує стабільна домовленість.
Організації, не засновані в ЄС, але орієнтовані на ринок ЄС:
GDPR застосовується, коли організації, що не входять до ЄС, пропонують товари або послуги фізичним особам в ЄС. Ключовим є намір орієнтуватися на резидентів ЄС, а не просто доступність вебсайту чи онлайн-сервісу. Індикаторами є пропозиція місцевої мови/валюти або активна реклама для резидентів ЄС.
Моніторинг поведінки:
GDPR поширюється на організації за межами ЄС, якщо вони відстежують поведінку осіб у межах ЄС. Прикладами є відстеження файлів cookie, онлайн-профілювання, геолокаційні послуги та поведінкова реклама, що спеціально націлена на резидентів ЄС.
Екстериторіальна дія:
Екстериторіальність GDPR відрізняє його від попередніх режимів захисту даних. Його широка сфера застосування має на меті забезпечити захист даних резидентів ЄС незалежно від того, де відбувається обробка.
Ключові спостереження:
Таким чином, GDPR застосовується до широкого кола організацій — як у Європі, так і за її межами — залежно від їхньої взаємодії з персональними даними осіб у межах ЄС. Дизайн регламенту наголошує на всебічному охопленні для вирішення складнощів глобальних потоків даних.
