Εξωεδαφική εφαρμογή του GDPR: Η εφαρμογή του Κανονισμού σε μη ευρωπαϊκές επιχειρήσεις

Εξωεδαφική εφαρμογή του GDPR: Η εφαρμογή του Κανονισμού σε μη ευρωπαϊκές επιχειρήσεις
  • 02/04/2019
  • Michalopoulou & Associates

Ο νέος Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων δεν είναι κατηγορηματικά διεθνής νομοθεσία, αλλά τείνει να γίνει de facto διεθνής πέραν των ευρωπαϊκών ορίων, τουλάχιστον για κάποιες επιχειρήσεις.

Ο GDPR, ο οποίος τέθηκε σε ισχύ στις 25 Μαΐου 2018, επηρεάζει με βεβαιότητα όλες τις επιχειρήσεις που εδρεύουν στην επικράτεια της ΕΕ και λειτουργούν ως Υπεύθυνοι Επεξεργασίας δεδομένων ή Εκτελούντες την επεξεργασία προσωπικών δεδομένων των υποκειμένων των δεδομένων που βρίσκονται εντός της Ένωσης, παρόμοια με την προηγούμενη Eυρωπαϊκή Οδηγία περί Προστασίας Δεδομένων 95/46/ΕΚ). Τίθεται έτσι το σημαντικό ερώτημα του κατά πόσον επιχειρήσεις με έδρα εκτός της Ευρωπαϊκής Ένωσης, που επεξεργάζονται προσωπικά δεδομένα, υπόκεινται εντέλει στις διατάξεις του GDPR.

Ο ευρωπαίος νομοθέτης στην προσπάθειά του να προστατεύσει τα υποκείμενα των δεδομένων από αυθαίρετη επεξεργασία των προσωπικών τους δεδομένων από μη ευρωπαϊκές επιχειρήσεις, επέκτεινε την εδαφική ισχύ του Κανονισμού. Το άρθρο 3 του Κανονισμού δηλώνει πως «ο Κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν ένα από τα κατωτέρω κριτήρια πληρούνται:

Οι δραστηριότητες επεξεργασίας σχετίζονται με:

α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή

β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.

Κλειδί για τον καθορισμό της πλήρωσης του κριτηρίου (α) από μία μη ευρωπαϊκή επιχείρηση, σύμφωνα με το Προοίμιο 23 (προσφορά αγαθών ή υπηρεσιών σε τέτοια υποκείμενα στην Ένωση), είναι η πρόθεση της εταιρείας, και μάλιστα, κατά πόσο είναι προφανής η πρόθεση να προσφέρει σε ένα υποκείμενο ευρισκόμενο εντός της Ευρώπης. Ειδικότερα, η απλή προσφορά πληροφοριών σχετικά με την προσφορά προϊόντων ή υπηρεσιών στην ιστοσελίδα της εταιρείας δεν αποδεικνύει επαρκώς από μόνη της την πρόθεση να προσφέρει τέτοιες υπηρεσίες σε υποκείμενα δεδομένων εντός EU.

Ωστόσο, η διαθεσιμότητα του ιστότοπου σε γλώσσα της ΕΕ που βρίσκεται εκτός της δικαιοδοσίας του Υπεύθυνου επεξεργασίας, η προσφορά αγαθών/υπηρεσιών σε νόμισμα της ΕΕ ή, όπως είναι αναμενόμενο, η σαφής στόχευση των πολιτών της ΕΕ, θα μπορούσε να παράσχει επαρκή απόδειξη πρόθεσης και να θέσει την επιχείρηση εντός του πεδίου εφαρμογής του GDPR.

Για παράδειγμα, αν μία μη ευρωπαϊκή επιχείρηση πληροί τουλάχιστον ένα από τα παρακάτω κριτήρια, ο GDPR εφαρμόζεται:

  • Αναφέρονται για σκοπούς επικοινωνίας διεθνή τηλέφωνα στην ιστοσελίδα,
  • Domain Names ευρωπαϊκών Κρατών – Μελών (πχ. eu, ie, .de),
  • Δυνατότητα μετάφρασης του περιεχομένου της σελίδας σε ευρωπαϊκή γλώσσα,
  • Δυνατότητα μετατροπής σε ευρώ, και
  • Διαφήμιση για προσέλκυση Eυρωπαίων χρηστών (αξιοποιώντας τους υφιστάμενους πελάτες ή πελάτες ως αντικείμενο διαφήμισης).

Για παράδειγμα αν μία Ταϊλανδική εταιρεία χωρίς ευρωπαϊκές θυγατρικές εταιρείες διατηρεί e – shop στα δανέζικα, στο οποίο προσφέρει αγαθά με την δυνατότητα παραγγελίας στη δανέζικη γλώσσα και πληρωμής σε ευρώ, αποδέχεται την προσφορά ευρωπαίων πολιτών και τα παραδίδει σε αυτούς, τότε μπορεί κανείς ασφαλώς να συνάγει πως η ταϊλανδική αυτή εταιρεία στοχεύει Δανούς καταναλωτές (και ως εκ τούτου Ευρωπαίους πολίτες). Εξαιτίας αυτού, η εταιρεία αυτή θα υπόκειται στις διατάξεις του GDPR. Ομοίως, και μία αμερικάνικη εταιρεία που προσφέρει μία εφαρμογή κινητού τηλεφώνου σε αμερικάνους χρήστες και η εφαρμογή αυτή συλλέγει δεδομένα τοποθεσίας. Αν ο Αμερικάνος  τουρίστας  χρησιμοποιεί την εφαρμογή κατά το ταξίδι του στην Ισπανία ο GDPR εκτείνεται στα δεδομένα αυτά και η εταιρεία οφείλει να συμμορφωθεί με τον Κανονισμό κατά τη διάρκεια των διακοπών του στην Ισπανία.

Υποχρεώσεις – Διορισμός Αντιπροσώπου

Ο GDPR απαιτεί από τους Υπευθύνους Επεξεργασίας δεδομένων και Εκτελούντες που εμπίπτουν στο πεδίο εφαρμογής του (και των οποίων η επεξεργασία δεν είναι περιστασιακή) να ορίσουν έναν Εκπρόσωπο με έδρα την ΕΕ (άρθρο 27) ο οποίος θα ενεργεί εξ ονόματός τους και θα αποτελεί και το σημείο επαφής της αρμόδιας Ανεξάρτητης Αρχής Προσωπικών Δεδομένων. Ο εκπρόσωπος αυτός υπόκειται επίσης σε ορισμένες απαιτήσεις τήρησης αρχείων, καθώς και στη λήψη πληροφοριών και καταγγελιών. Ο ορισμός ενός τέτοιου αντιπροσώπου δεν επηρεάζει την ευθύνη υπεύθυνου επεξεργασίας ή την ευθύνη του εκτελούντα την επεξεργασία σύμφωνα με τον παρόντα Κανονισμό. Ο ορισθείς εκπρόσωπος θα πρέπει επίσης να υπόκειται σε διαδικασίες εκτέλεσης σε περίπτωση μη συμμόρφωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα. Ωστόσο, ο GDPR δεν περιλαμβάνει τον κατάλληλο μηχανισμό επιβολής του νόμου στο ίδιο το κείμενο, δηλώνοντας μόνο ότι o αντιπρόσωπος θα πρέπει να υπόκειται, χωρίς επιφύλαξη σε διαδικασίες εκτέλεσης σε περίπτωση μη συμμόρφωσης του Υπεύθυνου Επεξεργασίας ή του Εκτελούντα. Για το σκοπό αυτό και λαμβάνοντας υπόψη τα νέα πρόστιμα που προβλέπονται από το GDPR (άρθρο 83 παρ. 4 α), οι Ανεξάρτητες Αρχές Δεδομένων πρέπει να συνεχίσουν να ασκούν έμμεσα πίεση στους Υπεύθυνους Επεξεργασίας δεδομένων και τους Εκτελούντες μέσω εκπροσώπων με έδρα την ΕΕ.

Το σχόλιο του Γραφείου μας πάνω στο ζήτημα:

Λόγω του εξωεδαφικού πεδίου εφαρμογής του GDPR που ορίζεται στο άρθρο 3, ο Κανονισμός θα εφαρμοστεί ανεξάρτητα από το εάν η πραγματική επεξεργασία δεδομένων λαμβάνει χώρα εντός της ΕΕ ή όχι. Είτε αυτός ο στόχος επιτευχθεί είτε όχι, ένα πράγμα είναι σίγουρο· ο GDPR αναμφισβήτητα θα αλλάξει τον τρόπο λειτουργίας των πολυεθνικών οργανισμών σε παγκόσμιο επίπεδο όσον αφορά τη συλλογή, χρήση και προστασία των προσωπικών δεδομένων εντός ΕΕ όλων των πολιτών ανεξαρτήτως.