Središnje EU tijelo za zaštitu podataka EDPB je javno objavilo Smjernice kako tumačiti teritorijalni okvir primjene GDPR-a.

Kad smo počeli čitati dokument, nije nam bilo jasno zašto je potrebno 28 stranica dokumenta da bi se ova tema pojasnila.

Ukoliko imate dvojbe da li je vaša organizacija obvezna primjenjivati GDPR jer nije registrirana u EU, pomno pročitajte Smjernice.

Dajemo nekoliko zgodnih primjera:

Primjer 1: Proizvođač automobila sa sjedištem u SAD vlasnik je podružnice u Belgiji kojom nadzire sve poslovne aktivnosti na teritoriju Europe. Tvrtka u Belgiji obvezna se uskladiti s GDPR-om, a sasvim izgledno, ovisno o modelu poslovanja, i tvrtka u SAD.

Primjer 2: Kineska tvrtka ima komercijalnu web stranicu. Obrada osobnih podataka odvija se isključivo u Kini. Ta tvrtka ima ured u EU radi marketinga. Sasvim je jasno da su poslovne aktivnosti EU ureda usko povezane s obradom podataka u Kini. Kineska tvrtka obrađuje osobne podatke usko povezane s poslovnim aktivnostima u EU i obvezna je uskladiti se GDPR obvezama

Primjer 3: Francuska tvrtka pruža usluge u Maroku, Alžiru i Tunisu, i isključivo u tim zemljama su takve usluge dostupne. Prikupljanje podataka vrši se izvan EU, ali je obrada podataka u kontekstu poslovnih aktivnosti poslovnog subjekta u EU, tako da se francuska tvrtka mora uskladiti s GDPR obvezama.

Primjer 4: Meksička trgovina angažira izvršitelja obrade u Španjolskoj za obradu podataka svojih klijenata u Meksiku. Meksička tvrtka ne nudi usluge u EU niti ne prati ponašanje osoba na teritoriju EU, te nije obvezna uskladiti se s GDPR-om. Španjolski izvršitelj obrade mora poštivati GDPR.

Primjer 5: Tvrtka u SAD bez ureda u EU pruža aplikaciju za praćenje kretanja za turiste po nekoliko gradova u EU. Aplikacija prati lokaciju osoba na teritoriju EU. Tvrtka je obveznik GDPR-a.

Primjer 6: Banka na Tajvanu, aktivna samo u toj zemlji, ima klijente - građane EU. Banka ne pruža usluge na tržištu EU i nije obvezna poštivati GDPR.

Primjer 7: Kanadski ured za useljeništvo obrađuje osobne podatke EU grašđana na ulasku na teritorij Kanade. Nisu obveznici GDPR-a.

Ima tu još puno zgodnih primjera iz prakse....

Smjernice EDPB možete naći ovdje:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf