Noi orientări legate de GDPR emise de CEPD privind teritorialitatea

• Articole
• GDPR

10 minute • Ana-Maria Udriste • 29 noiembrie 2018

---

Au trecut aproape 6 luni de la momentul aplicării Regulamentului privind protecția datelor (GDPR) în Uniunea Europeană, ceea ce a mai clarificat un pic problemele apărute pe parcurs privind interpretarea și aplicarea GDPR.
Astfel, Consiliul European pentru Protecția Datelor (CEPD) a publicat proiectul de orientări 3/2018 privind domeniul de aplicare teritorial al GDPR (articolul 3) pentru consultare publică și așteaptă comentariile și observațiile până la 18 ianuarie 2019. Aceste orientări au fost mult așteptate de companii, în special de cele care nu se află în UE pentru că, deși nu au nicio prezență fizică în UE, s-au străduit să determine dacă acestea sunt supuse GDPR sau nu în virtutea articolului 3 alineatul (2), care extinde aplicarea GDPR la operatorii și persoanele împuternicite care nu sunt stabiliți în Uniune, dar care (a) oferă bunuri sau servicii persoanelor vizate ale UE sau (b) monitorizează comportamentul acestora care are loc în UE.
În ceea ce privește aplicarea articolului 3 alineatul (2) – privind teritorialitatea GDPR – , orientările recomandă o abordare dublă:

• să se stabilească dacă prelucrarea se referă la datele cu caracter personal ale persoanelor vizate care se află în UE și
• să se stabilească dacă prelucrarea se referă la ofertarea de bunuri sau servicii sau la monitorizarea comportamentului persoanelor vizate care se află în UE.

Am scris mai multe despre o viziune de ansamblu asupra GDPR aici. De asemenea, avem un manual complet despre GDPR, cu exemple, cazuri practice și modalități de implementare și conformare.

Persoanele vizate din UE

Pentru a determina dacă persoanele vizate se află în UE, orientările evidențiază următoarele:

• “Deși localizarea persoanei vizate pe teritoriul Uniunii este un factor determinant pentru aplicarea criteriului de teritorialitate în conformitate cu articolul 3 alineatul (2) […], naționalitatea sau statutul juridic al unei persoane vizate care se află în UE nu poate limita sau restrânge domeniul de aplicare teritorial al GDPR. ” (Cu alte cuvinte, GDPR se va aplica dacă o persoană vizată se află în UE, indiferent de naționalitatea sau statutul juridic al acesteia);
• “Cerința ca persoana vizată să fie localizată în Uniune trebuie evaluată în momentul în care are loc activitatea de declanșare relevantă, adică în momentul transmiterii/publicării ofertei de bunuri sau servicii sau în momentul monitorizării comportamentului, indiferent de durata ofertei sau a monitorizării efectuate.”;
• “Acțiunea de a prelucra datele personale ale unei persoane aflate în UE ca element singular nu este suficientă pentru a declanșa aplicarea GDPR în activitățile de prelucrare a unui operator sau a unei persoane împuternicite care nu sunt stabilite în UE. Targetarea persoanelor ca fiind din UE, fie oferindu-le bunuri sau servicii, fie monitorizând comportamentul lor … trebuie să fie întotdeauna un element în plus.”; și
• “Prelucrarea datelor cu caracter personal ale cetățenilor sau rezidenților UE care are loc într-o țară terță nu declanșează automat aplicarea GDPR, atâta timp cât prelucrarea nu este legată de o ofertă specifică adresată persoanelor fizice din UE sau de o monitorizare a comportamentului lor în Uniune “.

Oferirea bunurilor și serviciilor către persoanele vizate din UE

Pentru a determina dacă bunurile și serviciile sunt oferite persoanelor vizate din UE, liniile directoare (orientările) enumeră factori care ar putea fi luați în considerare, printre altele, eventual în combinație:

• UE sau cel puțin un stat membru este desemnat pe nume cu referire la bunul sau serviciul oferit;
• Administratorul sau operatorul de date plătește un operator de motoare de căutare pentru un serviciu de referință la internet pentru a facilita accesul pe site-ul său de către consumatorii din Uniune; sau operatorul/persoana împuternicită a lansat campanii de marketing și publicitate direcționate către un public din țările UE;
• Natura internațională a activității în cauză, cum ar fi anumite activități turistice;
• Menționarea adreselor sau numerelor de telefon dedicate care trebuie să fie disponibile dintr-o țară a UE;
• Utilizarea unui nume de domeniu de nivel superior, altul decât cel al țării terțe în care este stabilit operatorul/persoana împuternicită , de exemplu “.de” sau utilizarea numelor de domenii de nivel superior neutre, cum ar fi “.eu”;
• Descrierea instrucțiunilor de călătorie de la unul sau mai multe state membre ale UE până la locul în care este furnizat serviciul;
• Menționarea unei clientelele internaționale formată din clienți cu domiciliul în diferite state membre ale UE, în special prin prezentarea conturilor scrise de acești clienți;
• Utilizarea unei limbi sau a unei alte valute decât cea utilizată în general în țara comerciantului, în special în limba sau moneda unuia sau mai multor state membre ale UE; și
• Operatorul de date oferă livrarea de bunuri în statele membre ale UE.

Orientările merg mai departe și afirmă că ”mai multe din elementele listate anterior, dacă sunt privite în mod individual poate că nu duc la o intenție clară a operatorului de date de a oferi bunuri sau servicii persoanelor vizate din UE – de aceea, fiecare ar trebui privit printr-o analiza in concreto, pentru a determina dacă combinația de factori care au legătură cu activitatea comercială a operatorului de date poate fi considerată per ansamblu ca o ofertă de bunuri sau servicii direcționată către persoanele vizate din UE.”
În final, în legătură cu oferirea de bunuri sau servicii persoanelor vizate din UE, orientările accentuează că ”este de asemenea important să ne amintim că preambulul 23 confirmă că simpla accesibilitate de accesare a unui site aparținând operatorului, persoanei împuternicite sau intermediarului în cadrul UE, menționarea pe site a unei adrese fizice sau de e-mail sau a unui număr de telefon fără prefix internațional, nu sunt, de sine stătătoare, suficiente ca dovezi pentru a demonstra că operatorul sau persoana împuternicită are intenția de a oferi bunuri sau servicii către o persoană vizată aflată în UE”.

Monitorizarea comportamentului persoanelor vizate din UE

În ceea ce privește monitorizarea comportamentului persoanelor vizate din UE care are loc în UE, orientările specifică faptul că ”CEPD nu consideră că orice colectare sau analiză a datelor personale aparținând persoanelor din UE duce automat la o <<monitorizare>>. Va fi necesar să se considere scopul urmărit de operator prin această prelucrare și, în mod special, orice altă analiză comportamentală subsecventă sau tehnici de profilare care implică acele date.” Orientările identifică următoarele tipuri de activități ca exemple de ”monitorizare”:

• publicitate comportamentală;
• activități bazate pe geo-localizare, în special în scopul de marketing;
• urmărirea pe online, prin folosirea cookies-urilor sau a altor tehnici de monitorizare precum folosi amprentelor;
• servicii de dietă și analiza de sănătate online personalizată;
• CCTV;
• sondaje de piață și studii comportamentale bazate pe profilare individuală;
• monitorizarea sau raportarea constantă despre starea de sănătate a unui individ.

Pe lângă clarificarea scopului de aplicare a articolul 3 alin. (2), orientările descriu de asemenea semnificația criteriului de ”stabilire” în conformitate cu articolul 3 alin. (1) și oferă o claritate suplimentară asupra situațiilor în care un operator de date nu este stabilit în UE, dar este stabilit într-un loc în care legea unui stat membru se aplică ca urmare a dreptului internațional public și astfel este supus GDPR conform articolului 3 alin. (3).

Ce înseamnă asta pentru afacerea mea?

Orientările urmăresc, cel puțin parțial, să clarifice ce entități sunt considerate ca fiind în UE și ce entități care, în vreme ce sunt localizate în afara UE, sunt totuși supuse GDPR. În plus, este oferită îndrumare privind natura reprezentantului din UE pe care entitățile non-UE sunt obligate să îl numească pentru a fi o legătură cu autoritățile din UE. Mai jos regăsiți de asemenea câte modificări punctuale care vă vor ajuta în gestionarea conformității la GDPR:

• așa cum am menționat, un operator de date localizat în afara UE nu va fi considerat ca fiind o entitate din UE doar pentru că site-ul respectivului operator este accesibil în UE; cu toate acestea, dacă chiar și un angajat al respectivului operator lucrează în UE, operatorul ar putea fi supus obligației de a deveni conform GDPR dacă angajatul respectivul se ocupă de activitățile semnificative ale afacerii și are o prezență lungă și stabilă în UE;
• un operator de date localizat în afara UE care folosește o persoană împuternicită din UE pentru activitățile sale din afara UE care nu targetează rezidenți UE nu este supus GDPR (spre exemplu o firmă din SUA apelează la serviciile unei agenții de marketing din România pentru a livra campanii targetate pe clienții din SUA). Cu toate acestea, persoana împuternicită din exemplul anterior va fi suspusă reglementărilor specifice din GDPR care se aplică persoanelor împuternicite;

• atunci când un operator de date care este supus GDPR folosește serviciile unei persoane împuternicite localizate în afara UE (care altfel nu are obligații conform GDPR), respectivul operator de date trebuie să se asigure că, prin intermediul unui contract sau al unui alt tip de document care să fie valid, persoana împuternicită prelucrează datele furnizate în conformitate cu principiile GDPR;
• GDPR se aplică activităților de monitorizare/prelucrare care au legătură cu orice individ care este prezent în UE și nu se limitează în aplicare doar la cetățeni sau rezidenți UE sau orice alt tip de statut juridic pe care l-ar putea avea persoanele vizate (însemnând persoane non-rezidente în UE). Cerința ca persoana vizată să fie localizată în UE va fi determinată la momentul la care are loc evenimentul declanșator (ie. atunci când sunt oferite bunurile sau serviciile către persoana vizate sau la momentul la care comportamentul persoanelor vizate este monitorizat), indiferent de durata ofertei făcute sau a monitorizării.

• entitățile non-UE care sunt supuse GDPR trebuie să-și desemneze un reprezentant în UE, dar această relație de reprezentare se poate baza pe un contract de prestări servicii încheiat cu o persoana fizică sau o firmă, precum avocați, consultanți sau companii private. Atenție! Acești reprezentanți pot reprezenta mai mulți operatori de date sau persoane împuternicite care sunt non-UE;
• atunci când funcția de reprezentare este asigurată de o companie sau orice alt tip de entitate juridică, se recomandă ca o singură persoană (fizică) să fie desemnată ca persoană de contact principală care să se ocupe de fiecare operator de date sau persoană împuternicită pe care le reprezintă.

Cele mai recente orientări sunt parte a ceea ce se așteaptă să fie o serie de scurte asemenea îndrumări emise de către Comitetul European pentru Protecția Datelor, astfel încât conformarea la GDPR să fie un proces continuu, nu doar o chestiune de moment. Așa cum am spus mereu, deși scopul principal al GDPR nu trebuie să fie sancționarea entităților, amenzile pentru încălcare sunt usturătoare (20 milioane euro sau 4% din cifra de afaceri la nivel mondial, oricare este mai mare). Date fiind potențialele consecințe și cadrul legal al protecției datelor aflat în permanentă schimbare, este esențial să vă consultați cu un expert în protecția datelor în mod constant.

---

Suntem aici să te ajutăm cu GDPR!

• instrumentele necesare pentru a începe o carieră ca DPO
• fă-ți singur implementarea GDPR
• apelează la un consultant GDPR

Lasă un răspuns Anulează răspunsul

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Comentariu *

Nume *

Email *

Site web

Salvează-mi numele, emailul și site-ul web în acest navigator pentru data viitoare când o să comentez.

Δ