De Odia Kagan

gdpr
Mi se aplică Regulamentul general privind protecția datelor din UE (GDPR)? Liderii multor companii din SUA s-au confruntat cu această întrebare chiar de când GDPR a intrat în vigoare pe 25 mai 2018.

Pentru a vizualiza sau descărca un PDF al acestui articol, faceți clic pe imaginea din dreapta.

GDPR își propune să protejeze integritatea și confidențialitatea datelor care identifică persoanele prin creșterea transparenței, îmbunătățirea preciziei, limitarea colectării și acordarea persoanelor drepturi extinse cu privire la datele lor. De asemenea, aplică amenzi semnificative pentru încălcări.

Într-un efort de a clarifica cui se aplică legea, Comitetul European pentru Protecția Datelor (EDPB) a emis orientări privind domeniul de aplicare teritorial al GDPR.

Ce spun ei? În primul rând, chiar și entitățile fără prezență fizică (sau „stabilire”) în UE pot fi supuse unor dispoziții GDPR dacă oferă produse sau servicii clienților din UE sau „direcționează” o activitate către piața UE.

Iată câteva alte variante de luat masa:

1. Companiile cu o „sediu în Uniune” sunt supuse cerințelor GDPR. Ce inseamna asta?

  • A avea o locație fizică în UE este în mod clar o unitate, dar nu este nevoie să aveți o sucursală sau o filială într-un stat membru al UE.
  • Orice activitate reală și eficientă, chiar și minimă, ar putea satisface noțiunea de „stabilire” în sensul articolului 3 (1) jurisdicție, chiar, în unele cazuri, prezența unui singur angajat.
  • Nu este suficient doar să ai un site accesibil din Europa.

2. Dacă aveți o unitate din UE, ce prelucrare a datelor este supusă GDPR? Asta depinde dacă se desfășoară „în contextul activităților (stabilirii)?”

  • GDPR se va aplica prelucrării datelor dvs. dacă există legătură inextricabilă între activitățile stabilirii dvs. din UE și prelucrarea datelor dvs. ca entitate din afara UE.
  • În caz contrar, în calitate de operator de date din afara UE, nu veți deveni supus GDPR dacă decideți să utilizați un procesator de date (un furnizor de servicii care îndeplinește instrucțiunile operatorului de date) situat în Uniunea Europeană.
  • În mod similar, dacă sunteți un operator de date care face obiectul GDPR și alegeți să utilizați un procesor care se află în afara Uniunii și care nu este supus GDPR, va trebui totuși să vă asigurați prin contract că procesatorul vă procesează datele în conformitate cu GDPR.

3. Dacă stabiliți că nu aveți o unitate din UE, sunteți scutiți? Este posibil să fiți încă supus legii dacă oferiți produse sau servicii persoanelor fizice din UE și prelucrați datele sau monitorizați comportamentul persoanelor din UE în legătură cu afacerea respectivă.

a) „În UE” înseamnă localizarea fizică în UE în momentul oferirii de bunuri sau servicii (sau monitorizarea comportamentului, a se vedea mai jos). Persoanele fizice nu trebuie să fie cetățeni sau rezidenți ai UE.
b) Procesarea datelor dvs. se referă la (1) oferirea de bunuri sau servicii sau (2) la monitorizarea comportamentului persoanelor vizate în UE.

(1) Ce înseamnă să oferiți bunuri sau servicii?

Pentru a intra sub incidența GDPR, trebuie să încercați să stabiliți relații comerciale cu consumatorii din UE. Pentru a determina acest lucru, EDPB utilizează conceptul de „direcționare a unei activități” către piața UE. Cu toate acestea, nu este necesară primirea plății pentru produse sau servicii. Unele dintre aceste activități pot include:

  • campanii de marketing și publicitate adresate unui public din țara UE
  • menționând adrese sau numere de telefon dedicate care trebuie atinse dintr-o țară UE
  • folosind un nume de domeniu de nivel superior al UE sau al statului membru
  • menționarea clienților domiciliați în diferite state membre ale UE, inclusiv mărturiile clienților
  • folosind o limbă UE sau o monedă
  • oferind livrarea de bunuri în statele membre UE.

(2) Ce înseamnă „monitorizarea comportamentului” persoanelor din UE?

  • Monitorizarea se poate face atât pe internet, cât și prin alte metode care implică prelucrarea datelor cu caracter personal, de exemplu prin dispozitive portabile și alte dispozitive inteligente.
  • Activitățile de monitorizare includ:
    • publicitate comportamentală
    • activități de geolocalizare, în special în scopuri de marketing
    • urmărirea online prin utilizarea cookie-urilor sau a altor tehnici de urmărire precum amprentarea digitală
    • servicii personalizate de analiză a dietei și sănătății online
    • CCTV
    • anchete de piață și alte studii comportamentale bazate pe profiluri individuale
    • monitorizarea sau raportarea periodică a stării de sănătate a unei persoane


4. Dacă stabiliți că sunteți supus GDPR, trebuie să desemnați un reprezentant în UE?

În general, dacă sunteți un operator sau procesator din afara UE care face obiectul GDPR, vi se cere să desemnați un reprezentant în Uniune. Reprezentanții locali pot fi considerați responsabili pentru încălcările entității din afara UE și pot face obiectul unor amenzi și sancțiuni administrative.

Reprezentantul desemnat ar trebui stabilit în unul dintre statele membre în care se află persoanele vizate, ale căror date cu caracter personal sunt prelucrate în legătură cu oferirea de bunuri sau servicii către aceștia sau al căror comportament este monitorizat.

Există unele scutiri. „Autoritățile publice” sunt scutite, precum și entitățile pentru care prelucrarea datelor este „ocazională” și „nu include, pe scară largă, prelucrarea unor categorii speciale de date sau prelucrarea datelor cu caracter personal referitoare la condamnări penale și infracțiuni ...”, și pentru care o astfel de prelucrare „este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice”.

Odia Kagan este președinte al GDPR Compliance & International Privacy și este partener în practicile de confidențialitate și securitate a datelor și companiile emergente și practicile de capital de risc. Poate fi contactată la 215.444.7313 sau [email protected] .

Catedra națională de companii emergente și capital de risc Elizabeth Sigety poate fi contactată la [email protected] sau 215.918.3554.