MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

GDPR en de extraterritoriale toepassing: Hoe te reageren?

General Corporate

GDPR en de extraterritoriale toepassing: Hoe te reageren?

De GDPR, ofwel de Algemene Verordening Gegevensbescherming, is een regelgeving vastgesteld door de EU die de bescherming en de verwerking van persoonsgegevens reguleert. Wanneer u producten of diensten aanbiedt binnen de EU, kan de GDPR van toepassing zijn. Echter, het is mogelijk dat u niet zeker weet of uw bedrijf onder de reikwijdte van de GDPR valt, en als dat zo is, wat u dan moet doen.

In dit artikel leggen we de reikwijdte van de GDPR uit, wat u moet doen als deze op u van toepassing is, en welke maatregelen u moet nemen. Er is ook een Q&A over de toepassing van de GDPR, dus maak hier zeker gebruik van als referentie.

Toepassingsgebied van de Algemene Verordening Gegevensbescherming (GDPR)

Vrouw

De voorwaarden waaronder de GDPR van toepassing is, zijn vastgelegd in Artikel 3 ‘Territoriale toepasselijkheid’ van de GDPR. Het toepassingsgebied van de GDPR is verdeeld in twee situaties: wanneer er wel en geen vestiging binnen de EU is.

De inhoud die is vastgesteld voor het geval er een vestiging binnen de EU is, luidt als volgt:

“Deze is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie plaatsvindt.”

Referentie: Japanse Persoonsgegevensbeschermingscommissie | ‘Algemene Verordening Gegevensbescherming (GDPR) voorlopige Japanse vertaling[ja]

Dit betekent dat de GDPR van toepassing is wanneer er een verwerkingsverantwoordelijke of verwerker met een vestiging binnen de EU is.

VerwerkingsverantwoordelijkeDe persoon die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt
VerwerkerDe persoon die namens de verwerkingsverantwoordelijke de verwerking van persoonsgegevens uitvoert

Voor gevallen waarin er geen vestiging binnen de EU is, zijn de volgende twee toepassingsgebieden vastgesteld:

  1. Wanneer goederen of diensten worden aangeboden aan personen binnen de EU
  2. Wanneer het gedrag van personen binnen de EU wordt gemonitord

De GDPR legt strenge beperkingen op aan landen buiten de EU en vereist een ‘adequaatheidsbesluit’ om gegevens vrijelijk te kunnen overdragen. Een adequaatheidsbesluit is een certificering die wordt besloten na overleg met de Europese Commissie en wordt toegekend aan landen of regio’s die een voldoende niveau van bescherming van persoonsgegevens waarborgen.

Landen of regio’s zonder adequaatheidsbesluit moeten procedures zoals Standard Contractual Clauses (SCC) of Binding Corporate Rules (BCR) volgen voor de overdracht van gegevens buiten de EU.

SCC (Standaardcontractbepalingen)Essentiële voorwaarden die moeten worden opgenomen in een gegevensoverdrachtcontract
BCR (Bindende bedrijfsvoorschriften)Beleid en regels voor het delen van persoonsgegevens verkregen uit de Europese Economische Ruimte (EER) met gelieerde ondernemingen buiten de EER

Wat verandert met een adequaatheidsbesluit is dat er geen noodzaak meer is om procedures zoals SCC of BCR te volgen.

Een adequaatheidsbesluit voor Japan werd aangekondigd tijdens de reguliere EU-Japan top in juli 2018 (Heisei 30), waar werd besloten om inspanningen te leveren om een kader voor de overdracht van persoonsgegevens operationeel te maken. Vervolgens, op 23 januari 2019 (Heisei 31), ontving Japan een adequaatheidsbesluit en werd er een verklaring afgegeven waarin werd verwelkomd dat “de EU en Japan hebben besloten elkaar wederzijds als gelijkwaardig te erkennen op het gebied van bescherming van persoonsgegevens”.

Wat moeten bedrijven doen die onder de GDPR vallen?

Wat moeten bedrijven doen die onder de GDPR vallen?

Er zijn twee hoofdzaken die bedrijven moeten doen als ze onder de GDPR vallen:

  • Het aanstellen van een vertegenwoordiger in de EU/UK
  • Het duidelijk vermelden in het privacybeleid

Hieronder leggen we de details van elk uit.

Het aanstellen van een vertegenwoordiger in de EU/UK

Artikel 27 van de GDPR stelt dat bedrijven die buiten de EU of UK gevestigd zijn, maar wel onder de GDPR vallen, verplicht zijn om een vertegenwoordiger in de EU of UK aan te stellen.

Deze vertegenwoordiger, die schriftelijk door de verwerkingsverantwoordelijke of de verwerker wordt aangewezen, vertegenwoordigt hen met betrekking tot hun verplichtingen onder de GDPR.

Niet alle bedrijven die actief zijn binnen de EU moeten een vertegenwoordiger aanstellen. Bedrijven die niet verplicht zijn om een vertegenwoordiger aan te stellen, zijn de volgende (volgens Artikel 27 van de GDPR):

  • Bedrijven waarvoor de verwerking van gegevens die onder de GDPR vallen niet incidenteel is, en die geen grote hoeveelheden gegevens verwerken die betrekking hebben op strafrechtelijke veroordelingen en misdrijven, en waarbij de aard, de omvang, de context en de doeleinden van de verwerking niet waarschijnlijk een risico vormen voor de rechten en vrijheden van natuurlijke personen
  • Bedrijven die geen overheidsinstantie of publieke organisatie zijn

Referentie: Persoonsgegevensbeschermingscommissie | ‘Algemene Verordening Gegevensbescherming (GDPR) voorlopige Japanse vertaling[ja]

Het duidelijk vermelden in het privacybeleid

Bedrijven die onder de GDPR vallen, moeten in hun privacybeleid duidelijk vermelden dat ze een vertegenwoordiger hebben aangesteld.

Sancties bij het niet aanstellen van een vertegenwoordiger

Sanctiebepalingen

Indien u binnen de toepassingsgebied van de Algemene Verordening Gegevensbescherming (AVG) valt en nalaat een vertegenwoordiger aan te stellen, kunt u onderworpen worden aan sancties. De boetes kunnen oplopen tot maximaal 1.000 euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is (Artikel 84, lid 4 van de AVG).

De taken van een vertegenwoordiger

Vrouwelijke vertegenwoordiger

Wanneer de GDPR van toepassing is, moet u in principe een vertegenwoordiger aanstellen. Maar welke taken worden er van een vertegenwoordiger verwacht? Hier lichten we de taken van een vertegenwoordiger gedetailleerd toe.

Verwerking van artikel 30-records

Beheerders of verwerkers die een vertegenwoordiger in EU-lidstaten hebben, moeten hun verwerkingsrecords delen met hun vertegenwoordiger. Bovendien wordt van de vertegenwoordiger verwacht dat zij de records opslaan, net zoals de beheerder of verwerker dat zou doen (GDPR artikel 30).

De records moeten onder andere de volgende informatie bevatten:

  • Namen en contactgegevens van de beheerder, DPO (Data Protection Officer) en dergelijke
  • Doel van de verwerking
  • Categorieën van betrokkenen en soorten verwerkte gegevens
  • Bewaartermijnen
  • Tijdstip van verwijdering

Met betrokkene wordt een geïdentificeerde of identificeerbare natuurlijke persoon bedoeld, oftewel de persoon op wie de persoonsgegevens betrekking hebben.

Bij een verzoek van de toezichthoudende autoriteit moeten deze verwerkingsrecords beschikbaar zijn.

Reageren op vragen van betrokkenen of toezichthoudende autoriteiten

Wanneer er vragen zijn van betrokkenen of toezichthoudende autoriteiten, wordt van de vertegenwoordiger verwacht dat zij namens de beheerder of verwerker reageren (GDPR artikel 27, lid 3). Bijvoorbeeld, als een betrokkene een verzoek indient, moet de beheerder binnen een maand informatie verstrekken (GDPR artikel 12, lid 3). Daarnaast moet de vertegenwoordiger op verzoeken van de toezichthoudende autoriteit reageren en samenwerken met de autoriteit (GDPR artikel 31).

Q&A over de toepassing van de Algemene Verordening Gegevensbescherming (AVG)

FAQ

Hieronder beantwoorden we enkele veelgestelde vragen over de toepassing van de Algemene Verordening Gegevensbescherming (AVG).

Is naleving van de GDPR noodzakelijk als u niet van plan bent internationaal uit te breiden?

In principe is naleving van de GDPR niet nodig als u geen plannen heeft om internationaal uit te breiden. Echter, zelfs als u niet internationaal actief bent, is het belangrijk om voorzichtig te zijn als er een mogelijkheid bestaat dat u gegevens verzamelt van individuen binnen de EU.

Bijvoorbeeld, de volgende situaties kunnen zich voordoen:

  • U beheert een e-commerce website en ontvangt vragen of bestellingen van individuen binnen de EU.
  • Door het bezoeken van uw website verkrijgt u online identificatoren (zoals IP-adressen of cookies) van individuen binnen de EU.
  • U verkrijgt e-mailadressen van individuen binnen de EU als reactie op hun vragen.

Zelfs als u onbedoeld persoonsgegevens van individuen binnen de EU verzamelt, betekent dit niet automatisch dat u onder de geografische toepassingsgebied van de GDPR valt, dus u hoeft niet per se aan de GDPR te voldoen.

Onthoud dat naleving van de GDPR alleen noodzakelijk is als u een vestiging binnen de EU heeft, of zelfs zonder een vestiging binnen de EU, als u aan een van de volgende twee voorwaarden voldoet:

  1. U biedt goederen of diensten aan individuen binnen de EU.
  2. U monitort het gedrag van individuen binnen de EU.

Welke maatregelen zijn nodig bij het lanceren van een grensoverschrijdende e-commerce website gericht op de EU?

Wanneer u een grensoverschrijdende e-commerce website lanceert die zich richt op de EU, bestaat de mogelijkheid dat u persoonlijke informatie verzamelt van personen binnen de EU. De informatie die u mogelijk verzamelt, omvat het volgende:

  • Naam
  • E-mailadres
  • Adres
  • Creditcardinformatie
  • Aankoopinformatie
  • Locatiegegevens
  • IP-adres & Cookie-ID

Als u deze informatie verzamelt, valt deze onder persoonsgegevens zoals gedefinieerd in de GDPR, en moet u deze volgens de regels van de GDPR behandelen.

Het is aan te raden om te beginnen met het herzien van uw privacybeleid en het bijwerken en publiceren van uw privacyverklaring in overeenstemming met de GDPR.
Gerelateerd artikel: Belangrijke punten bij het opstellen van een GDPR-conform privacybeleid![ja]

Daarnaast volgt u de onderstaande stappen:

  1. Een cookiebeleid opstellen en toestemming verkrijgen voor het gebruik van cookies van bezoekers die voor het eerst op de e-commerce site komen
  2. Toestemming verkrijgen voor de ‘verwerking van persoonsgegevens’ wanneer u persoonlijke informatie verzamelt
  3. Beveiligingsmaatregelen treffen ter bescherming van persoonsgegevens en ter voorkoming van datalekken
  4. Een vertegenwoordiger aanstellen

Daarnaast is het verstandig om indien nodig uw interne regelgeving te herzien en handleidingen te maken voor GDPR-compliance, evenals het herzien van contracten met externe dienstverleners.

Wat is het verschil tussen de GDPR en de UK GDPR?

De UK GDPR is de Algemene Verordening Gegevensbescherming van het Verenigd Koninkrijk. De UK GDPR is ingevoerd op 1 januari 2021 (2021年1月1日) als gevolg van de Brexit. De GDPR is een EU-regelgeving en is niet van toepassing in het Verenigd Koninkrijk.

De UK GDPR is van toepassing in de volgende gevallen:

  1. Wanneer u goederen of diensten levert aan personen binnen het Verenigd Koninkrijk
  2. Wanneer u het gedrag van personen binnen het Verenigd Koninkrijk monitort

Als u zaken doet in het Verenigd Koninkrijk en binnen de EU, moet u zowel aan de GDPR als de UK GDPR voldoen.

Samenvatting: Raadpleeg een expert als u problemen heeft met de toepassingsgebied van de GDPR

Man die expert is

Als uw bedrijf een vestiging binnen de EU heeft, of zelfs zonder een vestiging, als u goederen of diensten aanbiedt aan personen binnen de EU of het gedrag van personen monitort, valt u onder de toepassingsgebied van de GDPR. Bedrijven die onder de GDPR vallen, moeten een vertegenwoordiger met een vestiging in de EU aanstellen en dit duidelijk vermelden in hun privacybeleid.

Als u geen vertegenwoordiger aanstelt, kunt u te maken krijgen met hoge boetes. Bedrijven die actief zijn of plannen hebben om uit te breiden binnen de EU, moeten een vertegenwoordiger aanstellen om aan de GDPR te voldoen.

Als u niet zeker weet of uw bedrijf onder de toepassingsgebied van de GDPR valt, is het raadzaam om advies in te winnen bij een expert in internationaal recht.

Maatregelen van ons kantoor

Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in IT, en in het bijzonder op het gebied van internet en recht. In de recente jaren is het globale bedrijfsleven steeds verder uitgebreid, en de noodzaak voor juridische controle door experts neemt toe. Ons kantoor biedt oplossingen aan met betrekking tot internationaal juridische zaken.

Expertisegebieden van Monolith Advocatenkantoor: Internationaal recht en buitenlandse zaken[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Terug naar boven