Европейският комитет за защита на данните (EDPB) публикува становището си по прилагането на член 3 от Регламент 2016/679/ ЕС след обществена консултация
EDPB публикува Насоки относно териториалния обхват на GDPR. Общественото обсъждане на текста се проведе от 23 ноември 2018 г. до 18 януари 2019 г. и той беше актуализиран, като се взеха предвид получените коментари и предложения. EDPB подчертава, че прилагането на член 3 има за цел да определи дали определена дейност по обработка, а не лице (юридическо или физическо), попада в обхвата на GDPR.
Следователно определено обработване на лични данни от администратор или обработващ може да попадне в обхвата на регламента, докато друга обработка на лични данни от същия този администратор или обработващ може да остане извън неговото поле и това зависи от дейностите по обработване, пише в насоките.
Според Регламент 2016/679/ ЕС:
Член 3
Териториален обхват
1.Настоящият регламент се прилага за обработването на лични данни в контекста на дейностите на дадено място на установяване на администратор или обработващ лични данни в Съюза, независимо дали обработването се извършва в Съюза или не.
2.Настоящият регламент се прилага за обработването на лични данни на субекти на данни, които се намират в Съюза, от администратор или обработващ лични данни, който не е установен в Съюза, когато дейностите по обработване на данни са свързани със:
a) предлагането на стоки или услуги на такива субекти на данни в Съюза, независимо дали от субекта на данни се изисква плащане; или
б) наблюдението на тяхното поведение, доколкото това поведение се проявява в рамките на Съюза.
3.Настоящият регламент се прилага за обработването на лични данни от администратор, който не е установен в Съюза, но е установен на място, където се прилага правото на държава членка по силата на международното право.
Насоките съдържат 25 конкретни примера, които илюстрират различните роли и задължения на администратори и обработващи лични данни.