Материальная сфера действия GDPR Екатерина В 21 июля, 2022

Материальная сфера действия GDPR

GDPR Roadmap

Обучение и сопровождение рабочей группы (проектной команды) по внедрению GDPR по ISO 27701.

GDPR compliance

Мы уже не раз говорили о территории действия GDPR. Время затронуть тему материальной сферы действия, которой посвящена 2 статья Регламента. Если территориальная сфера действия отвечает на вопрос «где действуют правила Регламента», то материальная – «на что распространяются требования».

Во 2 статье GDPR не проводятся различия между “частными” и “публичными” контролерами и процессорами, соответственно, правила применяются как к государственным органам и институтам, так и к физическим и юридическим лицам, не связанным с осуществлением государственных функций.

По общему правилу, GDPR применяется, когда:

  • Обработка персональных данных осуществляется полностью или частично с помощью автоматизированных средств.
  • Проводится неавтоматизированная обработка персональных данных, формирующих часть системы данных либо предназначающихся стать их частью.

Что подразумевается под автоматизацией в GDPR?

Термин «автоматизированные средства» не определен в GDPR. Ориентируюсь на раздел книги Datenschutzrecht под редакцией С. Бринка, посвященный статье 2 GDPR, понятие интерпретируется широко и включает все процессы, в которых по крайней мере часть обработки данных осуществляется автоматически, с помощью определенной программы, без дальнейшего вмешательства человека. Исходя из Преамбулы 15 GDPR следует, что защита персональных данных должна оставаться технологически нейтральной и не зависит от используемых технологий. То есть, это обработка данных на любом “девайсе” – компьютере, планшете, смартфоне и т.д. Хотя этот термин, как правило, не вызывает трудностей в определении на практике, Суд ЕС все же рассматривал его применимость в некоторых решениях. Например, Суд установил, что проверка данных о трафике и местоположении, сверка данных с определенными параметрами является обработкой с помощью автоматизированных средств. Для распространения на обработку GDPR достаточно, чтобы она была частично автоматизированной. К примеру, это происходит, когда персональные данные вручную вводятся в цифровую базу данных.

информационная приватность

Нужно ли соблюдать GDPR, если хранить данные на бумаге?

Регламент также применяется к неавтоматизированной обработке персональных данных, формирующих часть системы данных. Система данных определяется в ст. 4(6) GDPR как упорядоченный набор персональных данных, доступных по определенным критериям, независимо от того, является ли этот набор централизованным, децентрализованным или распределенным функционально либо географически. То есть, если обработка проводится на “бумаге” придерживаться GDPR необходимо только в том случае, если данные организованы в соответствии со специальными критериями (то есть они формируют систему) и возможен быстрый поиск сведений о конкретном субъекте. Например, медицинские карточки пациентов в поликлиниках, разложенные по участкам и буквам алфавита. Исключение неструктурированной обработки персональных данных из сферы действия GDPR коррелирует с изначальной целью регулирования защитить данные от обработки данных компьютерами, которые позволили легко структурировать и искать персональные данные.

Кроме того, GDPR защищает и те данные, которые предназначены для того, чтобы стать частью системы данных. Соответственно, сбор такой информации будет представлять собой обработку, регулируемую GDPR (даже до того, как они будут организованы в систему).

хранение данных на бумаге

Концепция «системы данных» была рассмотрена Судом ЕС в деле Jehovah todistajat. В этом деле Суд должен был оценить законность запрета финского Управления по защите данных общине Свидетелей Иеговы собирать персональные данные в ходе обходов «от двери к двери».

Обработка персональных данных осуществлялась не автоматическими средствами, поэтому возник вопрос о том, являются ли обрабатываемые данные частью или предназначались для формирования системы данных. Суд последовал расширительной интерпретации термина, указав, что Директива (как сейчас GDPR) не устанавливает никаких конкретных требований в отношении структуры или формы системы данных. В частности, Директива не предусматривала, что «персональные данные должны содержаться в конкретных списках или перечнях, чтобы установить существование системы данных».

Суд пришел к выводу, что «система данных» сформирована, когда «данные структурированы в соответствии с конкретными критериями, которые на практике позволяют легко извлекать их для последующего использования.» В данном случае записи, созданные общиной, были собраны в качестве справочника и включали имя, фамилию и географическое положение, чтобы облегчить организации последующие посещения лиц, чьи данные попали в документ.

Материальная сфера действия ограничена вторым пунктом статьи 2 GDPR, где приводятся исключения, которые мы подробно рассмотрим в следующих публикациях.

Хотите всегда быть в курсе актуальных новостей, публикаций и мероприятий от Data Privacy Office? Подписывайтесь на наши социальные сети и e-mail-рассылку!

    2 комментария
    • Ответить
      3 августа, 2022, 11:39 дп

      Everything is very open with a really clear clarification of the issues. It was definitely informative. Your site is extremely helpful. Many thanks for sharing!

    • Ответить
      12 августа, 2022, 10:34 пп

      I would like to thank you for the efforts youve put in writing this blog. Im hoping to view the same high-grade content by you later on as well. In fact, your creative writing abilities has encouraged me to get my own, personal blog now 😉

    Write a comment
    Your email address will not be published. Required fields are marked *