GDPR mi se aplică

De Odia Kagan

gdpr
Mi se aplică Regulamentul general privind protecția datelor din UE (GDPR)? Liderii multor companii din SUA s-au confruntat cu această întrebare chiar de când GDPR a intrat în vigoare pe 25 mai 2018.

Pentru a vizualiza sau descărca un PDF al acestui articol, faceți clic pe imaginea din dreapta.

GDPR își propune să protejeze integritatea și confidențialitatea datelor care identifică persoanele prin creșterea transparenței, îmbunătățirea preciziei, limitarea colectării și acordarea persoanelor drepturi extinse cu privire la datele lor. De asemenea, aplică amenzi semnificative pentru încălcări.

Într-un efort de a clarifica cui se aplică legea, Comitetul European pentru Protecția Datelor (EDPB) a emis orientări privind domeniul de aplicare teritorial al GDPR.

Ce spun ei? În primul rând, chiar și entitățile fără prezență fizică (sau „stabilire”) în UE pot fi supuse unor dispoziții GDPR dacă oferă produse sau servicii clienților din UE sau „direcționează” o activitate către piața UE.

Iată câteva alte variante de luat masa:

1. Companiile cu o „sediu în Uniune” sunt supuse cerințelor GDPR. Ce inseamna asta?

  • A avea o locație fizică în UE este în mod clar o unitate, dar nu este nevoie să aveți o sucursală sau o filială într-un stat membru al UE.
  • Orice activitate reală și eficientă, chiar și minimă, ar putea satisface noțiunea de „stabilire” în sensul articolului 3 (1) jurisdicție, chiar, în unele cazuri, prezența unui singur angajat.
  • Nu este suficient doar să ai un site accesibil din Europa.

2. Dacă aveți o unitate din UE, ce prelucrare a datelor este supusă GDPR? Asta depinde dacă se desfășoară „în contextul activităților (stabilirii)?”

  • GDPR se va aplica prelucrării datelor dvs. dacă există legătură inextricabilă între activitățile stabilirii dvs. din UE și prelucrarea datelor dvs. ca entitate din afara UE.
  • În caz contrar, în calitate de operator de date din afara UE, nu veți deveni supus GDPR dacă decideți să utilizați un procesator de date (un furnizor de servicii care îndeplinește instrucțiunile operatorului de date) situat în Uniunea Europeană.
  • În mod similar, dacă sunteți un operator de date care face obiectul GDPR și alegeți să utilizați un procesor care se află în afara Uniunii și care nu este supus GDPR, va trebui totuși să vă asigurați prin contract că procesatorul vă procesează datele în conformitate cu GDPR.

3. Dacă stabiliți că nu aveți o unitate din UE, sunteți scutiți? Este posibil să fiți încă supus legii dacă oferiți produse sau servicii persoanelor fizice din UE și prelucrați datele sau monitorizați comportamentul persoanelor din UE în legătură cu afacerea respectivă.