Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > GDPR og dens ekstraterritoriale anvendelse: Hvordan skal man håndtere det?

GDPR og dens ekstraterritoriale anvendelse: Hvordan skal man håndtere det?

General Corporate

GDPR og dens ekstraterritoriale anvendelse: Hvordan skal man håndtere det?

GDPR er en forordning fastsat af EU, der definerer beskyttelsen og håndteringen af personoplysninger. Hvis du udbyder varer eller tjenester inden for EU, kan GDPR være gældende. Dog kan der være usikkerhed om, hvorvidt din virksomhed falder ind under GDPR’s anvendelsesområde, og hvad man skal gøre, hvis det er tilfældet.

I denne artikel vil vi forklare omfanget af GDPR’s anvendelse, hvad man skal gøre, hvis den finder anvendelse, og hvilke tiltag der forventes. Der er også en Q&A om GDPR-anvendelse, så tag endelig et kig for at få mere information.

Anvendelsesområdet for GDPR

Kvinde

Betingelserne for anvendelse af GDPR er fastsat i artikel 3 ‘Territorial Scope’ i GDPR. Anvendelsesområdet for GDPR opdeles i to situationer: når der er etableret en base inden for EU og når der ikke er.

Indholdet, der er fastsat for tilfælde, hvor der er en base inden for EU, er som følger:

“Dette gælder for behandling af personoplysninger i forbindelse med aktiviteterne ved en forvalter eller en behandler baseret i EU, uanset om behandlingen finder sted inden for EU eller ej.”

Reference: Japansk Personoplysningsbeskyttelseskommission | ‘Generelle databeskyttelsesforordning (GDPR) foreløbig japansk oversættelse[ja]

Med andre ord, hvis der er en forvalter eller en behandler baseret inden for EU, vil GDPR være gældende.

ForvalterDen, der bestemmer formålene med og midlerne til behandling af personoplysninger
BehandlerDen, der behandler personoplysninger på vegne af forvalteren

Hvis der ikke er en base inden for EU, er anvendelsesområdet som følger:

  1. Når der tilbydes varer eller tjenester til personer inden for EU
  2. Når adfærden hos personer inden for EU overvåges

GDPR pålægger strenge restriktioner over for lande uden for EU, og for at kunne overføre data frit, er det nødvendigt med en ‘tilstrækkelighedsvurdering’. En tilstrækkelighedsvurdering er en godkendelse, der besluttes efter konsultation med Europa-Kommissionen, og som gives til lande og regioner, der sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger.

Landene og regionerne uden en tilstrækkelighedsvurdering skal gennemgå procedurer som SCC eller BCR for at overføre data uden for EU.

SCC (Standard Contractual Clauses)De obligatoriske vilkår, der skal inkluderes i en dataoverførselskontrakt
BCR (Binding Corporate Rules)Politikker og regler for at beskytte personoplysninger indhentet fra Det Europæiske Økonomiske Samarbejdsområde (EØS) og for at dele dem med tilknyttede virksomheder uden for EØS

Det, der ændres med en tilstrækkelighedsvurdering, er, at der ikke er behov for at gennemgå procedurer som SCC eller BCR.

Tilstrækkelighedsvurderingen for Japan blev annonceret i juli 2018 (Heisei 30) under den regelmæssige topmødekonference mellem Japan og EU for at fremme initiativer, der gør det muligt at operere en ramme for overførsel af personoplysninger. Derefter, den 23. januar 2019 (Heisei 31), modtog Japan en tilstrækkelighedsvurdering, og det blev annonceret, at “EU og Japan har vedtaget en beslutning, der gensidigt anerkender et ækvivalent beskyttelsesniveau for personoplysninger.”

Hvad skal virksomheder, der er underlagt GDPR, gøre?

Hvad skal virksomheder, der er underlagt GDPR, gøre?

Når en virksomhed er underlagt GDPR, er der to hovedkrav, de skal opfylde:

  • Udnævnelse af en repræsentant i EU/UK
  • Indskrivning i privatlivspolitikken

Her vil vi forklare detaljerne for hvert krav.

Udnævnelse af en repræsentant i EU/UK

Artikel 27 i GDPR fastslår, at virksomheder, som er underlagt GDPR’s ekstraterritoriale anvendelse, skal udpege en repræsentant i enten EU eller UK.

Denne repræsentant, som er udpeget skriftligt af dataansvarlige eller databehandlere, skal handle på vegne af og opfylde forpligtelserne for dataansvarlige eller databehandlere i henhold til GDPR.

Ikke alle virksomheder, der opererer inden for EU, er forpligtede til at udpege en repræsentant. Virksomheder, der ikke er forpligtede til at udpege en repræsentant, omfatter dem, der (ifølge Artikel 27 i GDPR):

  • Ikke regelmæssigt behandler data, som er underlagt GDPR, og hvis behandling ikke indebærer store mængder af “særlige kategorier af data” eller personoplysninger relateret til straffedomme og lovovertrædelser, og hvor behandlingens art, omfang, kontekst og formål ikke sandsynligvis udgør en risiko for de fysiske personers rettigheder og friheder
  • Ikke er en offentlig myndighed eller offentlig organ

Reference: Japanese Personal Information Protection Commission | ‘General Data Protection Regulation (GDPR) Provisional Japanese Translation[ja]

Indskrivning i privatlivspolitikken

Virksomheder, der er underlagt GDPR, skal tydeligt angive i deres privatlivspolitik, at de har udpeget en repræsentant.

Strafbestemmelser ved manglende udnævnelse af en repræsentant

Strafbestemmelser

Det er vigtigt at være opmærksom på, at hvis man inden for GDPR’s anvendelsesområde undlader at udnævne en repræsentant, kan man blive underlagt sanktioner. Straffen kan være op til 1.000 euro eller 2% af den globale omsætning, alt efter hvilket beløb der er størst (GDPR artikel 84, stk. 4).

Opgaver påkrævet af en repræsentant

Kvindelig repræsentant

Hvis du er underlagt GDPR, skal du som hovedregel udpege en repræsentant. Men hvilke opgaver forventes der af en repræsentant? Her vil vi forklare repræsentantens opgaver i detaljer.

Artikel 30s behandlingsregistrering

Administratorer eller behandlere, der placerer en repræsentant i EU-lande, skal dele deres behandlingsregistreringer med repræsentanten. Repræsentanten skal også opbevare disse registreringer på samme måde som administratoren eller behandleren (GDPR artikel 30).

Indholdet, der skal registreres, omfatter følgende:

  • Navne og kontaktoplysninger på administratorer, DPO (Data Protection Officer) og lignende
  • Formålet med behandlingen
  • Kategorier af dataemner og typer af data, der behandles
  • Opbevaringsperiode
  • Tidspunkt for sletning

En dataemne er en identificeret eller identificerbar fysisk person, som persondata relaterer til.

Ved anmodning fra tilsynsmyndigheden skal disse behandlingsregistreringer være tilgængelige.

Håndtering af forespørgsler fra dataemner eller tilsynsmyndigheder

Hvis der kommer en forespørgsel fra et dataemne eller en tilsynsmyndighed, skal repræsentanten handle på vegne af administratoren eller behandleren og svare dataemnet eller tilsynsmyndigheden (GDPR artikel 27, stk. 3). For eksempel, hvis et dataemne anmoder om det, skal administratoren levere informationen inden for en måned (GDPR artikel 12, stk. 3). Repræsentanten skal også samarbejde med tilsynsmyndigheden og reagere på anmodninger fra denne (GDPR artikel 31).

Q&A om anvendelsen af GDPR

FAQ

Her besvarer vi nogle af de oftest stillede spørgsmål om anvendelsen af GDPR.

Er det nødvendigt at overholde GDPR, selvom der ikke er planer om international ekspansion?

Generelt er det ikke nødvendigt at overholde GDPR, hvis der ikke er planer om at ekspandere internationalt. Det er dog vigtigt at være opmærksom, hvis der er en mulighed for at indsamle data fra personer inden for EU, selv uden international ekspansion.

For eksempel kan følgende situationer opstå:

  • Du driver en e-handelsplatform og modtager henvendelser eller ordrer fra personer i EU.
  • Du indsamler online identifikatorer (såsom IP-adresser eller cookies) fra personer i EU gennem websidebesøg.
  • Du indsamler e-mailadresser fra personer i EU som svar på henvendelser.

Selv hvis du utilsigtet indsamler persondata fra individer i EU, er det ikke et problem at undlade at overholde GDPR, da du ikke falder ind under den geografiske anvendelsesområde.

Husk dog altid, at det er nødvendigt at overholde GDPR, hvis du har en base i EU, eller selv uden en EU-base, hvis du opfylder en af de følgende to betingelser:

  1. Du tilbyder varer eller tjenester til personer i EU.
  2. Du overvåger adfærden af personer i EU.

Hvilke tiltag er nødvendige, når man lancerer en grænseoverskridende e-handelswebsite, der inkluderer EU-området?

Når man lancerer en grænseoverskridende e-handelswebsite, der inkluderer EU-området, er der en mulighed for at indsamle personlige oplysninger fra EU’s indre marked. De oplysninger, der kan indsamles, inkluderer følgende:

  • Navn
  • E-mailadresse
  • Adresse
  • Kreditkortoplysninger
  • Købsinformation
  • Lokationsdata
  • IP-adresse & Cookie ID

Når disse oplysninger indsamles, falder de ind under persondata ifølge GDPR, og de skal derfor håndteres i overensstemmelse med GDPR’s regler.

Det er en god start at revidere og offentliggøre en privatlivspolitik og privatlivsmeddelelse, der er tilpasset GDPR.
Relateret artikel: Forstå de vigtige punkter, når du opretter en GDPR-kompatibel privatlivspolitik![ja]

Derefter bør du følge disse trin:

  1. Oprette en cookiepolitik og indhente samtykke til brug af cookies fra førstegangsbesøgende på e-handelswebsitet
  2. Indhente samtykke til “håndtering af persondata”, når personlige oplysninger indsamles
  3. Implementere sikkerhedsforanstaltninger for at beskytte persondata og forhindre lækager
  4. Udnævne en repræsentant

Desuden bør du efter behov revidere interne regler, udarbejde manualer for at overholde GDPR og revidere kontrakter med eksterne leverandører.

Hvad er forskellen mellem GDPR og UK GDPR?

UK GDPR er den britiske version af den generelle databeskyttelsesforordning. UK GDPR trådte i kraft den 1. januar 2021 (2021), som følge af Storbritanniens udmeldelse af EU. GDPR er en EU-forordning, som ikke længere gælder i Storbritannien.

UK GDPR finder anvendelse i følgende tilfælde:

  1. Når der tilbydes varer eller tjenester til personer i Storbritannien
  2. Når adfærden af personer i Storbritannien overvåges

Hvis du driver forretning i både Storbritannien og EU, skal du sikre overholdelse af både GDPR og UK GDPR.

Konklusion: Henvend dig til en ekspert, hvis du er i tvivl om GDPR’s anvendelsesområde

Mandlig ekspert

Hvis din virksomhed har etableret sig inden for EU, eller selvom du ikke har en base i EU, men tilbyder varer eller tjenester til personer inden for EU eller overvåger deres adfærd, falder du ind under GDPR’s anvendelsesområde. Virksomheder, der er underlagt GDPR, skal udpege en repræsentant i EU og tydeligt angive dette i deres privatlivspolitik.

Hvis du ikke udpeger en repræsentant, kan det resultere i betydelige bøder. Virksomheder, der driver forretning inden for EU eller overvejer at ekspandere dertil, bør udpege en repræsentant for at overholde GDPR.

Hvis du er usikker på, om din virksomhed er underlagt GDPR, anbefales det at konsultere en ekspert med specialviden inden for international jura.

Vejledning om foranstaltninger fra vores kontor

Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internet og jura. I de senere år er global forretning blevet stadig mere udbredt, og behovet for juridisk kontrol af eksperter er stigende. Vores kontor tilbyder løsninger inden for international juridisk service.

Monolith Advokatfirmas ekspertiseområder: International juridisk service og udenlandske forretninger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Fordele og kontraktproces for 'Aktieoverførsel', en simpel ordning inden for M&A

Fordele og kontraktproces for 'Aktieoverførsel', en simpel ordning inden for M&A

General Corporate

Metoder for ICO og grunden til at involvering af en advokat er nødvendig

Metoder for ICO og grunden til at involvering af en advokat er nødvendig

General Corporate

【Breaking News】Første anholdelse for overtrædelse af 'Japanese Personal Information Protection Law' i forbindelse med lækage af visitkortdata

【Breaking News】Første anholdelse for overtrædelse af 'Japanese Personal Information Protection L.

General Corporate

Udvidelse af anvendelsesområdet for droneflyvning på niveau 4: Forklaring af to systemer for certificering af luftfartøj og bevis for færdigheder

Udvidelse af anvendelsesområdet for droneflyvning på niveau 4: Forklaring af to systemer for cer.

General Corporate

Ustoppelig lækage af personlige oplysninger, 1,5 gange flere tilfælde i Reiwa 5 (2023) sammenlignet med det foregående år. En forklaring på de seneste tendenser

Ustoppelig lækage af personlige oplysninger, 1,5 gange flere tilfælde i Reiwa 5 (2023) sammenlig.

General Corporate

Forklaring af 'straf' i den reviderede 'Japanske Lov om Beskyttelse af Personlige Oplysninger' i Reiwa 4 år (2022)

Forklaring af 'straf' i den reviderede 'Japanske Lov om Beskyttelse af Personlige Oplysninger' i.

General Corporate

Analyse af Toshibas regnskabsføringsskandale: Hvad er krisehåndtering for at forhindre skade på brandimage?

Analyse af Toshibas regnskabsføringsskandale: Hvad er krisehåndtering for at forhindre skade på .

General Corporate

Hvad er de vigtige punkter at tjekke, når du modtager en ansættelseskontrakt?

Hvad er de vigtige punkter at tjekke, når du modtager en ansættelseskontrakt?

General Corporate

Bliver man anholdt for overtrædelse af 'Den Japanske Lov om Medicinsk Udstyr og Farmaceutiske Produkter'? En forklaring på straffen for overtrædelse af 'Den Japanske Lov om Medicinsk Udstyr og Farmaceutiske Produkter'

Bliver man anholdt for overtrædelse af 'Den Japanske Lov om Medicinsk Udstyr og Farmaceutiske Pr.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen