GDPR има по-широк обхват от законите, прилагащи Директивата GDPR, се прилага за организации, корпорации, фирми, които обработват лични данни и са установени в ЕС (независимо дали действат като администратор на данни или само обработват данни).

В някои случаи това ще се отнася и за организации, които обработват лични данни и са установени изключително извън ЕС. За прилагането на Правилата съществуват три ключови действия.

Тест за „установяване“!

Ако дадена организация има структура в ЕС и обработва лични данни, в контекста на дейностите на тази структура, то тя ще бъде предмет на GDPR. Няма значение къде се извършва обработката (т.е. в ЕС или не), както и независимо дали тази обработка е поета от трета страна (като например подизпълнител), или дали субектите на личните данни живеят или временно пребивават в ЕС. Този тест се фокусира върху наличието на "структура" в ЕС и, че обработката на данни се извършва "в контекста на дейностите" на тази структура. Понятието за „структура“ е широко интерпретирано от съдилищата и е за упражняване на реална и ефективна дейност чрез стабилни договорености, независимо от правната форма. Използването на местен представител, уебсайт и адрес могат да бъдат достатъчни.

„Стоки и услуги“ и тест за „наблюдение“!

Ако администраторът на данни или такъв, който обработва данни, не е установен в ЕС, GDPR ще се прилага и ако обработва данни за физически лица които са в ЕС, а обработката се отнася или:

- до предлагането на стоки или услуги на субектите на данни, които са в ЕС; или

- до наблюдение на тяхното поведение, когато това поведение се осъществява в ЕС.

Във всеки случай важно е местоположението на субекта на данни, а не тяхната националност. Защитата не следва гражданите на ЕС, ако пътуват.

Да бъдеш "предлагащ стоки и услуги", просто предлагайки достъп до уебсайт, до който може да се достигне от територията на ЕС, не е достатъчно. Администраторът или обработващият данни трябва по определен начин явно да представят предлагането на услуги на субектите на данни в една или повече държави-членки. Използването на местния език или валутата, която обикновено се използва в държавата от ЕС, или се споменават клиенти, намиращи се в ЕС, биха внушили (манипулирали), че тези стоки или услуги „се предлагат“ на живущите в ЕС чрез този сайт.

Организации, които нямат структури в ЕС, но които са обхванати от новите тестове за наблюдение, ще трябва да си назначат представител в една от съответните държави-членки.Такива организации ще трябва да установят своите действия, така че да достигнат спазване изискванията на GDPR.

Има три ключови действия за прилагането на регламента - едно познато и две нови!

Администратори на данни и обработващи (оператори) данни GDPR, за разлика от старата Директива, се прилага и за двете структури - Администратори на данни и обработващи данни (оператори на данни). Обаче, само ограничен брой разпоредби от GDPR се прилагат директно към обработващите данни. По-големият броят от разпоредбите имат непряко въздействие върху обработващите данни, тъй като администраторите на данни се стремят да прехвърлят или делегират отговорности от администратора към обработващия. Това ще се разгледа допълнително в раздел "Обработващи данни".

Обработка!

Както и при сега съществуващото законодателство, "обработката" се определя много широко и включва събиране, организиране, съхраняване, промяна, извличане, използване, разкриване, комбиниране и изтриване на лични данни данни, наред с други дейности.

Персонални (лични) данни

"Лични данни" са всяка информация, свързана с отъждествяване или идентифициране на едно физическо лице. Това може да става чрез посочване на един идентификатор като: име, личен идентификационен номер (ЕГН), данни за местоположението (адрес), мрежов идентификатор (е-mail, ІР адрес), или чрез специфични за отделната личност данни, като: физическа, генетична, икономическа или социална идентичност.

Въпреки че горното определение може да изглежда по-обширно от това в Директивата, включвайки конкретни елементи като онлайн идентификатори и генетична информация, то не е наистина ново.

Например: Съдът на ЕС (CJEU), прие на свое заседание през 2011 г. по делото Scarlet Extended, че от гледна точка на доставчика на интернет услуги (ISP), IP адресът е лична данна, а през 2016 г. в делото Патрик Брайър срещу Германия изясни, че дори динамичният IP адрес може да представлява лична данна, когато дадено дружество има законно основание да получи допълнителна информация, която се съхранява от друга страна (като ISP), за да идентифицира лицето. Законовите актове за защита на личните данни в няколко държави-членки обхващат също така биометрични или генетични данни. Въпреки това, с директното включване на мрежовите идентификатори и генетичната информация в определението за личните данни, GDPR изяснява тази концепция и хармонизира различните национални подходи.

Изключения: GDPR не се прилага при определени обстоятелства, като обработка на информация за домашни дейности. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 3/7

Свързани с горните текстове членове и изложения от GDPR:

Член 3 Териториален обхват

1. Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не.

2. Настоящият регламент се прилага за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със:

a) предлагането на стоки или услуги на такива субекти на данни в Съюза, независимо дали от субекта на данни се изисква плащане; или

б) наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза.

3. Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но е установен на място, където се прилага правото на държава членка по силата на международното право.

Изложение (14) Защитата, предоставена с настоящия регламент, следва да се прилага за физическите лица, независимо от тяхното гражданство или местопребиваване, във връзка с обработването на техните лични данни. Настоящият регламент не обхваща обработването на лични данни, които засягат юридически лица, и по-специално предприятия, установени като юридически лица, включително наименованието и правната форма на юридическото лице и данните за връзка на юридическото лице.

Изложение (22) Всякакъв вид обработване на лични данни в контекста на дейностите на мястото на установяване на администратор или на обработващ лични данни в Съюза следва да се извършва в съответствие с настоящия регламент, независимо от това дали самото обработване се извършва в рамките на Съюза. Установяването предполага ефективното и действителното упражняване на дейност по силата на стабилни договорености. Правната форма на тези договорености, независимо дали става въпрос за клон или дъщерно дружество с правосубектност, не е определящ фактор в това отношение.

Изложение (23) За да се гарантира, че физическите лица не са лишени от защитата, на която те имат право по силата на настоящия регламент, обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва да подлежи на разпоредбите на настоящия регламент в случаите, когато дейностите по обработване на данни са свързани с предлагането на стоки или услуги на такива субекти на данни, независимо дали това е свързано с плащане. За да се установи дали този администратор или обработващ лични данни предлага стоки или услуги на субекти на данни, които се намират в Съюза, следва да бъде уточнено дали е очевидно, че администраторът или обработващият данни възнамерява да предлага услуги на субекти на данни в една или повече държави членки в Съюза. Като се има предвид, че само достъпността на уебсайт на посредник в Съюза, на администратора или обработващия данни, на електронен адрес или на други данни за контакт или използването на език, който по правило се използва в третата държава, където е установен администраторът, са недостатъчни за удостоверяване на такова намерение, фактори като използването на език или парична единица, които по правило се използват в една или повече държави членки, наред с възможността за поръчване на стоки и услуги на този друг език или споменаването на потребители или ползватели, които се намират в Съюза, могат да свидетелстват за това, че администраторът възнамерява да предлага стоки или услуги на субекти на данни в Съюза.

Изложение (24) Обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, следва също да се урежда от настоящия регламент, когато е свързано с наблюдението на поведението на такива субекти на данни, доколкото по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 4/7 тяхното поведение се проявява в рамките на Съюза. С цел да се определи дали дадена дейност по обработване може да се смята за наблюдение на поведението на субектите на данни, следва да се установи дали физическите лица се следят в интернет, включително да се установи евентуално последващо използване на техники за обработване на лични данни, които се състоят в профилиране на дадено физическо лице, по-специално с цел да се вземат отнасящи се до него решения или да се анализират или предвиждат неговите лични предпочитания, поведение и начин на мислене.

Изложение (25) Когато правото на дадена държава членка се прилага по силата на международното публично право, настоящият регламент следва да се прилага и спрямо администратор, който не е установен в Съюза, например ако е установен в дипломатическа мисия или консулска служба на държава членка.

Член 4 Определения,

За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

3)„ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

4) „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

5) „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

6) „регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

8) „обработващ лични данни“ (оператор на данни) означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора; по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 5/7

9) „получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

10) „трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

11) „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

12) „нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

13) „генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

14) „биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

15) „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

16) „основно място на установяване“ означава:

a) по отношение на администратор, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, освен в случаите, когато решенията по отношение на целите и средствата за обработването на лични данни се вземат на друго място на установяване на администратора в Съюза и на това място на установяване има правомощия за прилагане на тези решения, в който случай мястото на установяване, където са взети тези решения, се счита за основно място на установяване;

б) по отношение на обработващ лични данни, установен в повече от една държава членка — мястото, където се намира централното му управление в Съюза, или ако обработващият лични данни няма централно управление в Съюза, мястото на установяване на обработващия лични данни в Съюза, където се осъществяват основните дейности по обработването в контекста на дейностите на дадено място на установяване на обработващия лични данни, доколкото обработващият има специфични задължения съгласно настоящия регламент;

17) „представител“ означава физическо или юридическо лице, установено в Съюза, което, назначено от администратора или обработващия лични данни в писмена форма съгласно член 27, представлява администратора или обработващия лични данни във връзка със съответните им задължения по настоящия регламент; по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 6/7

18) „дружество“ означава физическо или юридическо лице, което осъществява икономическа дейност, независимо от правната му форма, включително партньорствата или сдруженията, които редовно осъществяват икономическа дейност;

19) „група предприятия“ означава контролиращо предприятие и контролираните от него предприятия;

20) „задължителни фирмени правила“ означава политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, при предаване или съвкупност от предавания на лични данни до администратор или обработващ лични данни в една или повече трети държави в рамките на група предприятия или група дружества, участващи в съвместна стопанска дейност;

21) „надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

22) „засегнат надзорен орган“ означава надзорен орган, който е засегнат от обработването на лични данни, тъй като:

a) администраторът или обработващият лични данни е установен на територията на държавата членка на този надзорен орган;

б) субектите на данни с местопребиваване в държавата членка на този надзорен орган са засегнати съществено или е вероятно да бъдат засегнати съществено от обработването; или

в) до този надзорен орган е подадена жалба;

23) „трансгранично обработване“ означава или:

a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или

б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка;

24) „относимо и обосновано възражение“ означава възражение срещу проект на решение относно това дали е налице нарушение на настоящия регламент или не, или дали предвижданото действие по отношение на администратора или обработващия лични данни отговаря на изискванията на настоящия регламент, което ясно доказва, че проектът за решение води до значителни рискове за основните права и свободи на субектите на данни и, където е приложимо, за свободното движение на лични данни в рамките на Съюза;

25) „услуга на информационното общество“ означава услуга по смисъла на член 1, параграф 1, точка б) от Директива (ЕС) 2015/1535 на Европейския парламент и на Съвета (1);

26) „международна организация“ означава организация и нейните подчинени органи, регламентирани от международното публично право, или друг орган, създаден чрез или въз основа на споразумение между две или повече държави.

Изложение (26) Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най- вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се установи дали има достатъчна вероятност по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 7/7 дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат наличните към момента на обработване на данните технологии и технологичните развития. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася за обработването на такава анонимна информация, включително за статистически или изследователски цели.

Изложение (27) Настоящият регламент не следва да се прилага за личните данни на починали лица. Държавите членки могат да предвидят правила във връзка с обработването на лични данни на починали лица.

Изложение (30) Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране.

Въздействие  или какво трябва да се направи!

- За организации извън ЕС, определете дали има обстоятелства, при които новите "стоки и услуги" или теста за "мониторинг" могат да се приложат. Ако тези организации са установени, обмислете структурни решения (например: блокиране посещаването им в ЕС, или предотвратяване поставянето на "бисквитки" в устройствата на потребители в ЕС), за да се избегне прилагането на GDPR за предприятия извън ЕС, или като се разшири обхвата на мерките за съответствие на GDPR за фирми извън ЕС.

- Обработващите данни (операторите) трябва да са наясно как ще бъдат засегнати и да осъзнаят както новите си правни задължения, така и промените в техните взаимоотношения с администраторите.