Πότε εφαρμόζεται ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) εκτός των συνόρων; Εξηγούμε τις μεθόδους αντιμετώπισης

Το GDPR αναφέρεται στον κανονισμό που έχει θεσπίσει η ΕΕ για την προστασία των προσωπικών δεδομένων και τη διαχείρισή τους. Όταν αναπτύσσετε προϊόντα ή υπηρεσίες εντός της επικράτειας της ΕΕ, είναι πιθανό το GDPR να εφαρμόζεται. Ωστόσο, μπορεί να υπάρχουν κάποιοι που δεν γνωρίζουν εάν η εταιρεία τους υπάγεται στο πεδίο εφαρμογής του GDPR ή τι πρέπει να κάνουν εάν υπάγονται.

Σε αυτό το άρθρο, θα εξηγήσουμε το πεδίο εφαρμογής του GDPR, τι πρέπει να κάνετε εάν εφαρμόζεται σε εσάς και τις απαιτούμενες αντιδράσεις. Υπάρχει επίσης ένα Q&A σχετικά με την εφαρμογή του GDPR, το οποίο σας προτρέπουμε να το διαβάσετε για περαιτέρω πληροφορίες.

Το Πεδίο Εφαρμογής του GDPR

Οι συνθήκες κάτω από τις οποίες εφαρμόζεται το GDPR καθορίζονται στο Άρθρο 3 «Γεωγραφικό Πεδίο Εφαρμογής» του GDPR. Το πεδίο εφαρμογής του GDPR διακρίνεται σε δύο κατηγορίες: όταν υπάρχει έδρα εντός της ΕΕ και όταν δεν υπάρχει.

Το περιεχόμενο που καθορίζεται για τις περιπτώσεις όπου υπάρχει έδρα εντός της ΕΕ είναι το εξής:

«Εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων στο πλαίσιο των δραστηριοτήτων μιας έδρας ενός υπευθύνου ή ενός εκτελεστή εντός της ΕΕ, ανεξάρτητα από το αν η επεξεργασία λαμβάνει χώρα στην ΕΕ ή όχι»

Αναφορά: Επιτροπή Προστασίας Προσωπικών Δεδομένων｜«Προσωρινή Ιαπωνική Μετάφραση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR)»

Με άλλα λόγια, αν υπάρχει έδρα ενός υπευθύνου ή ενός εκτελεστή εντός της ΕΕ, τότε το GDPR εφαρμόζεται.

Όταν δεν υπάρχει έδρα εντός της ΕΕ, το πεδίο εφαρμογής περιλαμβάνει τα εξής δύο:

1. Όταν παρέχονται αγαθά ή υπηρεσίες σε πρόσωπα εντός της ΕΕ
2. Όταν παρακολουθείται η συμπεριφορά προσώπων εντός της ΕΕ

Το GDPR επιβάλλει αυστηρούς περιορισμούς σε τρίτες χώρες και για να γίνει ελεύθερη μεταφορά δεδομένων απαιτείται η «απόφαση επάρκειας». Η απόφαση επάρκειας είναι μια πιστοποίηση που αποφασίζεται μετά από διαβουλεύσεις με την Ευρωπαϊκή Επιτροπή και χορηγείται σε χώρες ή περιοχές που εξασφαλίζουν επαρκές επίπεδο προστασίας των προσωπικών δεδομένων.

Χώρες ή περιοχές χωρίς απόφαση επάρκειας πρέπει να ακολουθήσουν διαδικασίες όπως τα SCC ή τα BCR για τη μεταφορά δεδομένων εκτός ΕΕ.

Η διαφορά με την απόφαση επάρκειας είναι ότι δεν απαιτείται η διαδικασία των SCC ή των BCR.

Η απόφαση επάρκειας για την Ιαπωνία ανακοινώθηκε κατά τη διάρκεια της τακτικής Συνόδου Κορυφής Ιαπωνίας-ΕΕ τον Ιούλιο του 2018 (2018), με την ανακοίνωση ότι θα προχωρήσουν σε πρωτοβουλίες για να καταστεί λειτουργικό το πλαίσιο μεταφοράς προσωπικών δεδομένων. Στις 23 Ιανουαρίου 2019 (2019), η Ιαπωνία έλαβε την απόφαση επάρκειας και ανακοινώθηκε ότι «η ΕΕ και η Ιαπωνία υιοθέτησαν αποφάσεις που αναγνωρίζουν αμοιβαία το ισοδύναμο επίπεδο προστασίας των προσωπικών δεδομένων».

Τι πρέπει να κάνουν οι εταιρείες που υπόκεινται στον GDPR

Όταν μια εταιρεία υπόκειται στον GDPR, υπάρχουν δύο βασικά πράγματα που πρέπει να κάνει:

• Να διορίσει έναν αντιπρόσωπο στην ΕΕ/Ηνωμένο Βασίλειο
• Να αναφέρει στην Πολιτική Απορρήτου

Παρακάτω αναλύουμε τις λεπτομέρειες κάθε μίας από αυτές τις απαιτήσεις.

Διορισμός Αντιπροσώπου στην ΕΕ/Ηνωμένο Βασίλειο

Σύμφωνα με το άρθρο 27 του GDPR, υπάρχει υποχρέωση διορισμού ενός αντιπροσώπου στην ΕΕ ή το Ηνωμένο Βασίλειο, σε περίπτωση που ισχύει η εξωτερική εφαρμογή του GDPR.

Ο αντιπρόσωπος που αναφέρεται εδώ είναι κάποιος που έχει διοριστεί γραπτώς από τον διαχειριστή ή τον επεξεργαστή και εκπροσωπεί τον διαχειριστή ή τον επεξεργαστή σε υποχρεώσεις που αφορούν τον GDPR.

Όχι όλες οι εταιρείες που δραστηριοποιούνται στην ΕΕ πρέπει να διορίσουν αντιπρόσωπο. Οι εταιρείες που δεν έχουν την υποχρέωση διορισμού αντιπροσώπου είναι οι εξής (άρθρο 27 του GDPR):

• Εάν οι δραστηριότητες που υπόκεινται στον GDPR δεν είναι προσωρινές και δεν περιλαμβάνουν σε μεγάλο βαθμό την επεξεργασία «ειδικών κατηγοριών δεδομένων» ή «δεδομένων που σχετίζονται με ποινικές καταδίκες και παραβάσεις», και λαμβάνοντας υπόψη τη φύση, το πλαίσιο, το εύρος και τους σκοπούς της επεξεργασίας, είναι απίθανο να δημιουργηθεί κίνδυνος για τα δικαιώματα ή τις ελευθερίες των φυσικών προσώπων
• Εάν δεν είναι δημόσιος φορέας ή οργανισμός

Πηγή: Επιτροπή Προστασίας Προσωπικών Δεδομένων | «Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) Προσωρινή Μετάφραση στα Ιαπωνικά»

Αναφορά στην Πολιτική Απορρήτου

Οι εταιρείες που υπόκεινται στον GDPR πρέπει να αναφέρουν στην Πολιτική Απορρήτου τους ότι έχουν διορίσει αντιπρόσωπο.

Κυρώσεις για την Μη Επιλογή Αντιπροσώπου

Είναι σημαντικό να προσέξετε ότι, αν και βρίσκεστε εντός του πεδίου εφαρμογής του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), εάν δεν ορίσετε αντιπρόσωπο, θα υπόκειστε σε κυρώσεις. Οι κυρώσεις μπορεί να φτάσουν έως και 1,000 ευρώ ή το 2% του παγκόσμιου τζίρου, ανάλογα με το ποιο από τα δύο ποσά είναι μεγαλύτερο (άρθρο 84, παράγραφος 4 του GDPR).

Καθήκοντα που Απαιτούνται από τον Αντιπρόσωπο

Όταν εφαρμόζεται ο Γενικός Κανονισμός Προστασίας Δεδομένων (Japanese GDPR), είναι αρχή ότι πρέπει να διορίσετε έναν αντιπρόσωπο. Τι είδους καθήκοντα απαιτούνται από τον αντιπρόσωπο; Εδώ θα εξηγήσουμε αναλυτικά τα καθήκοντα του αντιπρόσωπου.

Καταγραφή Επεξεργασίας Άρθρου 30

Οι διαχειριστές ή οι επεξεργαστές που έχουν αντιπροσώπους σε χώρες της ΕΕ πρέπει να μοιράζονται τα αρχεία επεξεργασίας τους με τους αντιπροσώπους τους. Επιπλέον, οι αντιπρόσωποι πρέπει να διατηρούν αυτά τα αρχεία, όπως και οι διαχειριστές ή οι επεξεργαστές (Japanese GDPR Άρθρο 30).

Τα στοιχεία που πρέπει να καταγράφονται περιλαμβάνουν τα εξής:

• Ονόματα και στοιχεία επικοινωνίας των διαχειριστών, του DPO (Υπεύθυνου Προστασίας Δεδομένων) κ.λπ.
• Σκοποί της επεξεργασίας
• Χαρακτηριστικά των υποκειμένων δεδομένων και τύποι δεδομένων που επεξεργάζονται
• Περίοδος αποθήκευσης
• Χρόνος διαγραφής

Το υποκείμενο δεδομένων είναι ένα πρόσωπο που έχει ταυτοποιηθεί ή είναι δυνατόν να ταυτοποιηθεί, και αναφέρεται στο άτομο στο οποίο σχετίζονται τα προσωπικά δεδομένα.

Σε περίπτωση αιτήματος από την εποπτική αρχή, πρέπει να είναι δυνατή η χρήση αυτών των αρχείων επεξεργασίας.

Ανταπόκριση σε Ερωτήματα από το Υποκείμενο Δεδομένων ή την Εποπτική Αρχή

Σε περίπτωση ερωτήματος από το υποκείμενο δεδομένων ή την εποπτική αρχή, ο αντιπρόσωπος πρέπει να αναλάβει την ανταπόκριση προς το υποκείμενο δεδομένων ή την εποπτική αρχή εκ μέρους του διαχειριστή ή του επεξεργαστή (Japanese GDPR Άρθρο 27, παράγραφος 3). Για παράδειγμα, αν το υποκείμενο δεδομένων ζητήσει πληροφορίες, ο διαχειριστής πρέπει να τις παρέχει εντός ενός μήνα (Japanese GDPR Άρθρο 12, παράγραφος 3). Επιπλέον, ο αντιπρόσωπος πρέπει να ανταποκρίνεται στα αιτήματα της εποπτικής αρχής και να συνεργάζεται μαζί της (Japanese GDPR Άρθρο 31).

Συχνές Ερωτήσεις και Απαντήσεις σχετικά με την Εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR)

Παρακάτω απαντάμε σε συχνές ερωτήσεις που αφορούν την εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).

Χρειάζεται να συμμορφωθούμε με τον GDPR αν δεν σχεδιάζουμε διεθνή επέκταση;

Κατά βάση, αν δεν υπάρχει πρόθεση για διεθνή επέκταση, δεν είναι απαραίτητη η συμμόρφωση με τον GDPR. Ωστόσο, ακόμη και αν δεν πραγματοποιείτε διεθνή επέκταση, αν υπάρχει πιθανότητα να λάβετε δεδομένα από πρόσωπα εντός της ΕΕ, πρέπει να είστε προσεκτικοί.

Για παράδειγμα, μπορεί να συμβούν τα εξής:

• Διαχειρίζεστε ένα ηλεκτρονικό κατάστημα και λαμβάνετε ερωτήσεις ή παραγγελίες από πρόσωπα εντός της ΕΕ
• Μέσω της περιήγησης στον ιστότοπό σας, λαμβάνετε ταυτότητες διαδικτυακής αναγνώρισης ατόμων εντός της ΕΕ (όπως διευθύνσεις IP ή Cookies)
• Λαμβάνετε διευθύνσεις email από απαντήσεις σε ερωτήσεις ατόμων εντός της ΕΕ

Ακόμη και αν λάβετε δεδομένα ατόμων της ΕΕ χωρίς να το προτίθεστε, δεν εμπίπτετε αυτόματα στο γεωγραφικό πεδίο εφαρμογής, οπότε δεν υπάρχει πρόβλημα αν δεν συμμορφωθείτε με τον GDPR.

Θα πρέπει να θυμάστε ότι χρειάζεται να συμμορφωθείτε με τον GDPR μόνο αν έχετε βάσεις στην ΕΕ ή ακόμη και αν δεν έχετε, αλλά συντρέχουν οι παρακάτω δύο περιπτώσεις:

1. Παρέχετε αγαθά ή υπηρεσίες σε πρόσωπα εντός της ΕΕ
2. Παρακολουθείτε τη συμπεριφορά ατόμων εντός της ΕΕ

Ποιες είναι οι απαιτήσεις για την εκκίνηση ενός διασυνοριακού ηλεκτρονικού εμπορίου (e-commerce) που στοχεύει στην ευρωπαϊκή αγορά;

Κατά την εκκίνηση ενός διασυνοριακού ηλεκτρονικού εμπορίου (e-commerce) που στοχεύει στην ευρωπαϊκή αγορά, είναι πιθανό να συλλέξετε προσωπικά δεδομένα από την ΕΕ. Τα δεδομένα που μπορεί να συλλεχθούν περιλαμβάνουν τα εξής:

• Όνομα
• Διεύθυνση email
• Διεύθυνση κατοικίας
• Πληροφορίες πιστωτικής κάρτας
• Πληροφορίες αγορών
• Τοποθεσία
• IP διεύθυνση & Cookie ID

Όταν συλλέγετε αυτές τις πληροφορίες, πρέπει να τις διαχειρίζεστε σύμφωνα με τους κανόνες του GDPR, καθώς ανήκουν στα προσωπικά δεδομένα που καλύπτονται από αυτόν.

Καλό θα ήταν να ξεκινήσετε με την αναθεώρηση της πολιτικής απορρήτου που συμμορφώνεται με το GDPR και την αναθεώρηση και δημοσίευση της ειδοποίησης απορρήτου.
Σχετικό άρθρο: Σημεία που πρέπει να λάβετε υπόψη κατά τη δημιουργία μιας πολιτικής απορρήτου συμβατής με το GDPR![ja]

Στη συνέχεια, ακολουθήστε τα παρακάτω βήματα:

1. Δημιουργία νέας πολιτικής για τα cookies και απόκτηση συγκατάθεσης για τη χρήση τους από τους επισκέπτες που επισκέπτονται τον ιστότοπο για πρώτη φορά
2. Όταν συλλέγετε προσωπικά δεδομένα, να λαμβάνετε τη συγκατάθεση για την «επεξεργασία προσωπικών δεδομένων»
3. Εφαρμογή μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων και την πρόληψη διαρροών
4. Επιλογή ενός αντιπροσώπου

Επιπλέον, αναθεωρήστε τους εσωτερικούς κανονισμούς όπου χρειάζεται και δημιουργήστε εγχειρίδια για την συμμόρφωση με το GDPR, καθώς και αναθεωρήστε το περιεχόμενο των συμβάσεων με τους εξωτερικούς συνεργάτες.

Τι διαφορές έχουν το GDPR και το UK GDPR;

Το UK GDPR αναφέρεται στον Γενικό Κανονισμό Προστασίας Δεδομένων του Ηνωμένου Βασιλείου. Το UK GDPR τέθηκε σε ισχύ στις 1ης Ιανουαρίου 2021 (2021), μετά την αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ. Το GDPR είναι ένας κανονισμός της ΕΕ και δεν εφαρμόζεται στο Ηνωμένο Βασίλειο.

Το UK GDPR εφαρμόζεται στις ακόλουθες περιπτώσεις:

1. Όταν παρέχονται αγαθά ή υπηρεσίες σε πρόσωπα εντός του Ηνωμένου Βασιλείου
2. Όταν παρακολουθείται η συμπεριφορά ατόμων εντός του Ηνωμένου Βασιλείου

Όταν κάποιος αναπτύσσει επιχειρήσεις στο Ηνωμένο Βασίλειο και στην ΕΕ, είναι απαραίτητο να συμμορφώνεται τόσο με το GDPR όσο και με το UK GDPR.

Συνοπτικά: Σε περίπτωση αποριών για το πεδίο εφαρμογής του GDPR, συμβουλευτείτε έναν ειδικό

Εάν έχετε έδρα εντός της ΕΕ ή ακόμα και αν δεν έχετε αλλά παρέχετε αγαθά ή υπηρεσίες σε πρόσωπα εντός της ΕΕ ή παρακολουθείτε τη συμπεριφορά τους, τότε εμπίπτετε στο πεδίο εφαρμογής του GDPR. Οι επιχειρήσεις που υπόκεινται στο GDPR πρέπει να ορίσουν έναν εκπρόσωπο με έδρα στην ΕΕ και να αναφέρουν αυτό το γεγονός στην πολιτική απορρήτου τους.

Αν δεν ορίσετε εκπρόσωπο, μπορεί να υποχρεωθείτε να πληρώσετε πολύ υψηλά πρόστιμα. Οι επιχειρήσεις που δραστηριοποιούνται ή σκοπεύουν να επεκταθούν στην ΕΕ πρέπει να συμμορφωθούν με το GDPR και να ορίσουν έναν εκπρόσωπο.

Εάν δεν είστε σίγουροι αν η εταιρεία σας υπόκειται στο πεδίο εφαρμογής του GDPR, συνιστάται να συμβουλευτείτε έναν ειδικό στο διεθνές εταιρικό δίκαιο.

Οδηγίες για τα Μέτρα από το Δικηγορικό μας Γραφείο

Το Δικηγορικό Γραφείο Monolith είναι ένα γραφείο με πλούσια εμπειρία στον τομέα της πληροφορικής, και ειδικότερα στο διαδίκτυο και το δίκαιο. Στον σύγχρονο κόσμο, οι παγκόσμιες επιχειρήσεις αναπτύσσονται με αυξανόμενο ρυθμό, και η ανάγκη για ειδικευμένο νομικό έλεγχο από επαγγελματίες γίνεται όλο και πιο επιτακτική. Το γραφείο μας παρέχει λύσεις σχετικά με διεθνείς νομικές υποθέσεις.

Τομείς εξειδίκευσης του Δικηγορικού Γραφείου Monolith: Διεθνές Δίκαιο & Εξωτερικές Επιχειρήσεις[ja]