Територіальна сфера дії GDPR Ст. 3(1) GDPR This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
Організація заснована на території ЄС1?
Організація має заклади (establishment) – (представництва, філії, дочірні підприємства або співробітників ) в ЄС?
Ні
Так
Організація підпадає під дію Ст. 3(1) GDPR
Так
Організація має стійкі юридичні зв'язки2 (stable Так arrangements) із її закладами? Ні
Ні
Так
Організація або її заклади здійснюють Так практичну та реальну діяльність в ЄС?
Обробка ПД здійснюється3 за дорученням резидента ЄС або організація сама доручила обробку ПД резиденту ЄС?
Організація підпадає під дію Ст. 3(1) GDPR
Ні
Організація не підпадає під дію Ст. 3(1) GDPR
Ні
Ст. 3(2)GDPR This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
Суб’єкти ПД, дані яких обробляються, знаходяться на території ЄС?
data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law
Примітки:
1
Здійснюється пропозиція товарів чи послуг? Так
Ні
Ст. 3(3) GDPR This Regulation applies to the processing of personal
Так
Організація підпадає під дію Ст. 3(1) GDPR
Ні
Здійснюється моніторинг поведінки?
Ні
Організація не підпадає під дію Ст. 3(1) GDPR
Так
Організація підпадає під дію Ст. 3(1) GDPR
Якщо не застосовується Ст.3(3), то Організація не підпадає під дію GDPR
– територія держав-членів ЄС та Європейської асоціації вільної торгівлі (Ісландія, Ліхтенштейн, Норвегія), за винятком Швейцарії – наявність правовідносин, незалежно від їхньої форми (угоди, контракти, участь у статутному капіталі тощо) 3 – обробка ПД, яка здійснюється на підставі і у відповідності до наявних Договорів між Контролером та Процесором (Cjntroller-to-Processor Agreement), реалізовується в контексті практичної та реальної діяльності організації, що є Контролером або Процесором, на території ЄС. Вимоги GDPRзастосовуються окремо для кожного факту отримання даних або отримання відповідного доручення на обробку даних 2