Чи застосовується GDPR до мене

За Одією Каган

товари послуги
Чи застосовується до мене Загальний регламент ЄС про захист даних (GDPR)? Лідери багатьох американських компаній борються з цим самим питанням з моменту набуття чинності GDPR 25 травня 2018 року.

Щоб переглянути або завантажити PDF цієї статті, клацніть на зображення праворуч.

GDPR спрямований на захист цілісності та конфіденційності даних, що ідентифікують осіб, шляхом підвищення прозорості, підвищення точності, обмеження збору та надання людям розширених прав щодо своїх даних. Він також передбачає значні штрафи за порушення.

Намагаючись пояснити, до кого застосовується закон, Європейська рада з питань захисту даних (EDPB) видала вказівки щодо територіального обсягу GDPR.

Що вони кажуть? З одного боку, навіть суб'єкти господарювання, які не мають фізичної присутності (або "установи") в ЄС, можуть підпадати під дію деяких положень GDPR, якщо вони пропонують товари або послуги споживачам в ЄС або "спрямовують" діяльність на ринок ЄС.

Ось ще кілька висновків із великими знімками:

1. На компанії, що мають "установу в Союзі", поширюються вимоги GDPR. Що це означає?

  • Очевидно, що фізичне місцезнаходження в ЄС - це установа, але вам не потрібно мати філію чи філію в країні-члені ЄС.
  • Будь-яка реальна та ефективна діяльність, навіть мінімальна, могла б задовольнити поняття "установа" для цілей юрисдикції статті 3 (1), навіть, в деяких випадках, наявність одного працівника.
  • Недостатньо лише наявності веб-сайту, доступного з Європи.

2. Якщо у вас є установа ЄС, яка обробка даних регулюється GDPR? Це залежить від того, чи здійснюється воно "в контексті діяльності (установи)?"

  • GDPR застосовуватиметься до обробки ваших даних, якщо існує нерозривне посилання між діяльністю вашого представництва в ЄС та обробкою даних як суб'єкта, що не входить до ЄС.
  • Якщо ні, як адміністратор даних, що не входить до ЄС, ви не будете підпадати під дію GDPR, якщо вирішите використовувати процесор обробки даних (постачальник послуг, що виконує вказівки контролера даних), розташований у Європейському Союзі.
  • Подібним чином, якщо ви є контролером даних, на який поширюється GDPR, і ви вирішили використовувати процесор, який знаходиться за межами Союзу і не підпадає під дію GDPR, вам все одно доведеться забезпечити за контрактом, що процесор обробляє ваші дані відповідно до GDPR.

3. Якщо ви визначите, що не маєте установи ЄС, ви звільнені? Ви все ще можете підпорядковуватися законодавству, якщо пропонуєте товари чи послуги приватним особам в ЄС, обробляєте дані або стежите за поведінкою людей у ​​ЄС, пов’язаними з цим бізнесом.