MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Vad händer när GDPR tillämpas utanför EU? En förklaring av hur man hanterar det

General Corporate

Vad händer när GDPR tillämpas utanför EU? En förklaring av hur man hanterar det

GDPR är en förordning som EU har fastställt för att skydda personuppgifter och reglera hur de hanteras. Om du erbjuder varor eller tjänster inom EU kan GDPR komma att tillämpas. Det finns dock de som inte vet om deras företag omfattas av GDPR eller vad de bör göra om det är fallet.

I den här artikeln förklarar vi GDPR:s tillämpningsområde, vad du bör göra om den tillämpas på dig och vilka åtgärder som krävs. Det finns också en frågor och svar-sektion om GDPR-tillämpning, så ta gärna en titt för att få mer information.

GDPR:s tillämpningsområde

Kvinna

Villkoren för när GDPR är tillämplig definieras i artikel 3 “Territoriell tillämpning” i GDPR. Tillämpningsområdet för GDPR delas upp i två situationer: när en verksamhet har en bas inom EU och när den inte har det.

För verksamheter med en bas inom EU gäller följande:

“Den tillämpas på behandling av personuppgifter som sker i samband med verksamheten hos en personuppgiftsansvarig eller personuppgiftsbiträde som är etablerat inom EU, oavsett om behandlingen sker inom EU eller inte.”

Referens: Japanska kommissionen för skydd av personuppgifter | “Allmän dataskyddsförordning (GDPR) preliminär japansk översättning[ja]

Detta innebär att GDPR är tillämplig om det finns en personuppgiftsansvarig eller ett personuppgiftsbiträde baserat inom EU.

PersonuppgiftsansvarigDen som bestämmer syftena med och medlen för behandlingen av personuppgifter
PersonuppgiftsbiträdeDen som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige

För verksamheter utan en bas inom EU finns det två situationer där GDPR är tillämplig:

  1. När varor eller tjänster erbjuds till personer inom EU
  2. När beteendet hos personer inom EU övervakas

GDPR inför strikta begränsningar mot länder utanför EU, och för att kunna överföra data fritt krävs en “adekvat skyddsnivå”. Adekvat skyddsnivå är en certifiering som beslutas efter samråd med Europeiska kommissionen och tilldelas länder eller regioner som säkerställer en tillräcklig skyddsnivå för personuppgifter.

Länder eller regioner utan en adekvat skyddsnivå måste genomföra procedurer som SCC eller BCR för dataöverföring utanför EU.

SCC (Standard Contractual Clauses)Obligatoriska villkor som måste inkluderas i avtal om datatransfer
BCR (Binding Corporate Rules)Policy och regler för att skydda personuppgifter som erhållits från Europeiska ekonomiska samarbetsområdet (EES) och som delas med associerade företag utanför EES

Med en adekvat skyddsnivå behöver man inte genomföra procedurer som SCC eller BCR.

Adekvat skyddsnivå för Japan meddelades under det regelbundna toppmötet mellan Japan och EU i juli 2018 (2018), där man enades om att gå vidare med åtgärder för att möjliggöra överföring av personuppgifter. Den 23 januari 2019 (2019) mottog Japan en adekvat skyddsnivå och det meddelades att “EU och Japan har antagit ett beslut där de ömsesidigt erkänner varandras skyddsnivåer för personuppgifter.”

Vad måste företag som omfattas av GDPR göra?

Vad måste företag som omfattas av GDPR göra?

För företag som omfattas av GDPR finns det framför allt två åtgärder som måste vidtas:

  • Utnämning av en representant i EU/Storbritannien
  • Angivande i integritetspolicyn

Här förklarar vi detaljerna för varje punkt.

Utnämning av en representant i EU/Storbritannien

Enligt artikel 27 i GDPR måste företag som omfattas av GDPR:s extraterritoriella tillämpning utse en representant i antingen EU eller Storbritannien.

Representanten som avses här är en person som utsetts skriftligen av en datakontrollant eller databehandlare och som representerar dem i frågor som rör deras skyldigheter enligt GDPR.

Inte alla företag som bedriver verksamhet inom EU måste utse en representant. Företag som inte behöver utse en representant är de som faller under följande undantag (enligt artikel 27 i GDPR):

  • Behandling som inte är tillfällig och som inte innefattar storskalig behandling av särskilda kategorier av data eller personuppgifter relaterade till straffrättsliga domar och brott, och där behandlingen inte sannolikt kommer att innebära en risk för den fysiska personens rättigheter och friheter med hänsyn till behandlingens art, omfattning, sammanhang och syften
  • Om det inte är en offentlig myndighet eller offentlig organisation

Referens: Japanska personuppgiftsbyrån | ‘Allmän dataskyddsförordning (GDPR) preliminär japansk översättning[ja]

Angivande i integritetspolicyn

Företag som omfattas av GDPR måste tydligt ange i sin integritetspolicy att de har utsett en representant.

Påföljder för att inte utse en representant

Påföljder

Trots att man omfattas av GDPR:s tillämpningsområde, är det viktigt att vara medveten om att det kan leda till sanktioner om man inte utser en representant. Påföljderna kan uppgå till antingen maximalt 1 000 euro eller 2% av den globala årsomsättningen, beroende på vilket belopp som är högst (enligt GDPR artikel 84, stycke 4).

Uppgifter som krävs av en ombudsperson

Kvinnlig ombudsperson

När GDPR:s tillämpningsområde är aktuellt måste man i princip utse en ombudsperson. Men vilka uppgifter förväntas en ombudsperson utföra? Här förklarar vi i detalj vilka uppgifter en ombudsperson har.

Behandling av artikel 30s register

Administratörer eller behandlare som har en ombudsperson i EU-länder måste dela sina behandlingsregister med ombudspersonen. Ombudspersonen är också skyldig att förvara dessa register på samma sätt som administratören eller behandlaren (GDPR artikel 30).

Information som måste registreras inkluderar följande:

  • Namn och kontaktuppgifter för administratören, DPO (Data Protection Officer) och andra
  • Behandlingens syfte
  • Kategorier av registrerade och typer av data som behandlas
  • Lagringsperiod
  • Tidpunkt för radering

Med dataägare avses en identifierad eller identifierbar fysisk person, det vill säga den individ som personuppgifterna gäller.

Vid begäran från tillsynsmyndigheten måste dessa behandlingsregister kunna användas.

Hantering av förfrågningar från dataägare eller tillsynsmyndigheter

När det finns förfrågningar från dataägare eller tillsynsmyndigheter, är det ombudspersonens uppgift att agera i administratörens eller behandlarens ställe och hantera kommunikationen med dataägare och tillsynsmyndigheter (GDPR artikel 27 stycke 3). Till exempel, om en dataägare gör en begäran, måste administratören tillhandahålla informationen inom en månad (GDPR artikel 12 stycke 3). Dessutom måste ombudspersonen svara på begäran från tillsynsmyndigheten och samarbeta med dem (GDPR artikel 31).

Frågor och svar om tillämpningen av GDPR

FAQ

Här svarar vi på vanliga frågor som rör tillämpningen av GDPR.

Behöver man anpassa sig till GDPR även om man inte planerar att expandera internationellt?

I grund och botten behöver du inte anpassa dig till GDPR om du inte har några planer på att expandera ditt företag internationellt. Det är dock viktigt att vara uppmärksam om det finns en möjlighet att du samlar in data från individer inom EU, även om du inte har någon verksamhet där.

Tänkbara scenarier inkluderar exempelvis följande:

  • Du driver en e-handelsplats och får förfrågningar eller beställningar från individer inom EU.
  • Genom att personer besöker din webbplats samlar du in online-identifierare (såsom IP-adresser eller cookies) från individer inom EU.
  • Du samlar in e-postadresser när du svarar på förfrågningar från individer inom EU.

Även om du oavsiktligt samlar in personuppgifter från individer inom EU, så innebär det inte automatiskt att du måste följa GDPR om du inte faller inom dess geografiska tillämpningsområde.

Kom ihåg att du endast behöver anpassa dig till GDPR om du har en närvaro inom EU, eller även om du inte har det, om något av följande två kriterier är uppfyllda:

  1. Du erbjuder varor eller tjänster till individer inom EU.
  2. Du övervakar beteendet hos individer inom EU.

Vilka åtgärder krävs när du lanserar en gränsöverskridande e-handelswebbplats som inkluderar EU-området?

När du lanserar en gränsöverskridande e-handelswebbplats som riktar sig till EU-området, finns det en möjlighet att du kommer att samla in personuppgifter inom EU. De uppgifter som kan komma att samlas in inkluderar följande:

  • Namn
  • E-postadress
  • Adress
  • Kreditkortsinformation
  • Köpinformation
  • Platsinformation
  • IP-adress & Cookie-ID

När dessa uppgifter samlas in, eftersom de utgör persondata enligt GDPR, måste de hanteras i enlighet med GDPR:s regler.

Det är först och främst bra att se över och uppdatera din sekretesspolicy och dina sekretessmeddelanden för att de ska vara i linje med GDPR.
Relaterad artikel: Förklaring av nyckelpunkterna när du skapar en GDPR-anpassad sekretesspolicy![ja]

Därefter bör du följa dessa steg:

  1. Skapa en cookiepolicy och få samtycke för användning av cookies från förstagångsbesökare på e-handelswebbplatsen
  2. Få samtycke för ‘hantering av personuppgifter’ när personuppgifter samlas in
  3. Genomföra säkerhetsåtgärder för att skydda personuppgifter och förhindra läckage
  4. Utnämna en representant

Dessutom bör du vid behov se över interna regler, skapa handböcker för att anpassa dig till GDPR och revidera avtal med underleverantörer.

Vad är skillnaden mellan GDPR och UK GDPR?

UK GDPR är den allmänna dataskyddsförordningen i Storbritannien. UK GDPR trädde i kraft den 1 januari 2021 (2021年1月1日) till följd av Storbritanniens utträde ur EU. GDPR är en EU-förordning och tillämpas inte i Storbritannien.

UK GDPR tillämpas i följande fall:

  1. När man erbjuder varor eller tjänster till personer inom Storbritannien
  2. När man övervakar beteendet hos personer som befinner sig i Storbritannien

Om du bedriver verksamhet i både Storbritannien och EU måste du se till att följa både GDPR och UK GDPR.

Sammanfattning: Kontakta en expert när du har frågor om GDPR:s tillämpningsområde

Expertman

Om du har en verksamhetsbas inom EU, eller även om du inte har det men erbjuder varor eller tjänster till personer inom EU eller övervakar deras beteende, så faller du under tillämpningsområdet för GDPR (General Data Protection Regulation). Företag som omfattas av GDPR måste utse en representant inom EU och tydligt ange detta i sin integritetspolicy.

Om du inte utser en representant kan det leda till att du måste betala höga sanktionsavgifter. Företag som är verksamma inom EU eller som planerar att etablera sig där bör anpassa sig till GDPR och utse en representant.

Om du är osäker på om ditt företag omfattas av GDPR rekommenderar vi att du rådgör med en expert inom internationell affärsjuridik.

Information om åtgärder från vår byrå

Monolith Advokatbyrå har en omfattande erfarenhet inom IT, och särskilt inom internet och juridik. I takt med att den globala affärsverksamheten expanderar, ökar behovet av juridisk expertis och rättsliga kontroller. Vår byrå erbjuder lösningar inom internationell juridik.

Monolith Advokatbyrås expertisområden: Internationell juridik och utlandsverksamhet[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen