2018年5月GDPR正式生效后,如果违反GDPR,企业将面临高额的罚款(罚款金额可至2000万欧元或企业全年营业额的4%,两者中取最高)。对于企业而言,日常工作和业务开展过程中,企业是否适用GDPR管辖范围,是GDPR合规的首要问题。
2019年11月12日,欧洲数据保护委员会(European Data Protection Board,“EDPB”)对外发布了《关于通用数据保护条例(GDPR)地域适用范围(第3条)的解释指南》(以下简称“指南”)的最终版本。该指南旨在为数据保护机构评估数据控制者或处理者的行为是否受到GDPR的管辖,提供GDPR地域适用范围的统一标准,同时为企业是否适用GDPR范围提供了有效的官方解读和典型案例。
【原文】1.本条例适用于与数据控制者或数据处理者在欧盟领域内所设机构活动相关的个人数据处理,无论该处理行为是否发生在欧盟领域内。
对象:欧盟境内实体
“实体”意味着通过稳定的安排实施真实有效的数据处理活动。为了确定欧洲境外的主体在成员国中是否设有实体,必须根据经济活动的特殊性和服务行为来考虑经济活动安排的稳定性和在该成员国有效开展活动的程度。尤其适用于仅通过网络提供服务的企业。
场景1:即使该实体并未在欧盟境内注册,若其一名雇员或代理人在欧盟境内有稳定持续的行为就可能构成“稳定安排”(相当于“实体”)
场景2:如果某个雇员位于欧盟境内,但数据处理与该雇员在欧盟境内的活动范围无关(即,该处理行为仅与控制者在欧盟境外的活动有联系),该处理行为并不会因为欧盟境内存在雇员这一事实而落入GDPR的管辖。(例如:旅行社的宿舍管理员)
重点:
-
无论是以分支机构还是具有法人资格的子公司的结构形式,都不是确定实体的决定性因素。
-
负责数据处理的非欧盟实体在成员国中没有分支机构或子公司的事实并不排除其拥有欧盟数据保护法所指的实体机构。
-
不能仅仅因为可在欧盟境内访问其经营主体的网站而得出该非欧盟主体在欧盟境内已设立实体的结论。
行为:实体“活动范围内”的个人数据处理行为
考虑一下两个因素可能有助于确定数据处理行为是否发生在控制者或处理者的欧盟境内实体的活动范围之内。
1) 欧盟境外数据控制者或处理者与欧盟境内实体的关系
在欧盟境外设立的数据控制者或处理者的数据处理行为可能与成员国境内的一个本地实体的活动密不可分。
2) 欧盟境内收入增加
当欧盟境外的控制者或处理者在欧盟境外的个人数据处理行为,与欧盟境内实体的活动存在“不可分割的联系”,且该实体在欧盟内的收入由于该活动增加。
-
EDPB建议非欧盟境内组织对其数据处理行为进行评估,首先是确定其处理的是否是个人数据,其次是确定数据处理行为与任何欧盟实体之间的潜在关联。
范围:GDPR适用于欧盟境内实体的控制者或处理者,无论数据处理的是否在欧盟境内发生
GDPR规定,该指南适用于欧盟实体活动范围内的个人数据行为,而“无论该个人数据处理行为是否在欧盟进行”。数据控制者或处理者在欧盟境内建立实体,同时该实体在活动范围内进行个人数据处理行为,使得该个人数据处理行为落入GDPR管辖。因此,该数据处理行为发生地理位置与该行为是否落入GDPR管辖范围无关。
1) 欧盟境内控制者指示欧盟境外处理者进行个人数据处理行为
如果受GDPR管辖的控制者选择指示欧盟境外处理者进行给定的个人数据处理,则控制者仍然有必要通过合同或其他法律行为确保处理者根据GDPR来处理数据。
2) 处理者在其欧盟境内实体的活动范围内进行的数据处理行为
非欧盟境内控制者自身通过指示欧盟境内的处理处理数据而不受GDPR约束,控制者在自己的活动范围内进行的,处理者仅仅是为控制者提供了一项处理服务。因此,欧盟境内设立的数据处理者将依据GDPR Art.3(1)适用GDPR的相关规定。
【原文】2.本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据进行的与以下事项相关的处理活动。
(a)向欧盟内的数据主体提供商品或服务,无论是否需要该数据主体支付对价;
(b)监控数据主体的行为,只要其行为发生在欧盟领域内。
欧盟境内的数据主体
GDPR Art.3(2)的措词是“欧盟境内数据主体的个人数据”,因此,“针对性标准”的适用并不局限于拥有国籍、合法居留或拥有合法身份的个人。旨在针对那些有意将欧盟境内的个人作为目标的数据处理行为,针对行为要素必须同时包含了提供商品、服务或监控行为。
向欧盟境内的数据主体提供商品或服务,无论是否需要该数据主体支付对价
GDPR Art.3(2)(a)项规定,无论数据主体是否支付对价,与提供商品或服务有关的数据处理行为均适用针对性标准。
对于判断是否向欧盟中的数据主体提供商品或服务的场景(可能相互组合)
-
提供的商品或服务中至少提及欧盟或至少一个成员国;
-
数据控制者或处理者向索索引擎运营商支付互联网检索服务的费用,以便欧盟境内的消费者访问其网站;
-
控制者或处理者针对欧盟国家的受众发起了营销和广告活动;
-
有关活动具有国际性质,例如某些旅游活动;
-
提供可联系的欧盟国家/地区的专用地址或电话号码;
-
使用除控制者或处理者所在的第三国家/地区以外的顶级域名,例如“.de”,或使用中立的顶级域名,例如“.eu”;
-
从一个或多个欧盟成员国的客户组成的国际客户,特别是通过展示此类客户撰写的理由;
-
使用交易者所在国家/地区以外的其他语言或货币,特别是一个或多个欧盟成员国的语言或货币;
-
数据控制者可在欧盟成员国内交付货物。
监控数据主体行为
适用GDPR Art.3(2)(b),所监视的行为必须首先与欧盟境内数据主体相关,同时,所监视的行为必须在欧盟境内发生。
对数据控制者或处理者监视欧盟境内数据主体的行为的适用可能包括的活动:
-
行为广告;
-
地理定位活动,尤其是用于营销目的;
-
通过使用Cookie或其他跟踪技术(例如指纹识别)进行在线跟踪;
-
在线个性化饮食和健康分析服务;
-
闭路电视监控(CCTV);
-
根据用户画像进行市场调查和其他行为研究;
-
监视或定期报告个人的健康状况。
【原文】本条例适用于在欧盟领域内没有设立机构,但依据国际公法应当适用欧盟成员国法律的数据控制者的个人数据处理。”
EDPB认为,根据GDPR Art.3(3),欧盟成员国位于欧盟境外的大使馆和领事馆的个人数据处理行为仍然适用GDPR。作为数据控制者和处理者的各成员国大使馆和领事馆,要遵守GDPR的相关规定,其中包括数据主体权利、控制者和处理者的一般义务以及向第三国或国际组织传输个人数据。
下面将结合《指南》的判断原则,对日常GDPR域外适用范围常见误区进行解读。
误区1:只要是欧盟成员国国籍自然人的个人数据,在任何国家都受GDPR约束。
解读:不是所有的欧盟成员国国籍自然人的个人数据,在任何国家都适用GDPR,需要区分不同的场景。
案例1:某德国公民在中国旅游期间办理了移动电话卡,需要收集其个人数据,不会因为他属于欧盟公民,中国移动运营商就受到GDPR的约束。
误区2:GDPR只保护欧盟成员国国籍自然人。
解读:GDPR不仅仅只保护欧盟成员国国籍的人员,而是欧盟境内的数据主体。
案例2:如果中国公民到欧洲长期工作,办理移动通讯业务或银行等业务,也同样适用与第2款规定(a), “欧盟境内数据主体的个人数据”,因此,“针对性标准”的适用并不局限于拥有国籍、合法居留或拥有合法身份的个人。旨在针对那些有意将欧盟境内的个人作为目标的处数据处理行为,针对行为要素必须同时包含了提供商品、服务或监控行为,受GDPR约束。
误区3:在欧盟境内不设置分公司或分支机构,不受GDPR的约束。
解读:虽然没有设置欧盟分公司或分支机构等实体,但是对欧盟内的数据主体的个人数据提供商品或服务,受GDPR约束。
案例3:对于未在欧盟境内设立机构的出行服务中国企业,欧盟用户可以在欧盟下载并使用中国企业的提供商品、服务(无论是否收费),适用于第3条第2款,受到GDPR约束。
误区4:对于欧盟公民Tom结束在中国任职回到欧洲居住后,中国公司的欧洲实体继续对个人数据进行处理,不受GDPR约束。
解读:由于中国公司在欧洲存在实体,继续对个人数据进行处理,符合“第1款规定,所以受GDPR约束。
误区5:数据处理的对象不涉及欧盟数据主体且数据处理不在欧洲,不涉及GDPR。
解读:判断是否涉及GDPR的关键要素,首先确定是否涉及“第1款规定:本条例适用于在欧盟境内有实体的控制者或处理者”,如果在欧洲境内有实体,只要在其活动范围内对个人数据的处理行为,无论该处理行为是否在欧盟境内进行,因为“欧盟”境内的活动和境外的个人信息处理活动有不可分割的关系,才会将境内外联系在一起,都受GDPR约束。
案例4:一家芬兰研究所发起了一个仅涉及俄罗斯萨米人的项目。该项目由位于加拿大的处理者进行,受GDPR约束。
误区6:欧盟公民TOM在中国工作期间购买电子产品,回欧盟后继续使用国内购买的电子产品,如果电子产品不满足GDPR要求,是否会存在被处罚的风险。
解读:首先需要区分是否国内厂家明确了电子产品销售范围,仅限国内,如果是,即使不满足GDPR也不会被处罚。如果没有明确销售范围,电子产品厂家在欧洲存在实体,且对数据主体的个人数据存在处理行为,受GDPR约束。
参考文章:
GDPR地域适用范围 中文稿
http://www.360doc.com/content/19/1204/06/31838386_877268724.shtml
精彩文章推荐
原文始发于微信公众号(vivo千镜):浅谈“GDPR地域适用范围”原则及误区
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论