Państwa trzecie RODO. Czy RODO ma zastosowanie do firm spoza UE?

O

gólne rozporządzenie o ochronie danych w Unii Europejskiej charakteryzuje się tym, że ma zastosowanie do organizacji, które mogą mieć niewiele wspólnego z UE. Państwa trzecie RODO. Na przykład możesz być amerykańską firmą zajmującą się tworzeniem stron internetowych z siedzibą w Denver w Kolorado, która sprzedaje witryny głównie firmom z Kolorado. Ale jeśli śledzisz i analizujesz odwiedzających UE w witrynie Twojej firmy, możesz podlegać przepisom RODO. Poznaj Program do RODO, w którym wdrożenie odpowiednich procedur staje się mało problematyczne.

W tym miejscu szczegółowo przyjrzymy się zakresowi geograficznemu RODO, w tym co faktycznie mówi rozporządzenie i jak możesz mieć na niego wpływ. Oczywiście nie należy tego traktować, jako osobistej porady prawnej. Zalecamy rozmowę z prawnikiem w celu ustalenia, czy RODO dotyczy konkretnego przypadku Twojej organizacji.

RODO w pigułce

RODO to unijne prawo dotyczące prywatności danych, które weszło w życie 25 maja 2018 r. Jego celem jest zapewnienie osobom fizycznym większej kontroli nad sposobem gromadzenia, wykorzystywania i ochrony ich danych online.

Ponadto wiąże organizacje z surowymi nowymi zasadami dotyczącymi wykorzystywania i zabezpieczania danych osobowych, które gromadzą od ludzi, w tym obowiązkowego stosowania zabezpieczeń technicznych, takich jak szyfrowanie i wyższe progi prawne w celu uzasadnienia gromadzenia danych. Organizacje, które nie zastosują się do tego wymogu, zostaną obciążone wysokimi karami w wysokości do 4 procent ich rocznych globalnych dochodów lub 20 milionów euro, w zależności od tego, która z tych wartości będzie wyższa. Państwa trzecie RODO – mają zastosowanie. Przedstawiamy listę kontrolną RODO dla administratorów danych.

Państwa trzecie RODO – zastosowanie prawa

Głównym celem RODO jest ochrona danych należących do obywateli i mieszkańców UE. Prawo ma zatem zastosowanie do organizacji, które przetwarzają takie dane, niezależnie od tego, czy są organizacjami z siedzibą w UE, czy też nie, znane jako „efekt eksterytorialny”.

RODO określa w art. 3 zakres terytorialny prawa:

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności prowadzonej przez administratora lub podmiot przetwarzający w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy nie.
2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, na terytorium Unii przez administratora lub podmiot przetwarzający niemający siedziby w Unii, jeżeli czynności związane z przetwarzaniem dotyczą:
3. a) oferowanie towarów lub usług, niezależnie od tego, czy wymagana jest płatność osoby, której dane dotyczą, tym osobom, których dane dotyczą w Unii; lub

(b) monitorowanie ich zachowania, o ile ich zachowanie ma miejsce w Unii.

3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego siedziby w Unii, ale w miejscu, w którym zastosowanie ma prawo państwa członkowskiego na mocy międzynarodowego prawa publicznego.

Artykuł 3.1 stanowi, że RODO ma zastosowanie do organizacji mających siedzibę w UE, nawet jeśli dane są przechowywane lub wykorzystywane poza UE. Artykuł 3.2 idzie jeszcze dalej i stosuje prawo do organizacji, które nie znajdują się w UE, jeśli spełnione są dwa warunki: organizacja oferuje towary lub usługi osobom w UE lub organizacja monitoruje ich zachowanie w Internecie. (Artykuł 3.3 dotyczy bardziej nietypowych scenariuszy, na przykład w ambasadach UE).

Liczba ludności Europy wynosi około 742 milionów, z czego około 510 milionów mieszka w krajach będących członkami UE.

Kiedy RODO obowiązuje poza Europą?

Jak już wspomnieliśmy, istnieją dwa scenariusze, w których organizacja spoza UE może być zmuszona do przestrzegania RODO. Przyjrzyjmy się każdemu z nich.

Oferowanie towarów lub usług

Internet sprawia, że ​​towary i usługi w odległych miejscach są dostępne w dowolnym miejscu na świecie. Nastolatek na Cyprze może łatwo zamówić pizzę online w lokalnym sklepie z pizzą w Miami i dostarczyć ją do domu znajomego. RODO nie ma jednak zastosowania do sporadycznych przypadków.

Zamiast tego organy regulacyjne szukają innych wskazówek, aby ustalić, czy organizacja postanowiła oferować towary i usługi ludziom w UE. W tym celu sprawdzą, czy na przykład kanadyjska firma utworzyła reklamy w języku niemieckim lub zawarła w swojej witrynie ceny w euro. Innymi słowy, jeśli Twoja firma nie znajduje się w UE, ale zaspokajasz potrzeby klientów w UE, powinieneś starać się zachować zgodność z RODO.

Monitorowanie ich zachowania

Jeśli Twoja organizacja korzysta z narzędzi internetowych, które umożliwiają śledzenie plików cookie lub adresów IP osób, które odwiedzają twoją stronę z krajów UE, to podlega zakresowi RODO. Praktycznie rzecz biorąc, nie jest jasne, jak rygorystycznie będzie interpretowany ten przepis ani jak bezczelnie będzie on egzekwowany.

Załóżmy, że prowadzisz pole golfowe w Manitobie skoncentrowane wyłącznie na Twojej okolicy, ale czasami ludzie we Francji natkną się na Twoją stronę. Czy znalazłbyś się na celowniku europejskich organów regulacyjnych? To mało prawdopodobne. Ale technicznie możesz zostać pociągnięty do odpowiedzialności za śledzenie tych danych.

Wyjątki od reguły

Należy zwrócić uwagę na dwa ważne wyjątki. Po pierwsze, RODO nie ma zastosowania do „działalności wyłącznie osobistej lub domowej”. Państwa trzecie RODO. Jeśli więc zebrałeś adresy e-mail, aby zorganizować piknik z przyjaciółmi z pracy, bądź pewien, że nie będziesz musiał szyfrować ich danych kontaktowych, aby zachować zgodność z RODO. RODO dotyczy tylko organizacji prowadzących „działalność zawodową lub handlową”. Jeśli więc zbierasz adresy e-mail od znajomych w celu pozyskania dodatkowego projektu biznesowego, RODO może Cię dotyczyć.

Drugi wyjątek dotyczy organizacji zatrudniających mniej niż 250 pracowników. Małe i średnie przedsiębiorstwa (MŚP) nie są całkowicie zwolnione z RODO, ale rozporządzenie w większości przypadków zwalnia je z obowiązku prowadzenia dokumentacji (patrz art. 30.5).