Чи застосовується GDPR до мене?

За Одією Каган

товари послуги
Чи застосовується до мене Загальний регламент ЄС про захист даних (GDPR)? Лідери багатьох американських компаній борються з цим самим питанням з моменту набуття чинності GDPR 25 травня 2018 року.

Щоб переглянути або завантажити PDF цієї статті, клацніть на зображення праворуч.

GDPR спрямований на захист цілісності та конфіденційності даних, що ідентифікують осіб, шляхом підвищення прозорості, підвищення точності, обмеження збору та надання людям розширених прав щодо своїх даних. Він також передбачає значні штрафи за порушення.

Намагаючись пояснити, до кого застосовується закон, Європейська рада з питань захисту даних (EDPB) видала вказівки щодо територіального обсягу GDPR.

Що вони кажуть? З одного боку, навіть суб'єкти господарювання, які не мають фізичної присутності (або "установи") в ЄС, можуть підпадати під дію деяких положень GDPR, якщо вони пропонують товари або послуги споживачам в ЄС або "спрямовують" діяльність на ринок ЄС.

Ось ще кілька висновків із великими знімками:

1. На компанії, що мають "установу в Союзі", поширюються вимоги GDPR. Що це означає?

  • Очевидно, що фізичне місцезнаходження в ЄС - це установа, але вам не потрібно мати філію чи філію в країні-члені ЄС.
  • Будь-яка реальна та ефективна діяльність, навіть мінімальна, могла б задовольнити поняття "установа" для цілей юрисдикції статті 3 (1), навіть, в деяких випадках, наявність одного працівника.
  • Недостатньо лише наявності веб-сайту, доступного з Європи.

2. Якщо у вас є установа ЄС, яка обробка даних регулюється GDPR? Це залежить від того, чи здійснюється воно "в контексті діяльності (установи)?"

  • GDPR застосовуватиметься до обробки ваших даних, якщо існує нерозривне посилання між діяльністю вашого представництва в ЄС та обробкою даних як суб'єкта, що не входить до ЄС.
  • Якщо ні, як адміністратор даних, що не входить до ЄС, ви не будете підпадати під дію GDPR, якщо вирішите використовувати процесор обробки даних (постачальник послуг, що виконує вказівки контролера даних), розташований у Європейському Союзі.
  • Подібним чином, якщо ви є контролером даних, на який поширюється GDPR, і ви вирішили використовувати процесор, який знаходиться за межами Союзу і не підпадає під дію GDPR, вам все одно доведеться забезпечити за контрактом, що процесор обробляє ваші дані відповідно до GDPR.

3. Якщо ви визначите, що не маєте установи ЄС, ви звільнені? Ви все ще можете підпорядковуватися законодавству, якщо пропонуєте товари чи послуги приватним особам в ЄС, обробляєте дані або стежите за поведінкою людей у ​​ЄС, пов’язаними з цим бізнесом.

а) "У ЄС" означає фізичне розташування в ЄС на момент пропозиції товарів або послуг (або моніторингу поведінки, див. нижче). Фізичним особам не потрібно бути громадянами або резидентами ЄС.
b) Чи пов’язана ваша обробка даних з (1) пропозицією товарів чи послуг або (2) з моніторингом поведінки суб’єктів даних в ЄС.

(1) Що означає пропонувати товари чи послуги?

Щоб потрапити під дію GDPR, потрібно спробувати налагодити комерційні відносини зі споживачами в ЄС. Щоб визначити це, EDPB використовує концепцію "спрямування діяльності" на ринок ЄС. Отримання платежу за товари або послуги, однак, не вимагається. Деякі з цих видів діяльності можуть включати:

  • маркетингові та рекламні кампанії, спрямовані на аудиторію країн ЄС
  • із зазначенням спеціальних адрес або номерів телефонів, з якими можна зв’язатися з країни ЄС
  • використання доменного імені верхнього рівня ЄС або держави-члена
  • згадуючи клієнтів, які проживають у різних країнах-членах ЄС, включаючи відгуки клієнтів
  • використовуючи мову ЄС або валюту
  • пропозиція доставки товарів у країни-члени ЄС.

(2) Що означає «контролювати поведінку» людей у ​​ЄС?

  • Моніторинг може здійснюватися як в Інтернеті, так і за допомогою інших методів, що передбачають обробку персональних даних, наприклад, за допомогою носимих та інших розумних пристроїв.
  • Діяльність з моніторингу включає:
    • поведінкова реклама
    • діяльність з геолокалізації, зокрема з маркетинговою метою
    • Інтернет-відстеження за допомогою використання файлів cookie або інших методів відстеження, таких як відбитки пальців
    • персоналізовані послуги з аналізу дієти та здоров’я в Інтернеті
    • CCTV
    • опитування ринку та інші поведінкові дослідження на основі індивідуальних профілів
    • моніторинг або регулярне звітування про стан здоров’я людини


4. Якщо ви визначите, що підпадаєте під дію GDPR, чи потрібно вам призначити представника в ЄС?

Загалом, якщо ви не є контролером або процесором, який не входить до ЄС, і який підпадає під дію GDPR, вам потрібно призначити представника в Союзі. Місцеві представники можуть нести відповідальність за порушення юридичної особи, яка не входить до ЄС, і на них можуть застосовуватися адміністративні штрафи та штрафи.

Призначений представник повинен бути створений в одній з держав-членів, де знаходяться суб'єкти даних, чиї персональні дані обробляються щодо пропонування їм товарів чи послуг або поведінка яких контролюється.

Є деякі винятки. «Державні органи влади» звільняються, як і суб’єкти, для яких обробка даних є «випадковою» і «не включає в великому масштабі обробку спеціальних категорій даних… .або обробку персональних даних, що стосуються кримінальних засуджень та правопорушень…», і для яких така обробка "навряд чи призведе до ризику для прав і свобод фізичних осіб".

Одія Каган є головою з питань дотримання вимог GDPR та міжнародної конфіденційності, а також партнером фірми в галузі конфіденційності та безпеки даних, а також практик нових компаній та венчурного капіталу. З нею можна зв’язатися за номером 215.444.7313 або [електронною поштою захищено] .

Національну компанію, що розвивається, та кафедру практики венчурного капіталу Елізабет Сігеті можна отримати за телефоном [захищено електронною поштою] або 215.918.3554.