Mitä tapahtuu, kun GDPR sovelletaan alueen ulkopuolella? Selitämme, miten siihen tulisi reagoida
GDPR on EU:n asettama sääntely, joka määrittelee henkilötietojen suojelun ja käsittelyn. Mikäli tarjoat tuotteita tai palveluita EU:n alueella, GDPR saattaa koskea toimintaasi. On kuitenkin mahdollista, että et ole varma, kuuluuko yrityksesi GDPR:n soveltamisalaan tai mitä pitäisi tehdä, jos se kuuluu.
Tässä artikkelissa selitämme GDPR:n soveltamisalaa, mitä tulee tehdä, jos se kohdistuu yritykseesi, ja mitä toimenpiteitä vaaditaan. Artikkelissa on myös GDPR:n soveltamiseen liittyvä Q&A-osio, joka voi olla hyödyllinen, joten suosittelemme tutustumaan siihen.
GDPR:n soveltamisala
GDPR:n soveltamisehdot on määritelty GDPR:n 3 artiklassa ‘Maantieteellinen soveltamisala’. GDPR:n soveltamisala jakautuu kahteen osaan: tapauksiin, joissa toimipaikka sijaitsee EU:n alueella ja tapauksiin, joissa toimipaikkaa ei ole EU:n alueella.
Kun toimipaikka sijaitsee EU:n alueella, soveltamisala määritellään seuraavasti:
“Sitä sovelletaan henkilötietojen käsittelyyn, joka liittyy EU:n alueella sijaitsevan rekisterinpitäjän tai käsittelijän toimipaikan toimintaan, riippumatta siitä, suoritetaanko käsittely EU:n alueella vai ei.”
Viite: Japanin henkilötietojen suojaviranomainen | ‘Yleisen tietosuoja-asetuksen (GDPR) väliaikainen japanilainen käännös[ja]‘
Toisin sanoen, jos rekisterinpitäjän tai käsittelijän toimipaikka sijaitsee EU:n alueella, GDPR soveltuu.
Rekisterinpitäjä | Henkilötietojen käsittelyn tarkoituksen ja keinot määrittelevä taho |
Käsittelijä | Rekisterinpitäjän puolesta henkilötietojen käsittelyä suorittava taho |
Kun toimipaikkaa ei ole EU:n alueella, soveltamisalaan kuuluu kaksi seuraavaa tapausta:
- Kun tarjotaan tavaroita tai palveluita EU:n alueella oleville henkilöille
- Kun valvotaan EU:n alueella olevien henkilöiden käyttäytymistä
GDPR asettaa tiukkoja rajoituksia kolmansien maiden tietojensiirrolle, ja tietojen vapaata siirtoa varten tarvitaan ‘riittävyyspäätös’. Riittävyyspäätös on Euroopan komission neuvottelujen jälkeen tehty päätös, joka myönnetään maille tai alueille, jotka ovat varmistaneet riittävän suojelun tason henkilötiedoille.
Riittävyyspäätöksen puuttuessa maat tai alueet joutuvat suorittamaan SCC:n tai BCR:n kaltaisia menettelyjä EU:n ulkopuolelle suuntautuvaa tietojensiirtoa varten.
SCC (Standard Contractual Clauses) | Tietojensiirtosopimukseen sisällytettävät pakolliset ehdot |
BCR (Binding Corporate Rules) | EEA:n (Euroopan talousalueen) ulkopuolelle siirrettävien henkilötietojen suojelua koskevat periaatteet ja säännöt, jotka koskevat tietojen jakamista EEA:n ulkopuolisten tytäryhtiöiden kanssa |
Riittävyyspäätöksen myötä SCC:n tai BCR:n kaltaisia menettelyjä ei tarvitse suorittaa.
Japanille myönnetty riittävyyspäätös ilmoitettiin heinäkuussa 2018 Japanin ja EU:n säännöllisessä huippukokouksessa, jossa päätettiin edistää toimenpiteitä henkilötietojen siirron puitteiden käyttöönottoon. Myöhemmin, 23. tammikuuta 2019, Japani sai riittävyyspäätöksen, ja julkaistiin ilmoitus, jossa ‘tervehdittiin päätöstä, jonka mukaan EU ja Japani tunnustavat toistensa henkilötietojen suojelun tason vastaaviksi’.
Mitä yritysten on tehtävä, jos ne kuuluvat EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin?
Kun yritys kuuluu EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisalaan, sen on huolehdittava ainakin seuraavista kahdesta asiasta:
- EU:n tai Yhdistyneen kuningaskunnan alueella toimivan edustajan nimittäminen
- Yksityisyydensuojakäytäntöjen selkeä ilmoittaminen
Tässä selitämme kumpaakin näistä yksityiskohtaisemmin.
EU:n tai Yhdistyneen kuningaskunnan alueella toimivan edustajan nimittäminen
EU:n yleisen tietosuoja-asetuksen (GDPR) 27 artiklassa säädetään, että jos asetuksen ulkomailla soveltaminen on kyseessä, on velvollisuus nimittää edustaja, jolla on toimipaikka EU:ssa tai Yhdistyneessä kuningaskunnassa.
Mainittu edustaja on henkilö, joka on nimetty kirjallisesti rekisterinpitäjän tai tietojenkäsittelijän toimesta ja joka edustaa rekisterinpitäjää tai tietojenkäsittelijää tämän GDPR:n mukaisissa velvoitteissa.
Kaikkien EU:ssa toimivien yritysten ei tarvitse nimittää edustajaa. Seuraavissa tapauksissa edustajan nimittämisvelvollisuutta ei ole (GDPR:n 27 artikla):
- Kun GDPR:n soveltamisalaan kuuluvat toiminnot eivät ole tilapäisiä ja kun kyseessä on käsittely, joka ei sisällä suurta määrää “erityisiä tietoryhmiä” tai “rikostuomioihin ja rikolliseen käyttäytymiseen liittyviä henkilötietoja” ja kun otetaan huomioon käsittelyn luonne, laajuus, konteksti ja tarkoitus, on epätodennäköistä, että se aiheuttaisi riskin luonnollisten henkilöiden oikeuksille tai vapauksille
- Kun kyseessä ei ole julkinen viranomainen tai julkinen organisaatio
Lähde: Japanin henkilötietojen suojaviranomainen | ‘Yleisen tietosuoja-asetuksen (GDPR) alustava japanilainen käännös[ja]‘
Yksityisyydensuojakäytäntöjen selkeä ilmoittaminen
EU:n yleisen tietosuoja-asetuksen (GDPR) piiriin kuuluvien yritysten on ilmoitettava yksityisyydensuojakäytännöissään selkeästi, että ne ovat nimittäneet edustajan.
Edustajan nimittämättä jättämisen seuraamukset
On tärkeää huomata, että jos GDPR:n soveltamisalaan kuuluvassa toiminnassa ei nimetä edustajaa, seurauksena voi olla sanktioita. Seuraamukset voivat nousta jopa 1 000 euroon tai maailmanlaajuisen liikevaihdon 2 %:iin saakka, kummasta summasta vain on suurempi (GDPR:n 84 artiklan 4 kohta).
Asiamieheltä vaadittavat tehtävät
Kun GDPR:n soveltamisalaan kuuluu, on periaatteessa valittava asiamies. Mitä tehtäviä asiamieheltä sitten vaaditaan? Tässä selitämme yksityiskohtaisesti asiamiehen tehtäviä.
Artikla 30:n mukainen kirjanpito
EU:n ulkopuolella asiamiehen nimittäneiden rekisterinpitäjien tai käsittelijöiden on jaettava omat käsittelykirjansa asiamiehen kanssa. Lisäksi asiamiehen on säilytettävä näitä kirjoja samalla tavalla kuin rekisterinpitäjän tai käsittelijän on tehtävä (GDPR:n artikla 30).
Kirjattavien tietojen on sisällettävä esimerkiksi seuraavat:
- Rekisterinpitäjän, DPO:n (tietosuojavastaavan) ja muiden yhteystiedot
- Käsittelyn tarkoitus
- Rekisteröidyn luokat ja käsiteltävien tietojen tyypit
- Säilytysaika
- Poistamisen ajankohta
Rekisteröidyllä tarkoitetaan tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, johon henkilötiedot liittyvät.
Valvontaviranomaisen pyynnöstä nämä käsittelykirjat on oltava saatavilla käyttöä varten.
Rekisteröidyn tai valvontaviranomaisen yhteydenottoihin vastaaminen
Kun rekisteröity tai valvontaviranomainen ottaa yhteyttä, asiamiehen on toimittava rekisterinpitäjän tai käsittelijän sijaisena ja vastattava rekisteröidylle tai valvontaviranomaiselle (GDPR:n artikla 27, kohta 3). Esimerkiksi, jos rekisteröity esittää pyynnön, rekisterinpitäjän on toimitettava tiedot yhden kuukauden kuluessa (GDPR:n artikla 12, kohta 3). Lisäksi asiamiehen on vastattava valvontaviranomaisen pyyntöihin ja tehtävä yhteistyötä valvontaviranomaisen kanssa (GDPR:n artikla 31).
UKK GDPR:n soveltamisesta
Vastaamme alla usein kysyttyihin kysymyksiin GDPR:n soveltamiseen liittyen.
Onko GDPR:n noudattaminen tarpeen, vaikka yrityksellä ei ole suunnitelmia laajentua ulkomaille?
Periaatteessa, jos yrityksellä ei ole suunnitelmia laajentua ulkomaille, GDPR:n noudattaminen ei ole tarpeellista. Kuitenkin, vaikka yritys ei laajentaisikaan toimintaansa ulkomaille, on tärkeää olla tietoinen, jos on mahdollista saada henkilötietoja EU:n alueella olevilta henkilöiltä.
Seuraavat esimerkit ovat tilanteita, joissa tämä voi olla mahdollista:
- Ylläpidät verkkokauppaa ja saat kyselyitä tai tilauksia EU:n alueella olevilta henkilöiltä
- Sivustosi kautta keräät EU:n alueella olevien henkilöiden online-tunnisteita (kuten IP-osoitteita tai evästeitä)
- Saat sähköpostiosoitteita vastatessasi EU:n alueella olevien henkilöiden kyselyihin
Vaikka saisitkin EU:n alueella olevien henkilöiden tietoja tahattomasti, se ei tarkoita, että kuuluisit GDPR:n maantieteellisen soveltamisalan piiriin, joten GDPR:n noudattaminen ei ole välttämätöntä.
Muistakaa kuitenkin, että GDPR:n noudattaminen on tarpeen, jos yrityksellä on toimipiste EU:n alueella tai vaikka toimipistettä ei olisikaan, mutta seuraavat kaksi ehtoa täyttyvät:
- Tarjoat tavaroita tai palveluita EU:n alueella oleville henkilöille
- Valvot EU:n alueella olevien henkilöiden käyttäytymistä
Mitä toimenpiteitä tarvitaan EU-alueen rajat ylittävän verkkokaupan perustamisessa?
Kun perustat EU-alueen rajat ylittävän verkkokaupan, on mahdollista, että keräät EU-alueella asuvien henkilöiden tietoja. Kerättäviin tietoihin voivat kuulua seuraavat:
- Nimi
- Sähköpostiosoite
- Osoite
- Krediittikorttitiedot
- Ostotiedot
- Sijaintitiedot
- IP-osoite & Cookie ID
Näiden tietojen keräämisen yhteydessä tulee noudattaa GDPR:n sääntöjä, koska tiedot kuuluvat GDPR:n määrittelemiin henkilötietoihin.
Ensimmäisenä askeleena kannattaa tarkistaa ja päivittää GDPR:n vaatimusten mukainen tietosuojakäytäntö sekä julkaista päivitetty tietosuojailmoitus.
Liittyvä artikkeli: Näin laadit GDPR:n mukaisen tietosuojakäytännön – vinkkejä![ja]
Tämän jälkeen seuraa seuraavia vaiheita:
- Luo cookie-käytäntö ja hanki verkkokaupan ensikertalaisilta suostumus cookieiden käyttöön
- Kun keräät henkilötietoja, varmista, että saat suostumuksen ‘henkilötietojen käsittelyyn’
- Toteuta turvatoimia henkilötietojen suojaamiseksi ja tietovuotojen estämiseksi
- Nimeä edustaja
Lisäksi tarvittaessa tarkista yrityksen sisäiset säännöt ja laadi GDPR:n vaatimusten mukaisia toimintaohjeita sekä tarkista ulkoistettujen palveluntarjoajien kanssa tehtyjen sopimusten sisältö.
Mikä ero on GDPR:llä ja UK GDPR:llä?
UK GDPR viittaa Yhdistyneen kuningaskunnan yleiseen tietosuoja-asetukseen. UK GDPR tuli voimaan Yhdistyneen kuningaskunnan EU-eron myötä 1. tammikuuta 2021 (2021). GDPR on EU:n säädös, jota ei sovelleta Yhdistyneessä kuningaskunnassa.
UK GDPR sovelletaan seuraavissa tapauksissa:
- Kun tarjotaan tavaroita tai palveluita henkilöille Yhdistyneessä kuningaskunnassa
- Kun valvotaan Yhdistyneessä kuningaskunnassa olevien henkilöiden käyttäytymistä
Jos harjoitat liiketoimintaa Yhdistyneessä kuningaskunnassa ja EU:n alueella, on tarpeen noudattaa sekä GDPR:ää että UK GDPR:ää.
Yhteenveto: Kun GDPR:n soveltamisala tuottaa haasteita, kääntykää asiantuntijan puoleen
Jos yrityksellänne on toimipiste EU:n alueella tai vaikka toimipistettä ei olisikaan, mutta tarjoatte tavaroita tai palveluita EU:n alueen henkilöille tai valvotte henkilöiden käyttäytymistä, kuulutte GDPR:n soveltamisalan piiriin. GDPR:n alaisuudessa toimivien yritysten on nimettävä EU:ssa sijaitseva edustaja ja mainittava tästä yksityisyydensuojakäytännöissään.
Edustajan nimeämättä jättäminen voi johtaa suuriin sakkomaksuihin. EU:n alueella toimivat tai sinne laajentumista suunnittelevat yritykset, varmistakaa GDPR:n vaatimustenmukaisuus nimittämällä edustaja.
Jos ette ole varmoja, kuuluuko yrityksenne GDPR:n soveltamisalaan, suosittelemme konsultoimaan kansainväliseen oikeudelliseen neuvontaan erikoistunutta asiantuntijaa.
Toimenpiteemme esittely
Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten palveluiden, rikkaan kokemuksen omaava lakitoimisto. Globalisaation myötä kansainvälinen liiketoiminta on kasvanut merkittävästi, ja asiantuntijoiden suorittaman oikeudellisen tarkastuksen tarve on lisääntynyt. Tarjoamme ratkaisuja kansainvälisiin oikeudellisiin kysymyksiin.
Monolith Lakitoimiston palvelualueet: Kansainväliset oikeudelliset palvelut ja ulkomaanliiketoiminta[ja]