Εξωεδαφική εφαρμογή του GDPR: Η εφαρμογή του Κανονισμού σε μη ευρωπαϊκές επιχειρήσεις


Της Ιωάννας Μιχαλοπούλου, Δικηγόρου LL.M.
Ο νέος Ευρωπαϊκός Κανονισμός Προστασίας Δεδομένων δεν είναι κατηγορηματικά διεθνής νομοθεσία, αλλά τείνει να γίνει de facto διεθνής πέραν των ευρωπαϊκών ορίων, τουλάχιστον για κάποιες επιχειρήσεις.
Ο GDPR, ο οποίος τέθηκε σε ισχύ στις 25 Μαΐου 2018, επηρεάζει με βεβαιότητα όλες τις επιχειρήσεις που εδρεύουν στην επικράτεια της ΕΕ και λειτουργούν ως Υπεύθυνοι Επεξεργασίας δεδομένων ή Εκτελούντες την επεξεργασία προσωπικών δεδομένων των υποκειμένων των δεδομένων που βρίσκονται εντός της Ένωσης, παρόμοια με την προηγούμενη Eυρωπαϊκή Οδηγία περί Προστασίας Δεδομένων 95/46/ΕΚ). Τίθεται έτσι το σημαντικό ερώτημα του κατά πόσον επιχειρήσεις με έδρα εκτός της Ευρωπαϊκής Ένωσης, που επεξεργάζονται προσωπικά δεδομένα, υπόκεινται εντέλει στις διατάξεις του GDPR.
Ο ευρωπαίος νομοθέτης στην προσπάθειά του να προστατέψει τα υποκείμενα των δεδομένων από αυθαίρετη επεξεργασία των προσωπικών τους δεδομένων από μη ευρωπαϊκές επιχειρήσεις, επέκτεινε την εδαφική ισχύ του Κανονισμού. Το άρθρο 3 του Κανονισμού δηλώνει πως «ο Κανονισμός εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα υποκειμένων των δεδομένων που βρίσκονται στην Ένωση από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία μη εγκατεστημένο στην Ένωση, εάν ένα από τα κατωτέρω κριτήρια πληρούνται:
Οι δραστηριότητες επεξεργασίας σχετίζονται με:
α) την προσφορά αγαθών ή υπηρεσιών στα εν λόγω υποκείμενα των δεδομένων στην Ένωση, ανεξαρτήτως εάν απαιτείται πληρωμή από τα υποκείμενα των δεδομένων, ή
β) την παρακολούθηση της συμπεριφοράς τους, στον βαθμό που η συμπεριφορά αυτή λαμβάνει χώρα εντός της Ένωσης.
Κλειδί για τον καθορισμό της πλήρωσης του κριτηρίου (α) από μία μη ευρωπαϊκή επιχείρηση, σύμφωνα με το Προοίμιο 23 (προσφορά αγαθών ή υπηρεσιών σε τέτοια υποκείμενα στην Ένωση), είναι η πρόθεση της εταιρείας, και μάλιστα, κατά πόσο είναι προφανής η πρόθεση να προσφέρει σε ένα υποκείμενο ευρισκόμενο εντός της Ευρώπης. Ειδικότερα, η απλή προσφορά πληροφοριών σχετικά με την προσφορά προϊόντων ή υπηρεσιών στην ιστοσελίδα της εταιρείας δεν αποδεικνύει επαρκώς από μόνη της την πρόθεση να προσφέρει τέτοιες υπηρεσίες σε υποκείμενα δεδομένων εντός EU.
Ωστόσο, η διαθεσιμότητα του ιστότοπου σε γλώσσα της ΕΕ που βρίσκεται εκτός της δικαιοδοσίας του Υπεύθυνου επεξεργασίας, η προσφορά αγαθών/υπηρεσιών σε νόμισμα της ΕΕ ή, όπως είναι αναμενόμενο, η σαφής στόχευση των πολιτών της ΕΕ, θα μπορούσε να παράσχει επαρκή απόδειξη πρόθεσης και να τραβήξει την επιχείρηση εντός του πεδίου εφαρμογής του GDPR.
Για παράδειγμα, αν μία μη ευρωπαϊκή επιχείρηση πληροί τουλάχιστον ένα από τα παρακάτω κριτήρια, ο GDPR εφαρμόζεται:
Αναφέρονται για σκοπούς επικοινωνίας διεθνή τηλέφωνα στην ιστοσελίδα,
Domain Names ευρωπαϊκών Κρατών – Μελών (πχ. eu, ie, .de),
Δυνατότητα μετάφρασης του περιεχομένου της σελίδας σε ευρωπαϊκή γλώσσα,
Δυνατότητα μετατροπής σε ευρώ, και
Διαφήμιση για προσέλκυση Eυρωπαίων χρηστών (αξιοποιώντας τους υφιστάμενους πελάτες ή πελάτες ως αντικείμενο διαφήμισης).
Για παράδειγμα αν μία Ταϊλανδική εταιρεία χωρίς ευρωπαϊκές θυγατρικές εταιρείες διατηρεί e – shop στα δανέζικα, στο οποίο προσφέρει αγαθά με την δυνατότητα παραγγελίας στη δανέζικη γλώσσα και πληρωμής σε ευρώ, αποδέχεται την προσφορά ευρωπαίων πολιτών και τα παραδίδει σε αυτούς, τότε μπορεί κανείς ασφαλώς να συνάγει πως η ταϊλανδική αυτή εταιρεία στοχεύει Δανούς καταναλωτές (και ως εκ τούτου Ευρωπαίους πολίτες). Εξαιτίας αυτού, η εταιρεία αυτή θα υπόκειται στις διατάξεις του GDPR. Ομοίως, και μία αμερικάνικη εταιρεία που προσφέρει μία εφαρμογή κινητού τηλεφώνου σε αμερικάνους χρήστες και η εφαρμογή αυτή συλλέγει δεδομένα τοποθεσίας. Αν ο Αμερικάνος  τουρίστας  χρησιμοποιεί την εφαρμογή κατά το ταξίδι του στην Ισπανία ο GDPR εκτείνεται στα δεδομένα αυτά και η εταιρεία οφείλει να συμορφωθεί με τον Κανονισμό κατά τη διάρκεια των διακοπών του στην Ισπανία.
Υποχρεώσεις – Διορισμός Αντιπροσώπου
Ο GDPR απαιτεί από τους Υπευθύνους Επεξεργασίας δεδομένων και Εκτελούντες που εμπίπτουν στο πεδίο εφαρμογής του (και των οποίων η επεξεργασία δεν είναι περιστασιακή) να ορίσουν έναν Εκπρόσωπο με έδρα την ΕΕ (άρθρο 27) ο οποίος θα ενεργεί εξ ονόματός τους και θα αποτελεί και το σημείο επαφής της αρμόδιας Ανεξάρτητης Αρχής Προσωπικών Δεδομένων. Ο εκπρόσωπος αυτός υπόκειται επίσης σε ορισμένες απαιτήσεις τήρησης αρχείων, καθώς και στη λήψη πληροφοριών και καταγγελιών. Ο ορισμός ενός τέτοιου αντιπροσώπου δεν επηρεάζει την ευθύνη υπεύθυνου επεξεργασίας ή την ευθύνη του εκτελούντα την επεξεργασία σύμφωνα με τον παρόντα κανονισμό. Ο ορισθείς εκπρόσωπος θα πρέπει επίσης να υπόκειται σε διαδικασίες εκτέλεσης σε περίπτωση μη συμμόρφωσης από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα. Ωστόσο, ο GDPR δεν περιλαμβάνει τον κατάλληλο μηχανισμό επιβολής του νόμου στο ίδιο το κείμενο, δηλώνοντας μόνο ότι o αντιπρόσωπος θα πρέπει να υπόκειται, χωρίς επιφύλαξη σε διαδικασίες εκτέλεσης σε περίπτωση μη συμμόρφωσης του υπεύθυνου επεξεργασίας ή του Εκτελούντα. Για το σκοπό αυτό και λαμβάνοντας υπόψη τα νέα πρόστιμα που προβλέπονται από το GDPR (άρθρο 83 παρ. 4 α), οι Ανεξάρτητες Αρχές Δεδομένων πρέπει να συνεχίσουν να ασκούν έμμεσα πίεση στους Υπεύθυνους Επεξεργασίας δεδομένων και τους Εκτελούντες μέσω εκπροσώπων με έδρα την ΕΕ.
Σχόλιο:
Λόγω του εξωεδαφικού πεδίου εφαρμογής του GDPR που ορίζεται στο άρθρο 3, ο Κανονισμός θα εφαρμοστεί ανεξάρτητα από το εάν η πραγματική επεξεργασία δεδομένων λαμβάνει χώρα εντός της ΕΕ ή όχι. Είτε αυτός ο στόχος επιτευχθεί είτε όχι, ένα πράγμα είναι σίγουρο· ο GDPR αναμφισβήτητα θα αλλάξει τον τρόπο λειτουργίας των πολυεθνικών οργανισμών σε παγκόσμιο επίπεδο όσον αφορά τη συλλογή, χρήση και προστασία των προσωπικών δεδομένων εντός ΕΕ όλων των πολιτών ανεξαρτήτως.
------------------------------------------------
* Ioanna Michalopoulou LL.M. |CIPP/E , Managing Partner Michalopoulou & Associates
40, Ag. Konstantinou st. | “Aithrio” Business Center (Α 16-18), 15 124 Marousi | Athens | Greece, T: 210 330 52 30 | F: 210 330 52 32, imicha@lawgroup.gr | www.lawgroup.gr

Σχόλια

Δημοσίευση σχολίου

Top Legal Stories

Εικόνα

Σημαντική απόφαση του ΕΔΑΔ για την κλιματική αλλαγή: Μη λήψη επαρκών και αποτελεσματικών μέτρων από το κράτος

Σε μια απόφαση-ορόσημο, το Ευρωπαϊκό Δικαστήριο Ανθρωπίνων Δικαιωμάτων δικαίωσε ομάδα πολιτών που κατήγγειλε τη μη λήψη επαρκών μέτρων από το κράτος για την αντιμετώπιση των αρνητικών συνεπειών της κλιματικής αλλαγής. Στην απόφαση του Τμήματος Μείζονος Συνθέσεως του ΕΔΔΑ στις 9/4/2024 (στην υπόθεση Verein Klima Seniorinnen Schweiz και άλλων κατά Ελβετίας /αρ. αίτησης 53600/20) κρίθηκε με πλειοψηφία 16 ψήφων υπέρ και μίας κατά ότι υπήρξε παραβίαση του άρθρου 8 (δικαίωμα σεβασμού της ιδιωτικής και οικογενειακής ζωής) της Ευρωπαϊκής Σύμβασης για Ανθρώπινα δικαιώματα και, ομόφωνα, ότι υπήρξε παραβίαση του άρθρου 6 § 1 (πρόσβαση στο δικαστήριο). Η υπόθεση αφορούσε σε καταγγελία από τέσσερις γυναίκες και μια ελβετική ένωση, την Verein KlimaSeniorinnen Schweiz, μέλη της οποίας είναι όλες γυναίκες μεγαλύτερης ηλικίας που ανησυχούν για τις συνέπειες της παγκόσμιας υπερθέρμανσης, για τις συνθήκες διαβίωσης και υγείας τους. Θεωρούν ότι οι ελβετικές αρχές δεν παίρνουν επαρκή μέτρα, παρά την υπ
Εικόνα

Μεταναστευτικό Δίκαιο: Νέοι κανόνες για την άδεια εργασίας/διαμονής

Το Ευρωπαϊκό Κοινοβούλιο ψήφισε υπέρ πιο αποτελεσματικών κανόνων για τις συνδυασμένες άδειες εργασίας και διαμονής στην ΕΕ για υπηκόους τρίτων χωρών. Η επικαιροποίηση της  οδηγίας για την ενιαία άδεια  (Οδηγία 2011/98/ΕΕ ) που εγκρίθηκε το 2011 και με την οποία θεσπίστηκε ενιαία διοικητική διαδικασία για τη χορήγηση άδειας σε υπηκόους τρίτων χωρών που επιθυμούν να ζήσουν και να εργαστούν σε χώρα της ΕΕ, αλλά και κοινή δέσμη δικαιωμάτων για τους εργαζομένους τρίτων χωρών, εγκρίθηκε με 465 ψήφους υπέρ, 122 κατά και 27 αποχές. Γρηγορότερες αποφάσεις σχετικά με τις αιτήσεις Στις διαπραγματεύσεις, οι ευρωβουλευτές κατάφεραν να καθορίσουν ένα ανώτατο όριο 90 ημερών για τη λήψη απόφασης σχετικά με τις αιτήσεις για ενιαία άδεια, διάστημα σημαντικά συντομότερο σε σύγκριση με το υφιστάμενο όριο των τεσσάρων μηνών. Οι διαδικασίες για ιδιαίτερα πολύπλοκους φακέλους ενδέχεται να λάβουν παράταση 30 ημερών και ο χρόνος για την έκδοση θεώρησης, εάν είναι απαραίτητο, δεν περιλαμβάνεται στο όριο α
Εικόνα

Η παραβίαση της υποχρέωσης εκτίμησης της πιστοληπτικής ικανότητας του δανειολήπτη ως λόγος ακύρωσης της δανειακής σύμβασης

του Γιώργου Καζολέα, Δικηγόρου  Η χορήγηση δανείων από τα πιστωτικά ιδρύματα χωρίς προηγούμενο έλεγχο της φερεγγυότητας των δανειοληπτών είναι γνωστό ότι οδήγησε σε πληθώρα μη εξυπηρετούμενων πιστωτικών διευκολύνσεων που οδήγησαν με τη σειρά τους σε έκρηξη πλειστηριασμών.  Η αξιολόγηση της πιστοληπτικής ικανότητας αποτελεί υποχρέωση του δανειστή που ρητώς προβλέπεται από την Οδηγία 2008/48/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Απριλίου 2008, για τις συμβάσεις καταναλωτικής πίστης και την κατάργηση της οδηγίας 87/102/ΕΟΚ του Συμβουλίου. Το άρθρο 8 της οδηγίας, το οποίο φέρει τον τίτλο «Υποχρέωση εκτίμησης της πιστοληπτικής ικανότητας του καταναλωτή», αναφέρει τα εξής: «1.Τα κράτη μέλη διασφαλίζουν ότι, πριν από τη σύναψη της σύμβασης πίστωσης, ο πιστωτικός φορέας εκτιμά την πιστοληπτική ικανότητα του καταναλωτή, βάσει επαρκών στοιχείων που λαμβάνονται κατά περίπτωση από τον καταναλωτή και, εν ανάγκη, κατόπιν έρευνας στην κατάλληλη βάση δεδομένων. Τα κράτη μέλη
Εικόνα

Πρόστιμο σε ιατρό για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων

Πρόστιμο ύψους 1.500 ευρώ για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων επέβαλε το Γραφείο Επιτρόπου Προστασίας Προσωπικών Δεδομένων σε ιατρό του ΓεΣΥ. Συγκεκριμένα εξετάστηκε καταγγελία που υποβλήθηκε στο Γραφείο σχετικά με πρόσβαση στον λογαριασμό του Γενικού Συστήματος Υγείας (ΓεΣΥ) της Καταγγέλλουσας από ιατρό. Όπως ανέφερε η Καταγγέλλουσα, διαπίστωσε πρόσβαση στα προσωπικά της δεδομένα από την ιατρό, στην πύλη δικαιούχων του ΓεΣΥ, χωρίς να γνωρίζει την ιατρό, χωρίς να υπάρχει παραπεμπτικό και χωρίς την άδειά της. Στο πλαίσιο της διερεύνησης, τόσο η Καταγγέλλουσα όσο και η ιατρός ανέφεραν προς το Γραφείο της Επιτρόπου ότι εκάστη δεν γνώριζε την άλλη και ότι η ιατρός δεν εξέτασε την καταγγέλλουσα. Η Επίτροπος αξιολόγησε τις θέσεις της ιατρού σχετικά με τους ενδεχόμενους τρόπους απόκτησης των δεδομένων της Καταγγέλλουσας, τα οποία ήταν αναγκαία για την πρόσβαση στην πύλη δικαιούχου της καταγγέλλουσας στο ΓεΣΥ. Ωστόσο, η ιατρός δεν μπόρεσε να αποδείξει ότι έλαβε με νόμ
Εικόνα

Κλειστό Κύκλωμα Βιντεοπαρακολούθησης σε σχολεία: Ανακοίνωση της Επιτρόπου Προστασίας Δεδομένων

Σχετικά με την τοποθέτηση και λειτουργία Κλειστού Κυκλώματος Βιντεοπαρακολούθησης σε σχολεία, εξέδωσε ανακοίνωση η Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Η ανακοίνωση αναφέρει τα εξής: «Αναφορικά με το πιο πάνω θέμα, επιθυμώ να πληροφορήσω κάθε ενδιαφερόμενο πρόσωπο ότι ολοκληρώθηκε αισίως η διαδικασία διαβούλευσης μεταξύ του Υπουργείου Παιδείας, Αθλητισμού και Νεολαίας (ΥΠΑΝ) και του Γραφείου μου. Το ΥΠΑΝ διενήργησε εκτίμηση αντικτύπου σχετικά με τη λειτουργία Κλειστού Κυκλώματος Βιντεοπαρακολούθησης (ΚΚΒΠ) στις σχολικές μονάδες για την πρόληψη και αντιμετώπιση της βίας και της παραβατικότητας, την οποία υπέβαλε στο Γραφείο μου για σκοπούς διαβούλευσης. Σύμφωνα με τα όσα αναφέρονται στην εν λόγω εκτίμηση αντικτύπου, α. Θα τοποθετηθούν βιντεοκάμερες στις κεντρικές εισόδους-εξόδους των σχολικών μονάδων, καθώς και περιμετρικά αυτών. β. Η εμβέλεια καταγραφής θα περιορίζεται εντός των ορίων των σχολικών μονάδων και δεν θα καταγράφονται παρακείμενοι ιδιωτικοί ή δημόσ