在某些条件下,GDPR适用于不在欧洲的公司。在本文中,我们将解释GDPR何时以及如何在欧盟之外应用。
欧洲联盟的一般数据保护监管是特殊的事实,即它适用于可能与欧盟有关的组织。例如,您可以是一家位于科罗拉多州丹佛的美国Web开发公司,主要以科罗拉多州的业务销售网站。但是,如果您跟踪和分析欧盟访客到您的公司网站,那么您可能会受到GDPR的规定。
在这里,我们将详细了解GDPR的地理范围,包括实际规定的规定以及您可能受到影响的内容。当然,您不应该将此作为个人法律建议。我们建议与律师发言,以确定GDPR是否适用于您的组织的特定情况。
GDPR是2018年5月25日生效的欧盟数据隐私法。它旨在让个人更好地控制他们的数据如何在线收集和保护。它还将组织绑定到严格关于使用和保护他们收集的人员的个人数据的新规则,包括强制使用技术保障等加密和更高的法律阈值,以证明数据收集。不遵守的组织将面临全球年度收入的重大处罚,占全球年收入的4%或€2000万欧元,以较高者为准。
有关GDPR的概述,请查看我们的文章“什么是GDPR?”您可以在此阅读全文。
GDPR的全部点是保护属于欧盟公民和居民的数据。因此,法律适用于处理此类数据的组织,无论是基于欧盟的组织,还为“超然效应”。
1.本规则适用于在联盟中建立控制器或处理器的活动的上下文中处理个人数据,无论处理是否在联盟中发生。
2.该监管适用于在联盟中未建立的控制器或处理器在联盟中的数据主体的个人数据处理,处理活动与:
(a)提供商品或服务,无论是否需要支付数据主题,都需要支付数据主体;或者
(b)立即监测其行为的行为。
3.本规则适用于未在联盟中未建立的控制员处理个人数据,而是在会员州法律凭借公共国际法所适用的地方。
第3.1条说明,即使数据正在存储或在欧盟以外使用,GDPR也适用于基于欧盟的组织。第3.2条进一步走得更远,将法律适用于欧盟的组织,如果满足两个条件:本组织为欧盟人员提供商品或服务,或者组织监测其在线行为。 (第3.3条指的是更不寻常的情景,例如欧盟大使馆。)
正如我们刚才所见,有两种情况,其中非欧盟组织可能必须遵守GDPR。让我们仔细看看这些中的每一个。
互联网在世界上任何地方都可以在远古地区提供商品和服务。塞浦路斯的少年可以在迈阿密的当地披萨商店轻松订购披萨,并将其交付给那里的朋友家。但GDPR不适用于偶尔情况。相反,监管机构寻找其他线索来确定组织是否向欧盟人员提供商品和服务。为此,他们会寻找像例如加拿大公司在其网站上以德国创建广告的广告或在其网站上兑现的价格。换句话说,如果您的公司不在欧盟,但您迎合欧盟客户,那么您应该努力符合GDPR。
如果您的组织使用Web Tools,允许您跟踪访问欧盟国家访问您网站的人员的Cookie或IP地址,那么您将落在GDPR的范围内。实际上,目前尚不清楚这项规定将被解释或如何肆无忌惮地执行。假设您在曼尼托巴举行的高尔夫球场,专注于您当地的地区,但有时在法国的人们在您的网站上绊倒。你会在欧洲监管机构的十字准线上找到自己吗?它不太可能。但从技术上讲,您可以对跟踪这些数据负责。
我们应该注意两个重要的例外。首先,GDPR不适用于“纯粹的个人或家庭活动”。因此,如果您收集了电子邮件地址来组织与朋友的朋友组织野餐,请放心您不必加密他们的联系信息来遵守GDPR(尽管您可能想要到达!)。 GDPR仅适用于从事“专业或商业活动”的组织。因此,如果您收集来自朋友的电子邮件地址来筹集侧面业务项目,那么GDPR可能适用于您。
第二个例外适用于员工少于250人的组织。中小型企业(中小企业)并不完全免于GDPR,但监管在大多数情况下,在大多数情况下,释放他们记录持有义务(见第30.5条)。
如果您非常确定GDPR适用于您,请浏览某些文章和本网站的分析是一个好主意,以熟悉法律。仔细阅读监管本身的文本也是一个很好的想法。如果您有任何具体问题,欢迎您在评论中发布它们。