Co w przypadku, gdy RODO (GDPR) ma zastosowanie poza granicami? Wyjaśniamy metody postępowania
GDPR to regulacja określona przez UE, która dotyczy ochrony danych osobowych i ich przetwarzania. W przypadku rozwijania działalności związanej z produktami lub usługami na terenie UE, istnieje możliwość, że GDPR będzie miała zastosowanie. Jednakże, niektórzy mogą nie wiedzieć, czy ich firma podlega pod zakres stosowania GDPR, a jeśli tak, co wówczas należy zrobić.
W niniejszym artykule wyjaśniamy zakres stosowania GDPR, co należy zrobić w przypadku jego zastosowania oraz jakie działania są wymagane. Znajdą tu Państwo również sekcję pytań i odpowiedzi dotyczących stosowania GDPR, która może służyć jako pomocnicze źródło informacji.
Zakres stosowania RODO
Warunki stosowania Ogólnego Rozporządzenia o Ochronie Danych (RODO) określone są w artykule 3 „Zakres terytorialny”, który dzieli się na dwie główne sytuacje: gdy podmiot ma siedzibę w Unii Europejskiej oraz gdy jej nie ma.
Jeśli podmiot ma siedzibę w Unii Europejskiej, stosuje się następujące zasady:
„Stosuje się do przetwarzania danych osobowych w ramach działalności placówki administratora lub procesora w Unii Europejskiej, niezależnie od tego, czy przetwarzanie ma miejsce w Unii.”
Źródło: Japońska Komisja Ochrony Danych Osobowych | „Ogólne Rozporządzenie o Ochronie Danych (RODO) – tymczasowe tłumaczenie na język japoński[ja]”
Oznacza to, że jeśli administrator lub procesor ma siedzibę w Unii Europejskiej, RODO jest stosowane.
Administrator | Osoba, która decyduje o celach i środkach przetwarzania danych osobowych |
Procesor | Osoba przetwarzająca dane osobowe w imieniu administratora |
Jeśli podmiot nie ma siedziby w Unii Europejskiej, RODO stosuje się w dwóch przypadkach:
- Gdy oferuje towary lub usługi osobom znajdującym się w Unii Europejskiej
- Gdy monitoruje zachowanie osób znajdujących się w Unii Europejskiej
RODO nakłada surowe ograniczenia na transfer danych do krajów poza Unią i wymaga „decyzji o adekwatności” w celu swobodnego przepływu danych. Decyzja o adekwatności to zatwierdzenie przez Komisję Europejską po konsultacjach, które przyznawane jest krajom lub regionom zapewniającym odpowiedni poziom ochrony danych osobowych.
Kraje lub regiony bez decyzji o adekwatności muszą stosować procedury takie jak Standardowe Klauzule Umowne (SCC) lub Wiążące Reguły Korporacyjne (BCR) w celu transferu danych poza Unię Europejską.
SCC (Standardowe Klauzule Umowne) | Obowiązkowe postanowienia, które muszą być zawarte w umowie o transferze danych |
BCR (Wiążące Reguły Korporacyjne) | Zasady i reguły dotyczące ochrony danych osobowych pozyskanych z Europejskiego Obszaru Gospodarczego (EOG), które są udostępniane powiązanym spółkom poza EOG |
Decyzja o adekwatności eliminuje potrzebę stosowania procedur takich jak SCC czy BCR.
Decyzja o adekwatności dla Japonii została ogłoszona podczas regularnych konsultacji na szczeblu szefów państw i rządów Japonii i Unii Europejskiej w lipcu 2018 roku, aby umożliwić funkcjonowanie ram transferu danych osobowych. Następnie, 23 stycznia 2019 roku, Japonia otrzymała decyzję o adekwatności, a ogłoszono, że „Unia Europejska i Japonia przyjęły decyzję o wzajemnym uznaniu równoważnego poziomu ochrony danych osobowych”.
Jakie obowiązki mają firmy podlegające RODO?
Firmy, na które ma zastosowanie Ogólne Rozporządzenie o Ochronie Danych (RODO), muszą spełnić przynajmniej dwa poniższe wymogi:
- Wybór przedstawiciela w UE/Wielkiej Brytanii
- Dołączenie informacji do polityki prywatności
Poniżej wyjaśniamy szczegóły każdego z tych wymogów.
Wybór przedstawiciela w UE/Wielkiej Brytanii
Artykuł 27 RODO stanowi, że w przypadku zastosowania RODO poza granicami UE, przedsiębiorstwa muszą wyznaczyć przedstawiciela mającego siedzibę w Unii Europejskiej lub Wielkiej Brytanii.
Przedstawiciel, o którym mowa, to osoba wyznaczona na piśmie przez administratora lub podmiot przetwarzający, która reprezentuje administratora lub podmiot przetwarzający w zakresie obowiązków wynikających z RODO.
Nie wszystkie firmy działające na terenie UE muszą wyznaczać przedstawiciela. Wyjątki od obowiązku wyznaczenia przedstawiciela są następujące (zgodnie z artykułem 27 RODO):
- Przetwarzanie danych nie jest okazjonalne, nie obejmuje przetwarzania szczególnych kategorii danych na dużą skalę ani danych osobowych związanych z wyrokami karnymi i przestępstwami, i biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, jest mało prawdopodobne, aby stwarzało ryzyko dla praw lub wolności osób fizycznych
- Jeśli nie jest to organ publiczny ani organizacja publiczna
Źródło: Komisja Ochrony Danych Osobowych | “Ogólne Rozporządzenie o Ochronie Danych (RODO) – tymczasowe tłumaczenie na język japoński[ja]“
Dołączenie informacji do polityki prywatności
Firmy, na które ma zastosowanie RODO, muszą również wyraźnie wskazać w swojej polityce prywatności, że wyznaczyły przedstawiciela.
Przepisy karne za niepowołanie przedstawiciela
Pomimo że działalność podlega zakresowi stosowania Rozporządzenia Ogólnego o Ochronie Danych (RODO), niepowołanie przedstawiciela może skutkować nałożeniem sankcji. Kary mogą wynosić do maksymalnie 1,000 euro lub do 2% rocznych światowych obrotów, w zależności od tego, która z kwot jest wyższa (zgodnie z art. 84 ust. 4 RODO).
Obowiązki wymagane od pełnomocnika
Jeśli obowiązuje zakres stosowania Rozporządzenia Ogólnego o Ochronie Danych (GDPR), zasadniczo należy wyznaczyć pełnomocnika. Jakie zatem obowiązki spoczywają na pełnomocniku? Poniżej szczegółowo wyjaśniamy zadania pełnomocnika.
Przetwarzanie zapisów zgodnie z artykułem 30
Administratorzy lub procesorzy, którzy mają pełnomocnika w krajach Unii Europejskiej, muszą udostępnić mu swoje zapisy przetwarzania. Pełnomocnik, podobnie jak administrator lub procesor, jest również zobowiązany do przechowywania tych zapisów (artykuł 30 GDPR).
Zapisy, które należy prowadzić, obejmują między innymi:
- Nazwiska i dane kontaktowe administratora, DPO (Inspektora Ochrony Danych) itp.
- Cele przetwarzania
- Atrybuty podmiotu danych i rodzaje przetwarzanych danych
- Okres przechowywania
- Termin usunięcia
Podmiotem danych jest zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane osobowe są przetwarzane.
W przypadku żądania ze strony organu nadzorczego, te zapisy przetwarzania muszą być dostępne do wykorzystania.
Odpowiadanie na zapytania od podmiotów danych lub organów nadzorczych
W przypadku zapytań od podmiotów danych lub organów nadzorczych, pełnomocnik musi działać w imieniu administratora lub procesora i odpowiadać na zapytania od podmiotów danych lub organów nadzorczych (artykuł 27 ustęp 3 GDPR). Na przykład, gdy podmiot danych zgłasza żądanie, administrator musi dostarczyć informacje w ciągu jednego miesiąca (artykuł 12 ustęp 3 GDPR). Ponadto, pełnomocnik musi współpracować z organem nadzorczym i odpowiadać na jego żądania (artykuł 31 GDPR).
Q&A dotyczące stosowania Rozporządzenia RODO
Odpowiadamy poniżej na często zadawane pytania dotyczące stosowania Rozporządzenia Ogólnego o Ochronie Danych (RODO).
Czy potrzebne jest dostosowanie do GDPR, jeśli nie planujemy ekspansji zagranicznej?
W zasadzie, jeśli nie planujesz ekspansji zagranicznej, nie musisz dostosowywać się do Rozporządzenia Ogólnego o Ochronie Danych (GDPR). Jednakże, nawet jeśli nie prowadzisz działalności za granicą, należy zachować ostrożność, jeśli istnieje możliwość pozyskania danych osobowych od osób znajdujących się w Unii Europejskiej.
Można rozważyć następujące przypadki:
- Prowadzisz sklep internetowy i otrzymujesz zapytania lub zamówienia od osób z terenu UE
- Przez przeglądanie Twojej strony internetowej pozyskujesz online identyfikatory osobowe (takie jak adresy IP lub pliki cookie) osób z UE
- Pozyskujesz adresy e-mail w odpowiedzi na zapytania od osób z UE
Nawet jeśli niezamierzenie pozyskasz dane osobowe osób z UE, nie oznacza to automatycznego podlegania pod zakres geograficzny GDPR, więc nie musisz się do niego dostosowywać.
Pamiętaj jednak, że konieczność dostosowania się do GDPR istnieje, jeśli masz siedzibę w UE lub nawet jeśli jej nie masz, ale spełniasz jedno z poniższych kryteriów:
- Jeśli oferujesz towary lub usługi osobom znajdującym się w UE
- Jeśli monitorujesz zachowania osób znajdujących się w UE
Jakie działania są niezbędne przy uruchamianiu transgranicznego serwisu e-commerce obejmującego obszar UE?
Przy uruchamianiu transgranicznego serwisu e-commerce, który obejmuje obszar Unii Europejskiej, istnieje możliwość pozyskania danych osobowych osób z UE. Do pozyskiwanych informacji mogą należeć:
- Imię i nazwisko
- Adres e-mail
- Adres zamieszkania
- Informacje o karcie kredytowej
- Informacje o zakupach
- Dane lokalizacyjne
- Adres IP & ID Cookie
W przypadku pozyskiwania tych informacji, ponieważ odpowiadają one definicji danych osobowych określonej w GDPR, należy je przetwarzać zgodnie z przepisami GDPR.
Na początek warto dokonać przeglądu i aktualizacji polityki prywatności zgodnej z GDPR oraz opublikować zaktualizowane powiadomienie o prywatności.
Artykuł powiązany: Kluczowe punkty przy tworzeniu polityki prywatności zgodnej z GDPR![ja]
Następnie należy podjąć następujące kroki:
- Utworzenie polityki dotyczącej plików cookie i uzyskanie zgody na ich użycie od osób odwiedzających serwis po raz pierwszy
- W przypadku pozyskiwania danych osobowych, uzyskanie zgody na “przetwarzanie danych osobowych”
- Wdrożenie środków bezpieczeństwa w celu ochrony danych osobowych i zapobiegania ich wyciekom
- Wybór przedstawiciela
Dodatkowo, w razie potrzeby, należy dokonać przeglądu wewnętrznych procedur i stworzyć instrukcje dostosowane do wymogów GDPR, a także zrewidować treść umów z podwykonawcami.
Czym różni się GDPR od UK GDPR?
UK GDPR to brytyjskie ogólne rozporządzenie o ochronie danych. UK GDPR zostało wprowadzone w życie 1 stycznia 2021 roku (Reiwa 3) w związku z wyjściem Wielkiej Brytanii z Unii Europejskiej. GDPR to regulacja UE, która nie jest stosowana w Wielkiej Brytanii.
UK GDPR ma zastosowanie w następujących przypadkach:
- Gdy oferuje się towary lub usługi osobom znajdującym się na terenie Wielkiej Brytanii
- Gdy monitoruje się zachowanie osób znajdujących się na terenie Wielkiej Brytanii
Jeśli prowadzi się działalność gospodarczą w Wielkiej Brytanii lub na terenie UE, należy dostosować się zarówno do przepisów GDPR, jak i UK GDPR.
Podsumowanie: W razie problemów z zakresem stosowania RODO skonsultuj się ze specjalistą
Jeśli Twoja firma posiada siedzibę w Unii Europejskiej lub nawet bez siedziby w UE oferuje towary lub usługi osobom znajdującym się na jej terytorium albo monitoruje ich zachowanie, wówczas podlega zakresowi stosowania RODO. Przedsiębiorstwa objęte RODO muszą wyznaczyć przedstawiciela w UE i jasno określić to w swojej polityce prywatności.
Nieuznani przedstawiciela może skutkować nałożeniem wysokich kar finansowych. Firmy, które rozwijają działalność w UE lub planują tam wejście, powinny dostosować się do RODO i wyznaczyć swojego przedstawiciela.
Jeśli nie jesteś pewien, czy Twoja firma podlega zakresowi stosowania RODO, zalecamy konsultację ze specjalistą z zakresu prawa międzynarodowego.
Informacje o środkach zaradczych naszej kancelarii
Kancelaria Prawna Monolith posiada bogate doświadczenie w dziedzinie IT, a w szczególności w zakresie prawa internetowego. W ostatnich latach globalny biznes rozwija się w coraz szybszym tempie, co zwiększa potrzebę profesjonalnej kontroli prawnej. Nasza kancelaria oferuje rozwiązania związane z międzynarodowymi usługami prawnymi.
Obszary praktyki Kancelarii Prawnej Monolith: Międzynarodowe prawo biznesowe i zagraniczne przedsięwzięcia[ja]