GDPR og dens ekstraterritorielle anvendelse: Hvordan skal man håndtere det?
GDPR er en forordning fastsatt av EU som definerer beskyttelse og håndtering av personopplysninger. Dersom du tilbyr varer eller tjenester innenfor EU, kan det hende at GDPR blir anvendelig. Det er imidlertid noen som ikke er sikre på om deres virksomhet faller inn under GDPRs anvendelsesområde, eller hva de skal gjøre hvis det er tilfellet.
I denne artikkelen vil vi forklare omfanget av GDPR, hva du bør gjøre hvis den blir anvendelig, og hvilke tiltak som kreves. Det er også en Q&A-seksjon om GDPR-anvendelse, så vennligst bruk den som en ressurs.
Anvendelsesområdet for GDPR
Betingelsene for når GDPR gjelder, er fastsatt i artikkel 3, “Territorielt anvendelsesområde”, i GDPR. Anvendelsesområdet for GDPR deles inn i to situasjoner: når det finnes et etablissement innenfor EU og når det ikke gjør det.
Innholdet som er fastsatt for tilfeller hvor det finnes et etablissement innenfor EU, er som følger:
“Denne forordningen gjelder behandling av personopplysninger i forbindelse med aktivitetene til en behandlingsansvarlig eller databehandler etablert i Unionen, uavhengig av om behandlingen finner sted i Unionen eller ikke.”
Referanse: Personvernkomiteen | “Generell databeskyttelsesforordning (GDPR) foreløpig japansk oversettelse“
Med andre ord, hvis det finnes et etablissement for en behandlingsansvarlig eller databehandler innenfor EU, vil GDPR gjelde.
| Behandlingsansvarlig | Den som bestemmer formålene med og midlene for behandlingen av personopplysninger |
| Databehandler | Den som behandler personopplysninger på vegne av den behandlingsansvarlige |
Når det ikke finnes et etablissement innenfor EU, er anvendelsesområdet som følger:
- Når det tilbys varer eller tjenester til personer i EU
- Når atferden til personer i EU overvåkes
GDPR pålegger strenge restriksjoner overfor land utenfor EU, og for å overføre data fritt, er det nødvendig med en “adekvatvurdering”. Adekvatvurdering er en godkjenning som bestemmes etter konsultasjoner med Europakommisjonen, og det gis til land eller regioner som sikrer et tilstrekkelig beskyttelsesnivå for personopplysninger.
Land eller regioner uten en adekvatvurdering må følge prosedyrer som Standard Contractual Clauses (SCC) eller Binding Corporate Rules (BCR) for å overføre data utenfor EU.
| SCC (Standard Contractual Clauses) | Obligatoriske bestemmelser som må inkluderes i kontrakter om datatransfer |
| BCR (Binding Corporate Rules) | Retningslinjer og regler for å beskytte personopplysninger hentet fra Det europeiske økonomiske samarbeidsområdet (EØS) og for deling med tilknyttede selskaper utenfor EØS |
Det som endres med en adekvatvurdering, er at det ikke er nødvendig å følge prosedyrer som SCC eller BCR.
Adekvatvurderingen for Japan ble annonsert under den regulære toppmøtekonsultasjonen mellom Japan og EU i juli 2018 (2018), med en innsats for å gjøre rammeverket for overføring av personopplysninger operativt. Deretter, den 23. januar 2019 (2019), mottok Japan en adekvatvurdering, og det ble annonsert at “EU og Japan har vedtatt en beslutning som gjensidig anerkjenner et tilsvarende beskyttelsesnivå for personopplysninger.”
Hva må bedrifter som er underlagt GDPR gjøre?
For bedrifter som er underlagt GDPR, er det to hovedkrav de må oppfylle:
- Utpeke en representant i EU/Storbritannia
- Inkludere detaljer i personvernpolicyen
Her forklarer vi detaljene for hvert krav.
Utpeke en representant i EU/Storbritannia
Artikkel 27 i GDPR krever at bedrifter som er underlagt GDPRs ekstraterritorielle anvendelse, må utpeke en representant i enten EU eller Storbritannia.
Denne representanten er en person som er utnevnt skriftlig av en kontrollør eller en prosessor, og som representerer kontrolløren eller prosessoren med hensyn til deres forpliktelser under GDPR.
Ikke alle bedrifter som opererer innenfor EU må utpeke en representant. Bedrifter som ikke er pålagt å utpeke en representant er de som faller under følgende unntak (Artikkel 27 i GDPR):
- Behandlingen de utfører under GDPR er ikke av en tilfeldig natur, og den omfatter ikke behandling av spesielle kategorier av data eller personopplysninger knyttet til straffedommer og lovbrudd i stor skala, og når man tar hensyn til behandlingens art, omfang, sammenheng og formål, er det lite sannsynlig at den vil medføre en risiko for de fysiske personenes rettigheter og friheter
- De er ikke en offentlig myndighet eller offentlig organ
Referanse: Personvernkomiteen | ‘Generell databeskyttelsesforordning (GDPR) foreløpig japansk oversettelse‘
Inkludere detaljer i personvernpolicyen
Bedrifter som er underlagt GDPR må inkludere informasjon i sin personvernpolicy om at de har utpekt en representant.
Sanksjonsbestemmelser ved manglende utnevnelse av representant
Dersom man opererer innenfor GDPRs anvendelsesområde og unnlater å utnevne en representant, må man være oppmerksom på at dette kan medføre sanksjoner. Straffen kan være på opptil 1 000 euro, eller inntil 2 % av den globale årsomsetningen, avhengig av hvilket beløp som er høyest (GDPR artikkel 84, paragraf 4).
Oppgaver som kreves av en representant
Når GDPR er gjeldende, må man som hovedregel utnevne en representant. Men hvilke oppgaver kreves det at representanten utfører? Her vil vi forklare representantens oppgaver i detalj.
Artikkel 30s behandlingslogg
Administratorer eller behandlere som har en representant i EU-land, må dele sine behandlingslogger med representanten. Representanten er også pålagt å oppbevare disse loggene på samme måte som administratoren eller behandleren (GDPR artikkel 30).
Innholdet som må loggføres inkluderer følgende:
- Navn og kontaktinformasjon for administratoren, DPO (Data Protection Officer) og lignende
- Formålet med behandlingen
- Kategorier av registrerte og typer av data som behandles
- Lagringsperiode
- Tidspunkt for sletting
Med “registrert” menes en identifisert eller identifiserbar fysisk person som persondataene gjelder for.
Ved forespørsel fra tilsynsmyndigheten, må disse behandlingsloggene være tilgjengelige for bruk.
Håndtering av henvendelser fra registrerte eller tilsynsmyndigheten
Når det kommer henvendelser fra registrerte eller tilsynsmyndigheten, er det representantens oppgave å håndtere disse på vegne av administratoren eller behandleren (GDPR artikkel 27, paragraf 3). For eksempel, hvis en registrert person krever informasjon, må administratoren levere denne innen én måned (GDPR artikkel 12, paragraf 3). Representanten må også samarbeide med tilsynsmyndigheten og svare på deres forespørsler (GDPR artikkel 31).
Spørsmål og svar om anvendelsen av GDPR
Her svarer vi på noen av de vanligste spørsmålene om anvendelsen av GDPR.
Er det nødvendig å overholde GDPR selv om det ikke er planer om å ekspandere internasjonalt?
Generelt sett, hvis det ikke er noen planer om internasjonal ekspansjon, er det ikke nødvendig å overholde GDPR. Det er imidlertid viktig å være oppmerksom hvis det er en mulighet for å samle inn data fra individer innenfor EU, selv uten internasjonal virksomhet.
For eksempel, kan følgende situasjoner oppstå:
- Du driver en nettbutikk og mottar henvendelser eller bestillinger fra personer i EU.
- Nettstedet ditt samler inn online identifikatorer (som IP-adresser eller informasjonskapsler) fra personer i EU gjennom deres besøk.
- Du samler inn e-postadresser fra personer i EU som et resultat av henvendelser.
Om du utilsiktet samler inn persondata fra individer i EU, er det ikke nødvendig å overholde GDPR så lenge du ikke faller inn under dens geografiske anvendelsesområde.
Husk at det kun er nødvendig å overholde GDPR hvis du har en virksomhet i EU, eller selv uten en EU-basert virksomhet, hvis du faller under en av de følgende to kriteriene:
- Du tilbyr varer eller tjenester til personer i EU.
- Du overvåker atferden til personer i EU.
Hvilke tiltak er nødvendige når du lanserer en grenseoverskridende e-handelsnettsted som inkluderer EU-området?
Når du lanserer et grenseoverskridende e-handelsnettsted som inkluderer EU-området, kan det hende du samler inn personopplysninger fra EU-innbyggere. Informasjonen som kan samles inn inkluderer:
- Navn
- E-postadresse
- Adresse
- Kredittkortinformasjon
- Kjøpsinformasjon
- Lokasjonsdata
- IP-adresse & Cookie-ID
Når du samler inn denne informasjonen, faller den under persondata som er definert i GDPR, og du må derfor håndtere den i henhold til GDPR-reglene.
Det første du bør gjøre er å revidere din personvernpolicy og oppdatere og publisere din personvernerklæring i samsvar med GDPR.
Relatert artikkel: Viktige punkter når du oppretter en GDPR-kompatibel personvernpolicy![ja]
Deretter bør du følge disse trinnene:
- Opprette en cookie-policy og innhente samtykke til bruk av cookies fra førstegangsbesøkende på e-handelsnettstedet
- Innhente samtykke til “håndtering av persondata” når personopplysninger samles inn
- Implementere sikkerhetstiltak for å beskytte persondata og forhindre lekkasjer
- Utnevne en representant
I tillegg bør du ved behov revidere interne regler, utarbeide manualer for å tilpasse deg GDPR og revidere kontrakter med underleverandører.
Hva er forskjellen mellom GDPR og UK GDPR?
UK GDPR er den generelle databeskyttelsesforordningen i Storbritannia. UK GDPR trådte i kraft 1. januar 2021 (Reiwa 3) som følge av Storbritannias uttreden fra EU. GDPR er en EU-forordning og gjelder ikke i Storbritannia.
UK GDPR gjelder i følgende tilfeller:
- Når man tilbyr varer eller tjenester til personer i Storbritannia
- Når man overvåker atferden til personer som befinner seg i Storbritannia
Hvis du driver virksomhet i Storbritannia eller innenfor EU, må du sørge for å overholde både GDPR og UK GDPR.
Oppsummering: Kontakt en ekspert hvis du er usikker på GDPRs anvendelsesområde
Hvis du har et etablissement innenfor EU, eller selv uten et etablissement, tilbyr varer eller tjenester til personer innenfor EU eller overvåker deres atferd, faller du inn under anvendelsesområdet til GDPR (General Data Protection Regulation). Bedrifter som er underlagt GDPR må utpeke en representant i EU og tydelig inkludere dette i deres personvernpolicy.
Uten å utpeke en slik representant, kan du risikere å måtte betale store bøter. Bedrifter som opererer eller planlegger å operere innenfor EU bør utpeke en representant for å overholde GDPR.
Hvis du er usikker på om din bedrift faller under GDPRs anvendelsesområde, anbefales det å konsultere en ekspert med kunnskap om internasjonal rettspraksis.
Veiledning om tiltak fra vår advokatfirma
Monolith Advokatfirma har omfattende erfaring innen IT, og spesielt internett og jus. I de senere årene har global business vokst stadig mer, og behovet for juridisk sjekk av eksperter har økt tilsvarende. Vårt firma tilbyr løsninger relatert til internasjonal juridisk service.
Monolith Advokatfirmas tjenesteområder: Internasjonal juridisk service og utenlandske forretninger[ja]
Related Articles
Økende bruk av elektroniske signaturer og elektroniske kontrakter under koronakrisen: En forklar.
General Corporate
Medisinsk reklameregulering: Hva er tillatt å annonsere, og eksempler på hva som ikke er tillatt.
General Corporate
Er frilansere 'arbeidstakere'? Hva HR-ansvarlige bør vite om kriteriene for å avgjøre arbeidstak.
General Corporate
