当GDPR适用于域外情况时,应如何应对?解析对策方法
GDPR是指由欧盟制定的一套规定,涉及个人信息的保护及其处理方式。如果在欧盟境内推广商品或服务,可能会受到GDPR的适用。然而,有些公司可能不清楚自己是否属于GDPR的适用范围,如果确实适用,又应该如何应对。
本文将解释GDPR的适用范围,以及在适用的情况下应采取的措施和所需的响应。文章中还包含了关于GDPR适用的Q&A,希望能为您提供帮助。
GDPR的适用范围
GDPR适用的条件在GDPR第3条“地理适用范围”中有所规定。GDPR的适用范围分为两种情况:在欧盟境内有基地和没有基地。
在欧盟境内有基地的情况下,规定的内容如下:
“无论个人数据的处理是否在欧盟境内进行,都适用于在欧盟境内的管理者或处理者基地活动过程中的个人数据处理。”
参考:个人信息保护委员会|「一般数据保护条例(GDPR)日文版[ja]」
也就是说,如果在欧盟境内有管理者或处理者的基地,就表明GDPR将会适用。
| 管理者 | 决定个人数据处理目的和手段的人 |
| 处理者 | 代表管理者进行个人数据处理的人 |
在欧盟境内没有基地的情况下,适用范围包括以下两点:
- 向欧盟境内的个人提供商品或服务的情况
- 监控欧盟境内个人行为的情况
GDPR对境内外国家施加了严格的限制,为了自由进行数据转移,需要获得“充分性认定”。充分性认定是经过欧洲委员会协商后决定的认证,授予那些确保了个人数据充分保护水平的国家或地区。
没有获得充分性认定的国家或地区,为了向欧盟境外转移数据,必须进行SCC或BCR等程序。
| SCC(标准合同条款) | 信息转移合同中必须包含的强制性内容 |
| BCR(约束性企业规则) | 规定了从欧洲经济区(EEA)获取的个人数据保护政策,以及与EEA境外关联公司共享时的规则 |
获得充分性认定的变化在于,不需要进行SCC或BCR等程序。
对日本的充分性认定在2018年7月的日欧定期首脑协商中宣布,将推进使个人数据转移框架可操作的措施。随后,在2019年1月23日获得了充分性认定,并发布了“欢迎欧盟和日本就个人数据保护水平相互认定为等同的决定”的声明。
适用GDPR的企业必须做些什么
对于适用GDPR的企业,必须执行以下两项措施:
- 指定位于欧盟/英国的代理人
- 在隐私政策中明确说明
下面我们将详细解释每一项。
指定位于欧盟/英国的代理人
根据GDPR第27条,如果GDPR适用于域外企业,那么该企业有义务指定一位位于欧盟或英国的代理人。
所谓的代理人,是指由数据控制者或数据处理者书面指定的,代表数据控制者或数据处理者履行GDPR规定的义务的个人或机构。
并非所有在欧盟内开展业务的企业都必须指定代理人。以下情况的企业无需指定代理人(GDPR第27条):
- 不是临时性的、并且不大量处理“特殊类别的数据”或与有罪判决及犯罪行为相关的个人数据,且考虑到处理的性质、过程、范围和目的,对自然人的权利或自由构成低风险的处理活动
- 非公共机构或组织
参考资料:个人信息保护委员会|「一般数据保护条例(GDPR)日文版[ja]」
在隐私政策中明确说明
适用GDPR的企业需要在其隐私政策中明确指出已指定代理人。
未指定代理人的处罚规定
即便在GDPR的适用范围内,如果没有指定代理人,需要注意的是,这将成为处罚的对象。根据GDPR第84条第4款的规定,罚款金额将是最高1000欧元或全球销售额2%以下的较大金额。
代理人所需履行的业务
当适用GDPR(通用数据保护条例)时,原则上必须指定一名代理人。那么,代理人需要履行哪些业务呢?本文将详细解释代理人的职责。
第30条的记录处理
在欧盟各国设有代理人的管理者或处理者必须与代理人共享自己的处理记录。同样,代理人也需要像管理者或处理者一样保管这些记录(GDPR第30条)。
必须记录的内容包括以下几点:
- 管理者、DPO(数据保护官)等的姓名及联系方式
- 处理数据的目的
- 数据主体的特征及处理的数据类型
- 保存期限
- 删除时间
数据主体是指被识别或可被识别的自然人,即个人数据相关的个人。
在监管机构提出要求时,必须能够使用这些处理记录。
回应数据主体或监管机构的查询
当数据主体或监管机构提出查询时,代理人需要代表管理者或处理者回应数据主体或监管机构(GDPR第27条第3款)。例如,当数据主体提出要求时,管理者必须在一个月内提供信息(GDPR第12条第3款)。此外,代理人需要响应监管机构的要求,并与监管机构合作(GDPR第31条)。
关于GDPR适用的问答
针对常见的关于GDPR适用的疑问,我们将在下文中一一解答。
虽然没有计划海外扩展,但是否需要遵守GDPR?
基本上,如果没有计划海外扩展,那么通常不需要遵守GDPR。但是,即使没有海外扩展,如果有可能从欧盟境内的个人那里获取数据,就需要特别注意。
例如,可以考虑以下情况:
- 运营电子商务网站,并且收到了来自欧盟境内个人的咨询或订单
- 通过网站浏览,获取了欧盟境内个人的在线识别信息(如IP地址或Cookie等)
- 在回复来自欧盟境内个人的咨询时获取了电子邮件地址
即使无意中获取了欧盟境内的个人数据,如果不属于地理适用范围,那么不遵守GDPR也不会有问题。
我们必须记住,只有在以下两种情况下,即使没有在欧盟境内设立基地,也需要遵守GDPR:
- 向欧盟境内的个人提供商品或服务的情况
- 监控欧盟境内个人的行为的情况
在启动涵盖欧盟区域的跨境电商网站时,需要采取哪些措施?
当您启动一个涵盖欧盟区域的跨境电商网站时,可能会收集到欧盟区域内个人的信息。可能收集的信息包括:
- 姓名
- 电子邮件地址
- 住址
- 信用卡信息
- 购买信息
- 位置信息
- IP地址・Cookie ID
在收集这些信息时,由于它们属于GDPR规定的个人数据范畴,必须遵守GDPR的规则进行处理。
首先,您应该审查并更新符合GDPR的隐私政策,以及修订和发布隐私通知。
相关文章:解析创建符合GDPR的隐私政策时的要点![ja]
在此基础上,您应该按照以下步骤操作:
- 制定Cookie政策,并在电商网站首次访问者访问时获取其对使用Cookie的同意
- 在收集个人信息时,获取用户对“个人数据处理”的同意
- 为了保护个人数据和防止泄露,实施安全措施
- 指定一名代理人
此外,根据需要,应该审查公司内部规则,制定符合GDPR的操作手册,并重新审视与外包供应商的合同内容。
GDPR与英国GDPR有何不同?
英国GDPR是指英国的一般数据保护条例。随着英国脱欧,英国GDPR于2021年1月1日开始实施。GDPR是欧盟的规定,在英国不再适用。
英国GDPR适用于以下情况:
- 在英国国内向个人提供商品或服务的情况
- 监控英国国内个人行为的情况
如果在英国和欧盟境内开展业务,那么就需要同时遵守GDPR和英国GDPR的规定。
总结:若您在GDPR适用范围上有疑问,请咨询专家
如果您在欧盟境内有业务基地,或者即使没有基地,但是向欧盟境内个人提供商品或服务、监控个人行为的话,您的企业就属于GDPR的适用范围。需要遵守GDPR的企业必须在欧盟内指定一名代理人,并且在隐私政策中明确说明这一点。
如果不指定代理人,您可能需要支付高额的罚款。在欧盟境内开展业务或计划未来进入的企业,应当指定代理人以符合GDPR的要求。
如果您不确定自己的公司是否适用GDPR,我们建议您咨询精通国际法务的专家。
本所提供的对策介绍
Monolith法律事务所是一家在IT领域,尤其是互联网和法律方面拥有丰富经验的律师事务所。近年来,全球商务不断扩大,专业的法律审查需求也日益增加。我们事务所提供国际法务解决方案。
Monolith法律事务所的业务领域:国际法务・海外业务[ja]
