Ce se întâmplă când GDPR este aplicabil extrateritorial? Explicarea metodelor de conformare

GDPR este un regulament stabilit de UE care definește protecția și prelucrarea datelor personale. Dacă desfășurați activități comerciale sau oferiți servicii în interiorul UE, este posibil să fiți supuși reglementărilor GDPR. Totuși, există persoane care nu sunt sigure dacă activitățile lor intră sub incidența GDPR sau, în caz afirmativ, ce măsuri ar trebui să ia.

Acest articol explică domeniul de aplicare al GDPR, ce trebuie să faceți dacă vă este aplicabil și răspunsurile necesare pe care trebuie să le oferiți. De asemenea, include o secțiune de întrebări și răspunsuri legate de aplicarea GDPR, așa că vă invităm să o consultați pentru informații suplimentare.

Aria de aplicare a GDPR

Condițiile de aplicabilitate ale GDPR sunt stabilite în Articolul 3 ‘Aria geografică de aplicare’ al GDPR. Aria de aplicare a GDPR se împarte în două situații: când există o bază în UE și când nu există.

Conținutul stabilit pentru cazurile în care există o bază în UE este următorul:

“Se aplică tratării datelor personale în contextul activităților unui stabiliment al unui operator sau al unui procesator în Uniunea Europeană, indiferent dacă tratamentul are loc în Uniunea Europeană sau nu.”

Referință: Comisia pentru Protecția Datelor Personale | ‘Regulamentul General pentru Protecția Datelor (GDPR) – Traducere provizorie în japoneză[ja]‘

Prin urmare, acest lucru indică faptul că GDPR se aplică atunci când există o bază a operatorului sau a procesatorului în UE.

Când nu există o bază în UE, aria de aplicare include următoarele două situații:

1. Când se oferă bunuri sau servicii persoanelor din UE
2. Când se monitorizează comportamentul persoanelor din UE

GDPR impune restricții stricte țărilor din afara UE și, pentru a transfera date liber, este necesară o ‘decizie de adecvare’. Decizia de adecvare este o aprobare decisă după consultarea Comisiei Europene, acordată țărilor sau regiunilor care asigură un nivel adecvat de protecție a datelor personale.

Țările sau regiunile care nu au o decizie de adecvare trebuie să urmeze proceduri precum SCC sau BCR pentru transferul de date în afara UE.

Diferența adusă de decizia de adecvare este că nu mai este necesar să se urmeze proceduri precum SCC sau BCR.

Decizia de adecvare pentru Japonia a fost anunțată în iulie 2018, în cadrul consultărilor periodice la nivel înalt între Japonia și UE, pentru a facilita cadrul de transfer al datelor personale. Ulterior, la 23 ianuarie 2019, Japonia a primit decizia de adecvare, iar ‘decizia reciprocă de recunoaștere a nivelului echivalent de protecție a datelor personale între UE și Japonia a fost salutată’.

Ce trebuie să facă companiile la care se aplică GDPR?

În cazul în care se aplică GDPR, companiile trebuie să îndeplinească următoarele două cerințe principale:

• Desemnarea unui reprezentant în UE/UK
• Includerea informațiilor în politica de confidențialitate

Aici vom explica detaliile fiecăruia dintre acestea.

Desemnarea unui reprezentant în UE/UK

Articolul 27 din GDPR prevede obligația de a desemna un reprezentant în UE sau UK în cazul aplicării extrateritoriale a GDPR.

Reprezentantul menționat aici este persoana desemnată în scris de către operator sau procesator, care reprezintă operatorul sau procesatorul în ceea ce privește obligațiile acestora sub GDPR.

Nu toate companiile care desfășoară activități în UE trebuie să desemneze un reprezentant. Companiile care nu sunt obligate să desemneze un reprezentant sunt următoarele (conform Articolului 27 din GDPR):

• Activitățile care sunt supuse GDPR nu sunt ocazionale și nu implică prelucrarea pe scară largă a categoriilor speciale de date sau a datelor personale legate de condamnări penale și infracțiuni, și luând în considerare natura, contextul, scopul și durata prelucrării, riscul pentru drepturile și libertățile persoanelor fizice este scăzut
• În cazul în care nu sunt o autoritate publică sau un organism public

Referință: Comisia pentru Protecția Datelor Personale | ‘Regulamentul General pentru Protecția Datelor (GDPR) – Traducere provizorie în japoneză[ja]‘

Includerea informațiilor în politica de confidențialitate

Companiile la care se aplică GDPR trebuie să includă în politica de confidențialitate faptul că au desemnat un reprezentant.

Sancțiuni pentru neîmputernicirea unui reprezentant

Este important să fiți atenți la faptul că, în ciuda faptului că sunteți în sfera de aplicare a Regulamentului General privind Protecția Datelor (GDPR), dacă nu numiți un reprezentant, puteți fi supus sancțiunilor. Sancțiunile pot ajunge până la 1.000 de euro sau 2% din cifra de afaceri globală, în funcție de care dintre acestea este mai mare (conform articolului 84 alineatul (4) din GDPR).

Sarcinile solicitate de la un reprezentant

Când se aplică Regulamentul General privind Protecția Datelor (GDPR), este esențial să numiți un reprezentant. Dar ce sarcini sunt solicitate de la acest reprezentant? Aici vom explica în detaliu sarcinile unui reprezentant.

Procesarea înregistrărilor conform Articolului 30

Administratorii sau procesatorii care au reprezentanți în țările membre ale UE trebuie să împărtășească propriile înregistrări de procesare cu reprezentanții lor. De asemenea, reprezentanții sunt obligați să păstreze aceste înregistrări la fel ca administratorii sau procesatorii (conform Articolului 30 din GDPR).

Conținutul care trebuie înregistrat include următoarele:

• Numele și detaliile de contact ale administratorului, DPO (Ofițerul pentru Protecția Datelor) etc.
• Scopul prelucrării
• Atributele subiectului datelor și tipurile de date prelucrate
• Perioada de păstrare
• Data ștergerii

Subiectul datelor se referă la o persoană fizică identificată sau identificabilă, adică persoana căreia îi aparțin datele personale.

La cererea autorității de supraveghere, aceste înregistrări de procesare trebuie să fie disponibile pentru utilizare.

Răspuns la întrebările subiecților datelor sau ale autorității de supraveghere

Când există întrebări din partea subiecților datelor sau a autorității de supraveghere, reprezentantul trebuie să acționeze în locul administratorului sau procesatorului pentru a răspunde subiecților datelor sau autorității de supraveghere (conform Articolului 27 alineatul (3) din GDPR). De exemplu, când un subiect al datelor solicită informații, administratorul trebuie să furnizeze aceste informații în termen de o lună (conform Articolului 12 alineatul (3) din GDPR). În plus, reprezentantul trebuie să coopereze cu autoritatea de supraveghere și să răspundă la solicitările acesteia (conform Articolului 31 din GDPR).

Întrebări și răspunsuri privind aplicarea Regulamentului General privind Protecția Datelor (GDPR)

Vom răspunde la cele mai frecvente întrebări legate de aplicarea Regulamentului General privind Protecția Datelor (GDPR) în cele ce urmează.

Este necesară conformarea la GDPR dacă nu plănuiești să te extinzi pe plan internațional?

În principiu, dacă nu aveți planuri de expansiune internațională, nu este necesar să vă conformați la Regulamentul General pentru Protecția Datelor (GDPR). Totuși, chiar și fără o expansiune internațională, este necesară prudență dacă există posibilitatea de a colecta date de la persoane din interiorul Uniunii Europene (UE).

De exemplu, se pot considera următoarele situații:

• Operarea unui site de comerț electronic și primirea de întrebări sau comenzi de la persoane din UE
• Colectarea de identificatori online (cum ar fi adrese IP sau cookie-uri) prin vizitarea site-ului de către persoane din UE
• Obținerea de adrese de e-mail în urma răspunsului la întrebările venite de la persoane din UE

Chiar dacă datele personale ale indivizilor din UE sunt colectate fără intenție, nu este necesar să vă conformați la GDPR dacă nu intrați în sfera de aplicare geografică a acestuia.

Este esențial să rețineți că este necesară conformarea la GDPR dacă aveți o bază de operațiuni în UE sau chiar dacă nu aveți o bază în UE, dar îndepliniți una dintre următoarele două condiții:

1. Dacă oferiți bunuri sau servicii persoanelor din UE
2. Dacă monitorizați comportamentul persoanelor din UE

Ce măsuri sunt necesare când lansezi un site de e-commerce transfrontalier care include țările din UE?

Când lansezi un site de e-commerce transfrontalier care include țările din UE, există posibilitatea de a colecta date personale din interiorul UE. Informațiile colectate pot include următoarele:

• Nume
• Adresa de e-mail
• Adresa de domiciliu
• Informații despre cardul de credit
• Informații despre achiziții
• Informații de localizare
• Adresa IP & ID-ul Cookie

Când colectați aceste informații, ele se încadrează în categoria datelor personale conform GDPR, și astfel trebuie tratate în conformitate cu regulile GDPR.

În primul rând, este recomandat să revizuiți politica de confidențialitate pentru a fi în conformitate cu GDPR și să revizuiți și să publicați notificările de confidențialitate.
Articol relevant: Explicăm punctele cheie în crearea unei politici de confidențialitate conforme cu GDPR![ja]

În continuare, urmați pașii de mai jos:

1. Introduceți o politică pentru cookie-uri și obțineți consimțământul pentru utilizarea cookie-urilor de la vizitatorii care accesează site-ul de e-commerce pentru prima dată
2. Când colectați informații personale, obțineți consimțământul pentru ‘prelucrarea datelor personale’
3. Implementați măsuri de securitate pentru protecția datelor personale și prevenirea scurgerilor de informații
4. Numiți un reprezentant

De asemenea, este necesar să revizuiți regulile interne și să creați manuale pentru conformitatea cu GDPR, precum și să revizuiți contractele cu furnizorii externi, după caz.

Care sunt diferențele între GDPR și UK GDPR?

UK GDPR reprezintă Regulamentul General pentru Protecția Datelor din Marea Britanie. UK GDPR a fost implementat odată cu retragerea Marii Britanii din UE, la data de 1 ianuarie 2021 (Reiwa 3). GDPR este un regulament al UE și nu se aplică în Marea Britanie.

UK GDPR se aplică în următoarele cazuri:

1. Când se oferă bunuri sau servicii persoanelor fizice din interiorul Regatului Unit
2. Când se monitorizează comportamentul persoanelor fizice care se află în interiorul Regatului Unit

Dacă desfășurați activități comerciale atât în Marea Britanie, cât și în spațiul UE, este necesar să vă conformați atât GDPR-ului, cât și UK GDPR-ului.

Concluzie: Consultați un specialist când aveți probleme cu domeniul de aplicare al GDPR

Dacă aveți o bază operațională în interiorul UE sau chiar dacă nu aveți, dar oferiți produse sau servicii persoanelor din UE sau monitorizați comportamentul acestora, atunci sunteți sub incidența domeniului de aplicare al GDPR. Companiile care sunt supuse GDPR trebuie să desemneze un reprezentant în UE și să menționeze acest lucru în politica lor de confidențialitate.

Nedesemnarea unui reprezentant poate duce la sancțiuni financiare semnificative. Companiile care își desfășoară activitatea sau care intenționează să se extindă în UE trebuie să se conformeze GDPR și să desemneze un reprezentant.

Dacă nu sunteți sigur dacă compania dvs. intră sub incidența GDPR, vă recomandăm să consultați un specialist în drept internațional.

Ghidul măsurilor oferite de firma noastră

Firma de avocatură Monolith are o experiență bogată în domeniul IT, în special în ceea ce privește internetul și legea. În ultimii ani, afacerile globale s-au extins tot mai mult, iar necesitatea verificărilor legale efectuate de experți este în continuă creștere. Firma noastră oferă soluții pentru problemele legate de dreptul internațional.

Domeniile de activitate ale firmei de avocatură Monolith: Drept internațional și afaceri externe[ja]