GDPR მოქმედების ტერიტორიული სფერო
მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) ერთ-ერთი მნიშნველოვანი მახასიათებელია მისი ექსტრატერიტორიულობის პრინციპი, კერძოდ, კი მისი მე-3 მუხლი, რომლის თანახმადაც:
„რეგულაციის მოქმედება ვრცელდება პერსონალურ მონაცემთა დამუშავებაზე, რომელიც ხორციელდება ევროკავშირში არსებული მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის ორგანიზაციის (establishment) საქმიანობის კონტექსტში, მიუხედავად იმისა დამუშავება ხდება თუ არა ევროკავშირის ტერიტორიაზე“ (მუხლი 3.1.)
[რეგულაცია] ვრცელდება ... ევროკავშირის გარეთ არსებული/დაფუძნებული ორგანიზაციების მიერ მონაცემთა დამუშავებაზე, როდესაც ეს დამუშავება გულისხმობს: ა) ევროკავშირში მონაცემთა სუბიექტისთვის პროდუქტის ან სერვისის შეთავაზებას მიუხედავად იმისა სასყიდლიანია თუ არა შეთავაზებული პროდუქტი/მომსახურება ან
ბ) მისი ქცევის მონიტორინგს, თუ ქცევა ‘ხდება’ ევროკავშირის ტერიტორიაზე (მუხლი 3.2.)
ეს რეგულაცია ვრცელდება მონაცემთა დამუშავებაზე ისეთი მონაცემთა დამმუშავებლის მიერ, რომლებზეც რეგულაცია შეიძლება ვრცელდებოდეს საერთაშორისო საჯარო სამართლის ფარგლებში (მუხლი 3.3.)
იმის გასაგებად, თუ როგორ შეიძლება განიმარტოს აღნიშნული მე-3 მუხლი ევროპის მონაცემთა დაცვის საბჭოს (EDPB) გზამკვლევზე1 დაყრდნობით გთავაზობთ რეგულაციის მოქმედების ტერიტორიული სფეროს შემდეგ განმარტებას:
კონკრეტულად როგორია რეგულაციის მოქმედების ტერიტორიული ფარგლები?
EDPB-ის გზამკვლევის თანახმად, იმის დასადგენად, ექცევა თუ არა კონკრეტული დამუშავება GDPR-ის გავრცელების სფეროში, სამი ელემენტის დაკმაყოფილებაა საჭირო: 1. დაფუძნების ელემენტი/კრიტერიუმი 2. მიზნობრივი კრიტერიუმი და 3. საერთაშორისო საჯარო სამართლის კრიტერიუმი
1. დაფუძნების (establishment) კრიტერიუმი
„რეგულაციის მოქმედება ვრცელდება პერსონალურ მონაცემთა დამუშავებაზე, რომელიც ხორციელდება ევროკავშირში არსებული მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის ორგანიზაციის (establishment) საქმიანობის კონტექსტში, მიუხედავად იმისა დამუშავება ხდება თუ არა ევროკავშირის ტერიტორიაზე“ (მუხლი 3.1.)
1 https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_3_2018_territorial_scope_en.pdf
ორგანიზაციის (მონაცემთა დამმუშვებლის ან უფლებამოსილი პირის) მდებარეობა/დაფუძნება (establishment) ევროკავშირის ტერიტორიაზე ერთ-ერთი განმსაზღვრელი კრიტერიუმია პერსონალურ მონაცემთა დამუშავებაზე GDPR-ის გასავრცელებლად. თუმცა განსასაზღვრია, რა უნდა ჩაითვალოს ორგანიზაციის ევროკავშირში მდებარეობად მაშინ, როცა მისი ძირითადი სამყოფელი ევროკავშირის გარეთაა.
იმისათვის, რომ ორგანიზაციაზე ევროკავშირის კანონმდებლობა გავავრცელოთ, მას უნდა ჰქონდეს ფილიალი, განყოფილება, ოფისი ან რამე სხვა, ნებისმიერი სახის, ქვედანაყოფი ევროკავშირის წევრ სახელმწიფოში. თუმცა მისი ევროკავშირში მდებარეობა თავისთავადვე საკმარისი არ არის. საჭიროა აღნიშნულ ფილიალს ჰქონდეს სტაბილური მოწყობა, ახორციელებდეს რეალურ და ეფექტურ საქმიანობას ევროკავშირის ტერიტორიაზე.
საბჭოს განმარტებით, GDPR-ის მე-3 (1) მუხლის დათქმა „მონაცემთა დამუშავება, არსებული მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის ორგანიზაციის საქმიანობის კონტექსტში“ უნდა განიმარტოს უშუალოდ საქმის სპეციფიკიდან გამომდინარე.
EDPB-ის რეკომენდაციით, ევროკავშირის არაწევრმა ორგანიზაციებმა უნდა შეაფასონ მათ მიერ მონაცემთა დამუშავების აქტივობები, უპირველესად დაადგინონ, მუშავდება თუ არა პერსონალური მონაცემები და შემდგომ დაადგინონ კავშირი ამ აქტივობასა და ევროკავშირში განხორციელებულ აქტივობას შორის, იქნება ეს პარტნიორი ორგანიზაციის, თუ მისი ფილიალის საქმიანობა. სწორედ ამ კავშირის შეფასების შედეგად შეიძლება განისაზღვროს, უნდა გავრცელდეს თუ არა ევროკავშირის რეგულაცია განსახილველ დამუშავებაზე.
მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის ფაქტორი ტერიტორიული გავრცელების კუთხით
მიუხედავად იმისა, რომ მონაცემთა დამმუშავებლის ან უფლებამოსილი პირისა და დაკავშირებული ორგანიზაციის ურთიერთმიმართების განსაზღვრისთვის გეოგრაფიულ მდებარეობას არ აქვს არსებითი მნიშვნელობა, EDPB-ის მიაჩნია, რომ როცა საქმე ეხება GDPR- ის გავრცელებიდან გამომდინარე ვალდებულებების დადგენას, ყოველი აქტორის მიერ დამუშავება ერთმანეთისგან დამოუკიდებლად უნდა იყოს განხილული.
ა) მონაცემთა დამმუშავებელი ევროკავშირის წევრია, ხოლო უფლებამოსილი პირი - არა
ასეთ შემთხვევაში, მიუხედავად იმისა, რომ ფორმალურად პირდაპირ GDPR არ ვრცელდება უფლებამოსილ პირზე, მონაცემთა დამმუშავებელს ეკისრება მონაცემთა დაცვასთან დაკავშირებული ვალდებულებები, შესაბამისად, მონაცემთა დამმუშავებელსა და უფლებამოსილ პირს შორის დადებული შეთანხმება უნდა შეესაბამებოდეს ევროკავშირის რეგულაციას.
ბ) უფლებამოსილი პირი ევროკავშირის წევრია, ხოლო მონაცემთა დამმუშავებელი - არა ევროკავშირის არაწევრი მონაცემთა დამმუშავებელი ავტომატურად არ ექცევა GDPR-ის
მოქმედების ფარგლებში მხოლოდ იმის გამო, რომ მან კონტრაქტორად აირჩია უფლებამოსილი პირი ევროკავშირის წევრი ქვეყნიდან. თუმცა, რეგულაციის მიზნებიდან გამომდინარე, შესძლოა, თავად უფლებამოსილ პირზე გავრცელდეს ის ვალდებულებები, რასაც GDPR ითვალისწინებს მონაცემთა დამმუშავებლისათვის.
2. მიზნობრივი კრიტერიუმი
[რეგულაცია] ვრცელდება ... ევროკავშირის გარეთ არსებული/დაფუძნებული ორგანიზაციების მიერ მონაცემთა დამუშავებაზე, როდესაც ეს დამუშავება გულისხმობს: ა) ევროკავშირში მონაცემთა სუბიექტისთვის პროდუქტის ან სერვისის შეთავაზებას მიუხედავად იმისა სასყიდლიანია თუ არა შეთავაზებული პროდუქტი/მომსახურება ან ბ) მისი ქცევის მონიტორინგს, თუ ქცევა ‘ხდება’ ევროკავშირის ტერიტორიაზე. (მუხლი
3.2.)
GDPR-ის მოქმედების ქვეშ შეიძლება მოხვდეს ნებისმიერი კომპანია, მიუხედავად მისი დაფუძნების ადგილისა და იმისა, აქვს თუ არა წარმომადგენლობა ევროკავშირის ტერიტორიაზე. საკითხის უკეთ გასაგებად მნიშვნელოვანია განვიხილოთ დებულების საკვანძო პირობები/ელემენტები:
ა) მონაცემთა სუბიექტი ევროკავშირში
მონაცემთა სუბიექტი, რომლის პერსონალურ მონაცემთა დამუშავებაზეც უნდა გავრცელდეს რეგულაცია, შეიძლება არ იყოს ევროკავშირის მოქალაქე, ამ შემთხვევაში განმსაზღვრელია მისი „ყოფნა“ ევროკავშირის ტერიტორიაზე.
თუმცა საინტერესოა, როგორ უნდა შეფასდეს ეს კრიტერიუმი მოკლევადიანი ‘ყოფნის’ შემთხვევაში? EDPB-ის აზრით, უნდა შეფასდეს ერთი მხრივ ის მომენტი, როცა დაიწყო მონაცემთა სუბიექტის ქცევის მონიტორინგი და, მეორე მხრივ, გაანალიზდეს სერვისი/მომსახურება გამიზნული იყო თუ არა ევროკავშირში ‘მყოფი’ პირებისათვის.
მაგალითად, თუ აშშ-ის მოქალაქე მოგზაურობს ევროპაში და იქ ყოფნის დროს გამოიყენებს აშშ-ის კომპანიის მობილურ აპლიკაციას, რომელიც ექსკლუზიურად გათვლილია ამერიკულ ბაზარზე, მოუხედავად იმისა, რომ თავისი შინაარსით ქმედება ‘ხდება’ ევროკავშირის ტერიტორიაზე, მონაცემთა ამგვარ დამუშავებაზე არ გავრცელდება GDPR.
უფრო მეტიც, უნდა აღინიშნოს, რომ ევროკავშირის მოქალაქეების ან რეზიდენტების
პერსონალური მონაცემების დამუშავება ევროკავშირის გარეთ, არ ექცევა GDPR-ის
გავრცელების სფეროში, თუ დამუშავება არ არის დაკავშირებული კონკრეტულ შეთავაზებასთან, ან ქცევის მონიტორინგთან, რომელიც მიმართულია ევროკავშირის მოქალაქეთა ან რეზიდენტთა მიმართ.
მაგალითად, თუ საქართველოში დაფუძნებული ბანკი მომსახურებას უწევს საქართველოში მყოფ გერმანიის მოქალაქეებს, ეს ბანკი მუშაობს მხოლოდ საქართველოში და მისი სერვისები
არ არის მიმართული ევროკავშირის ბაზრისკენ, მაშინ გერმანიის მოქალაქეთა პერსონალური მონაცემების დამუშავება არ მოექცევა GDPR-ის მოქმედების სფეროში.
ან
თუ შესაბამისი უფლებამოსილი ორგანოები საქართველოს საზღვრის კვეთისას ამუშავებენ
ევროკავშირის მოქალაქეთა პერსონალურ მონაცემებს, დამუშავება არ მოექცევა GDPR-ის მოქმედების სფეროში.
ბ) ევროკავშირში მონაცემთა სუბიექტისთვის პროდუქტის ან სერვისის შეთავაზება,
მიუხედავად იმისა სასყიდლიანი ეს სერვისი თუ არა - იმისთვის, რომ მონაცემთა დამუშავება კომპანიის მიერ მომსახურების/პროდუქტის შეთავაზებასთან დაკავშირებულად ჩაითვალოს, მნიშვნელოვანია სახეზე გვქონდეს ასეთი შეთავაზების განზრახვა. შეთავაზების განზრახვის არსებობა შესაძლებელია დადგინდეს შემდეგი კრიტერიუმებით: თუ კომპანიის საკონტაქტო ნომერი ‘ევროპულია’, ან კომპანია იყენებს ევროპულ დომენს, ან კომპანია იყენებს ევროკავშირის რომელიმე ქვეყნის ენას, ევროკავშირის ვალუტას, თუ მისი რეკლამა გამიზნულია ევროკავშირში არსებული მომხმარებლებისათვის.
ამ კრიტერიუმის დაკმაყოფილებისთვის მხოლოდ პროდუქტისა ან/და სერვისის შეთავაზება საკმარისი არ არის, ნათლად უნდა დგინდებოდეს, რომ ორგანიზაციის საქმიანობა გამიზნულია ევროკავშირში მონაცემთა სუბიექტისთვის.
მაგალითად, თუ ევროკავშირის არაწევრ ქვეყანაში არსებული ვებ-გვერდი ხელმისაწვდომია ევროპულ ენებზეც, გადახდა შესძლებელია ევროში და საფოსტო მიწოდება შესაძლებელია განხორციელდეს ევროკავშირის ტერიტორიაზე, ასეთი სერვისი ცალსახად ჩაითვლება GDPR-
ის მოქმედების ტერიტორიულ სფეროში.
მეორე მხრივ, თუ ევროკავშირის არაწევრს ქვეყანაში კომპანიაში მუშაობენ საფრანგეთისა და იტალიის მოქალაქეები, შრომითი ურთიერთობის მიზნებისთვის მათი პერსონალური მონაცმეების დამუშავება არ ჩაითვლება ამ კრიტერიუმის დაკმაყოფილებად.
გ) მონაცემთა სუბიექტის ქცევის მონიტორინგი
მონიტორინგი გულისხმობს თვალყურის დევნებას (tracking) ონლაინ სივრცეში პირის პროფილის შესაქმნელად, რომელიც გამოიყენება მისი პრეფერენციების და მიდგომების გასაანალიზებლად და ქცევის პროგნოზირებისთვის.
ქცევის მონიტორინგი შეიძლება იყოს მრავალი სახის, მათ შორის ქცევაზე დაფუძნებული რეკლამა; ლოკაციაზე წვდომა ონლაინ მონიტორინგი ე.წ მზა ჩანაწერების („cookies”) ან სხვა
საშუალებით, პერსონალიზებული ფიტნეს, დიეტისა და ჯანმრთელობის ანალიტიკური სერვისები, ვიდეოთვალთვალი და ა.შ.
ამასთან, EDPB მიიჩნევს, რომ ევროკავშირში მყოფი ადამიანების პერსონალური მონაცემების ონლაინ შეგროვება და ანალიზი ავტომატურად ვერ დაკვალიფიცირდება „მონიტორინგად“. ამისათვის საჭიროა არსებობდეს მონაცემთა დამმუშავებლის შესაბამისი მიზანი და დამუშავებული მონაცემების გამოყენება კონკრეტული ქცევის ანალიზის ან პროფაილინგისათვის.
თუ ევროკავშირის გარეთ დაფუძნებული/არსებული მარკეტინგული კომპანია მომსახურებას უწევს საფრანგეთში არსებულ სავაჭრო ცენტრს და ამისთვის აანალიზებს სავაჭრო ცენტრის ტერიტორიაზე მომხმარებლის მოძრაობას მათი Wi-Fi-ს სიგნალისათვის თვალყურის დევნების საშუალებით, მონაცემთა ამგვარი დამუშავება მოექცევა რეგულაციის მოქმედების ფარგლებში.
3. საერთაშორისო საჯარო სამართლის გავრცელება
ეს რეგულაცია ვრცელდება მონაცემთა დამუშავებაზე ისეთი მონაცემთა დამმუშავებლის მიერ, რომლებზეც რეგულაცია შეიძლება ვრცელდებოდეს საერთაშორისო საჯარო სამართლის ფარგლებში (მუხლი 3.3.)
ასეთ მაგალითად შეიძლება განვიხილოთ დიპლომატიური წარმომადგენლობები, საკონსულო დაწესებულებები, ამა თუ იმ ქვეყნის დროშის ქვეშ მცურავი/მფრინავი ხომალდები და ა.შ.
აღნიშნულ დაწესებულებებზე GDPR ვრცელდება იმდენად, რამდენადაც საერთაშორისო საჯარო სამართლის ფარგლებში მათზე ვრცელდება იმ სახელმწიფოს იურისდიქცია, რომელსაც ისინი წარმოადგენენ, მიუხედავად მათი ფაქტობრივი ადგილსამყოფელისა.
მაგ. იტალიის რესპუბლიკაში საქართველოს საკონსულო დაწესებულების მიერ მონაცემთა დამუშავება, მიუხედავად იმისა, რომ მონაცემა სუბიექტები ‘იმყოფებიან’ ევროკავშირის ტერიტორიაზე, არ ჩაითვლება GDPR-ის ქვემდებარედ და მასზე გავრცელდება საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“.
სპეციალური წარმომადგნელობის საკითხი
მონაცემთა იმ დამმუშავებლებსა და უფლებამოსილ პირებს, რომლებიც არ არიან დაფუძნებული ევროკავშირის ტერიტორიაზე, მაგრამ მათზე ვრცელდება GDPR, უნდა ჰყავდეთ წარმომადგენელი ევროკავშირში.
წარმომადგენელთან დაკავშირებით საინტერესოა შემდეგი საკითხები:
ა) წარმომადგენლის დანიშვნა
მონაცემთა დამუშავებელმა/უფლებამოსილმა პირმა ევროკავშირის ტერიტორიაზე უნდა დანიშნოს წარმომადგენელი, რომელიც მისი სახელით იმოქმედებს მონაცემთა დაცვასთან დაკავშირებული ვალდებულებების კონტექსტში.
ევროკავშირში არსებული წარმომადგენლის თაობაზე ინფორმირებული უნდა იყოს მონაცემთა სუბიექტიც.
ბ) დანიშვნის ვალდებულებისგან გათავისუფლება
წარმომადგენლის დანიშნვნა არ არის სავალდებულო თუ მონაცემთა დამმუშავებელი სახელმწიფო ორგანოა ან მონაცემთა დამუშავება მონაცემთა დამუშავება ხორციელდება პერიოდულად, არ ხორციელდება ფართო მასშტაბით, არ მოიცავს განსაკუთრებული კატეგორიის მონაცემთა დიდი მოცულობით დამუშავებას, ან ნასამართლობასთან და დანაშაულის ჩადენასთან დაკავშირებული მონაცემების დამუშავებას და ამასთან, დამუშავების ხასიათის, კონტექსტის, მასშტაბისა და მიზნების გათვალისწინებით, ნაკლებად წარმოშობს ფიზიკური პირების უფლებებისა და თავისუფლებების დარღვევის რისკს.
გ) წარმომადგენლის დანიშვნის ადგილი
წარმომადგენელი უნდა დაინიშნოს ევროკავშირის წევრ ისეთ ერთ-ერთ ქვეყანაში, სადაც არიან მონაცემთა სუბიექტები, რომელთა მონაცემების მუშავდება. წარმომადგენლის დანიშვნისას სასურველია მხედველობაში იქნას მიღებული მონაცემთა დამუშავების ძირითადი ადგილი/ქვეყანა. წარმომადგენელი ადვილად ხელმისაწვდომი უნდა იყოს სხვა ქვეყნებში მყოფი მონაცემთა სუბიექტებისთვისაც.
დ) წარმომადგენლის უფლებამოსილებები
ევროკავშირში წარმომადგენელი მოქმედებს მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის სახელით GDPR-ით გათვალისწინებული უფლებებისა და მოვალეობების ფარგლებში. წარმომადგენლის ვალდებულებები განსაკუთრებით მნიშვნელოვანია მონაცემთა სუბიექტის უფლებების რეალიზების თვალსაზრისით. წარმომადგენელი თავად არ არის პასუხისმგებელი მონაცემთა სუბიექტის უფლებათა დაცვაზე, მისი ფუნქციაა კომუნიკაციის წარმოება ისე, რომ სუბიექტის უფლებები ეფექტიანად იყოს დაცული.
წარმომადგენლის დანიშვნისას გათვალისწინებული უნდა იყოს მისი მონაცემთა სუბიექტებისათვის ხელმისაწვდომობის საკითხი, მათ შორის ენობრივი ბარიერის თვალსაზრისითაც. წარმომადგენლის დანიშვნის ვალდებულება სწორედ სუბიექტის უფლებების რეალიზების მიზნიდან გამომდინარეობს.