Kuidas toimida, kui GDPR-i kohaldatakse väljaspool oma territooriumi? Selgitame vastuseid
GDPR on Euroopa Liidu poolt kehtestatud määrus, mis sätestab isikuandmete kaitse ja nende käsitlemise reeglid. Kui teie ettevõte pakub kaupu või teenuseid ELi piirkonnas, võib GDPR olla teie jaoks kohaldatav. Siiski võib olla, et te ei ole kindel, kas GDPR kehtib teie ettevõtte puhul ja kui kehtib, siis mida peaksite ette võtma.
Käesolevas artiklis selgitame GDPRi kohaldamisala, mida teha, kui see teile kehtib, ja milliseid meetmeid on vaja rakendada. Samuti leiate siit GDPRi kohaldamist puudutavaid KKK-sid, mis võivad teile abiks olla.
GDPRi kohaldamisala
GDPRi kohaldamistingimused on sätestatud GDPRi artiklis 3 “Territoriaalne kohaldamisala”. GDPRi kohaldamisala jaguneb kaheks: juhul kui ettevõttel on ELi territooriumil asukoht ja juhul kui seda ei ole.
Kui ettevõttel on ELi territooriumil asukoht, kehtivad järgmised nõuded:
“Kohaldatakse isikuandmete töötlemisele, mis toimub ELi territooriumil asuva vastutava töötleja või andmetöötleja asukoha tegevuse raames, sõltumata sellest, kas töötlemine toimub ELis või mitte.”
Viide: Jaapani Isikuandmete Kaitse Komisjon | “Üldine Andmekaitse Määrus (GDPR) ajutine jaapanikeelne tõlge[ja]“
See tähendab, et kui ettevõttel on ELi territooriumil vastutav töötleja või andmetöötleja asukoht, siis GDPRi sätted kehtivad.
Vastutav töötleja | Isik, kes määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid |
Andmetöötleja | Isik, kes töötleb isikuandmeid vastutava töötleja nimel |
Kui ettevõttel ei ole ELi territooriumil asukohta, on kohaldamisala järgmine:
- Kui pakutakse kaupu või teenuseid ELi territooriumil asuvatele isikutele
- Kui jälgitakse ELi territooriumil asuvate isikute käitumist
GDPR kehtestab kolmandatele riikidele ranged piirangud ja andmete vaba liikumiseks on vajalik “piisavuse otsus”. Piisavuse otsus on Euroopa Komisjoni poolt läbirääkimiste tulemusena tehtud otsus, mis tunnustab riike ja piirkondi, mis tagavad isikuandmete piisava kaitse taseme.
Riigid ja piirkonnad, mis ei oma piisavuse otsust, peavad ELi territooriumilt väljapoole andmeid edastades järgima SCC või BCR protseduure.
SCC (Standard Contractual Clauses) | Kohustuslikud tingimused, mis tuleb lisada andmeedastuslepingutesse |
BCR (Binding Corporate Rules) | Reeglid ja poliitikad, mis on loodud kaitsema isikuandmeid, mis on saadud Euroopa Majanduspiirkonnast (EMP) ja jagatakse EMP-väliste sidusettevõtetega |
Piisavuse otsuse korral muutub see, et SCC või BCR protseduure ei pea järgima.
Jaapani suhtes tehtud piisavuse otsus kuulutati välja 2018. aasta juulis toimunud Jaapani-EU tippkohtumisel, kus lepiti kokku edasistes sammudes isikuandmete edastamise raamistiku rakendamiseks. Järgnevalt, 23. jaanuaril 2019, sai Jaapan piisavuse otsuse ning tehti avaldus, milles tervitati otsust, et “EL ja Jaapan tunnustavad vastastikku isikuandmete kaitse taset kui võrdväärset”.
Millised kohustused on GDPR-ile alluvatel ettevõtetel?
Kui ettevõte kuulub GDPR-i reguleerimisalasse, peab ta täitma järgmisi kahte peamist nõuet:
- ELi/Ühendkuningriigi esindaja määramine
- Privaatsuspoliitika selge sõnastamine
Allpool selgitame mõlema nõude üksikasju.
ELi/Ühendkuningriigi esindaja määramine
GDPR-i artikkel 27 sätestab, et kui GDPR-i kohaldatakse väljaspool ELi või Ühendkuningriiki, on ettevõttel kohustus määrata esindaja, kellel on asukoht ELis või Ühendkuningriigis.
Siin viidatud esindaja on isik, kes on määratud kirjalikult vastutava töötleja või töötleja poolt ja kes esindab vastutavat töötlejat või töötlejat GDPR-i alusel nende kohustuste täitmisel.
Kõik ELis tegutsevad ettevõtted ei pea esindajat määrama. Erandid esindaja määramise kohustusest on järgmised (GDPR-i artikkel 27):
- Kui GDPR-i kohaldatav tegevus ei ole ajutine ja kui see ei hõlma suures koguses “eriliiki andmeid” või “süüdimõistvate otsuste ja kuritegudega seotud isikuandmeid” ning kui arvestades töötlemise laadi, ulatust, konteksti ja eesmärki, on väike tõenäosus, et see kujutab endast ohtu füüsiliste isikute õigustele või vabadustele
- Kui tegemist ei ole avaliku sektori asutuse või organisatsiooniga
Viide: Jaapani Isikuandmete Kaitse Komisjon | “Üldine Andmekaitse Määrus (GDPR) ajutine jaapanikeelne tõlge[ja]“
Privaatsuspoliitika selge sõnastamine
GDPR-i kohaldatavatel ettevõtetel on kohustus oma privaatsuspoliitikas selgelt välja tuua määratud esindaja.
Esindaja määramata jätmise sanktsioonid
Kui ettevõte kuulub GDPR-i kohaldamisalasse, kuid ei ole määranud esindajat, tuleb olla ettevaatlik, kuna see võib kaasa tuua sanktsioone. Sanktsioonid võivad ulatuda kuni 1 000 euro suuruse trahvini või kuni 2% ulatuses ettevõtte kogu maailma müügitulust, olenevalt sellest, kumb summa on suurem (GDPR artikkel 84, lõige 4).
Esindajale esitatavad tööülesanded
Kui kohaldub GDPR, peab põhimõtteliselt määrama esindaja. Millised on siis esindajale esitatavad tööülesanded? Selles osas selgitame üksikasjalikult esindaja tööülesandeid.
Artikli 30 kohane töötlemise dokumenteerimine
EL-i liikmesriikides esindajat omavad administraatorid või töötlejad peavad jagama oma töötlemise dokumente esindajaga. Samuti on esindajal kohustus säilitada neid dokumente samamoodi nagu administraatoril või töötlejal (GDPR artikkel 30).
Dokumenteerida tuleb järgmisi andmeid:
- Administraatori, DPO (andmekaitseametniku) ja teiste kontaktandmed
- Töötlemise eesmärgid
- Andmesubjekti kategooriad ja töödeldavate andmete liigid
- Säilitamisperiood
- Kustutamise ajakava
Andmesubjekt on tuvastatud või tuvastatav füüsiline isik, kellele isikuandmed kuuluvad.
Järelevalveasutuse nõudmisel peavad need töötlemise dokumendid olema kättesaadavad.
Andmesubjektide või järelevalveasutuste päringutele vastamine
Kui andmesubjekt või järelevalveasutus esitab päringu, peab esindaja administraatori või töötleja asemel vastama andmesubjektile või järelevalveasutusele (GDPR artikkel 27 lõige 3). Näiteks, kui andmesubjekt esitab taotluse, peab administraator andma teavet ühe kuu jooksul (GDPR artikkel 12 lõige 3). Lisaks peab esindaja vastama järelevalveasutuse nõudmistele ja koostööd tegema järelevalveasutusega (GDPR artikkel 31).
KKI rakendamisega seotud KKK
Siin vastame levinumatele küsimustele, mis puudutavad üldist andmekaitsemäärust (GDPR).
Kas GDPR-ile vastavus on vajalik, kui plaanis ei ole laieneda välismaale?
Põhimõtteliselt, kui ettevõttel ei ole plaanis laieneda välismaale, ei ole vaja vastata GDPR-i nõuetele. Siiski, isegi kui ettevõte ei laiene, on vajalik olla ettevaatlik, kui on võimalik, et saadakse andmeid isikutelt EL-i territooriumilt.
Näiteks võib ette tulla järgmisi olukordi:
- Tegelete e-kaubanduse saidi haldamisega ja saate päringuid või tellimusi EL-i territooriumil asuvatelt isikutelt
- Saidi külastamise kaudu kogute EL-i territooriumil asuvate isikute veebituvastajaid (IP-aadresse või küpsiseid)
- Saate EL-i territooriumil asuvatelt isikutelt päringutele vastates e-posti aadresse
Kui te kogute tahtmatult andmeid EL-i territooriumil asuvatelt isikutelt, ei tähenda see automaatselt, et peate vastama GDPR-i nõuetele, kuna see ei pruugi kuuluda geograafilise kohaldamisala alla.
Pea meeles, et GDPR-i nõuetele vastamine on vajalik ainult siis, kui teil on EL-i territooriumil asukoht või kui te ei asu EL-i territooriumil, kuid vastate järgmistele kahele tingimusele:
- Kui pakute kaupu või teenuseid EL-i territooriumil asuvatele isikutele
- Kui jälgite EL-i territooriumil asuvate isikute käitumist
Milliseid meetmeid on vaja rakendada, kui käivitate ELi piirkonda hõlmava piiriülese e-kaubanduse veebilehe?
ELi piirkonda hõlmava piiriülese e-kaubanduse veebilehe käivitamisel võib tekkida vajadus koguda ELi piirkonna isikuandmeid. Kogutavad andmed võivad hõlmata järgmist:
- Nimi
- E-posti aadress
- Aadress
- Krediitkaardi andmed
- Ostuinfo
- Asukoha andmed
- IP-aadress ja küpsise ID
Kui kogute neid andmeid, peate neid käsitlema vastavalt GDPR-i (General Data Protection Regulation) nõuetele, kuna need kuuluvad isikuandmete hulka.
Alustuseks peaks üle vaatama ja uuendama oma privaatsuspoliitikat ning avaldama GDPR-ile vastava privaatsusteate.
Seotud artikkel: Kuidas koostada GDPR-ile vastavat privaatsuspoliitikat: olulised punktid![ja]
Seejärel järgige järgmisi samme:
- Loo küpsiste poliitika ja saavuta e-kaubanduse veebilehe esmakülastajatelt nõusolek küpsiste kasutamiseks
- Kui kogute isikuandmeid, saavutage nõusolek isikuandmete töötlemiseks
- Rakendage turvameetmeid isikuandmete kaitseks ja lekete vältimiseks
- Määrake volitatud esindaja
Lisaks peaks vajadusel üle vaatama ettevõtte sisereeglid, koostama GDPR-ile vastavaid juhendeid ja läbi vaatama lepingud allhankijatega.
Mis on GDPR ja UK GDPR vahel erinevust?
UK GDPR tähistab Ühendkuningriigi üldist andmekaitsemäärust. UK GDPR jõustus seoses Ühendkuningriigi lahkumisega Euroopa Liidust 2021. aasta 1. jaanuaril (2021). GDPR on EL-i määrus ja seda ei kohaldata Ühendkuningriigis.
UK GDPR kohaldub järgmistel juhtudel:
- Kui pakutakse kaupu või teenuseid Ühendkuningriigi territooriumil asuvatele isikutele
- Kui jälgitakse Ühendkuningriigi territooriumil asuvate isikute käitumist
Kui teie ettevõte tegutseb nii Ühendkuningriigis kui ka EL-i territooriumil, peate vastama nii GDPR-i kui ka UK GDPR-i nõuetele.
Kokkuvõte: Kui GDPRi kohaldamisalas on küsimusi, konsulteerige spetsialistiga
Kui teie ettevõttel on baas Euroopa Liidu (EL) territooriumil või kui te pakute kaupu või teenuseid EL territooriumil asuvatele isikutele või jälgite nende käitumist, siis kuulute GDPRi kohaldamisalasse. GDPRi kohaldamisalasse kuuluvad ettevõtted peavad määrama ELis asuva esindaja ja lisama selle info oma privaatsuspoliitikasse.
Kui te ei määra esindajat, võib see kaasa tuua suuri trahve. Ettevõtted, kes tegutsevad või plaanivad tegutseda ELi territooriumil, peaksid GDPRiga kooskõlas olema ja määrama esindaja.
Kui te ei ole kindel, kas teie ettevõte kuulub GDPRi kohaldamisalasse, soovitame konsulteerida rahvusvahelise õiguse alal pädeva spetsialistiga.
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on kogenud IT ja eriti interneti ning õiguse valdkonnas. Viimastel aastatel on globaalne äritegevus üha laienenud ja professionaalsete õiguslike kontrollide vajadus on suurenenud. Meie büroo pakub rahvusvahelise õiguse alaseid lahendusi.
Monolith õigusbüroo tegevusvaldkonnad: Rahvusvaheline õigus ja välisäri[ja]