Gælder GDPR for virksomheder uden for EU?

Table of Contents

Gælder GDPR for virksomheder uden for EU?

I 2018 lancerede Den Europæiske Union (EU) den generelle forordning om databeskyttelse (GDPR). Den regulerer indsamling og brug af personoplysninger af alle private og offentlige enheder. Forordningen gælder udelukkende for EU-borgeres personoplysninger. Det betyder, at virksomheder uden for EU ikke er undtaget. Under visse omstændigheder gælder GDPR snarere for virksomheder uden for EU.

Nedenfor forklarer vi de betingelser, hvor virksomheder uden for EU skal følge GDPR. Og også, hvad sker der, hvis de ikke gør det.

Oversigt over GDPR

GDPR er en juridisk ramme, der er udarbejdet af EU, og som trådte i kraft i maj 2018. Den er udformet for at give EU-borgerne større kontrol over indsamlingen og anvendelsen af deres data online og forpligter virksomheder til at overholde en række principper og rettigheder til privatlivets fred, der er nedfældet i forordningen.

Disse omfatter begrænsning af dataindsamling til væsentlige formål, sikker opbevaring af data og sikring af, at dataindsamling er lovlig, retfærdig og gennemsigtig. EU-borgere skal også aktivt give samtykke til deres dataindsamling.

Forordningen kom efter flere højt profilerede lækager fra store virksomheder. Der var også bekymringer om privatlivets fred fra EU-borgere, som var bekymrede for, at deres personoplysninger blev indsamlet i hemmelighed uden deres samtykke.

Derfor har EU udarbejdet GDPR: i øjeblikket den strengeste databeskyttelseslov på verdensplan.

GDPR gælder i hele verden

Da internettet er en global enhed, er GDPR det også. Ved at udnytte EU’s magt lovgiver GDPR mod misbrug af data, der tilhører EU-borgere overalt i verden. Dette er kendt som en “ekstraterritorial effekt”.

For at citere artikel 3 i GDPR (relevante afsnit er fremhævet med fed skrift):

  1. Denne forordning finder anvendelse på behandling af personoplysninger i forbindelse med aktiviteter, der udføres af en dataansvarligs eller en databehandlers virksomhed i Unionen, uanset om behandlingen finder sted i Unionen eller ej.
  2. Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der befinder sig i Unionen, af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, når behandlingsaktiviteterne vedrører:
    a) udbud af varer eller tjenesteydelser, uanset om der kræves betaling fra den registrerede, til sådanne registrerede i Unionen eller
    b) overvågning af deres adfærd , for så vidt som deres adfærd finder sted inden for Unionen.
  3. Denne forordning finder anvendelse på behandling af personoplysninger, der foretages af en dataansvarlig, der ikke er etableret i Unionen, men på et sted, hvor medlemsstaternes nationale ret finder anvendelse i henhold til folkeretten.

Hvornår gælder GDPR i områder uden for EU?

Som vi kan se i artikel 3 i GDPR, er der to primære tilfælde, hvor GDPR udviser en ekstraterritorial virkning. Disse er:

Tilbyder varer og tjenester. Med varer og tjenesteydelser, der handles frit på tværs af territoriale grænser, beskæftiger GDPR sig primært med, hvordan EU-borgeres personoplysninger bruges i sådanne transaktioner.

For eksempel, hvis en EU-borger i Danmark kan købe et produkt eller en tjeneste fra en leverandør i Chicago, skal leverandøren overholde GDPR. Kort sagt: enhver ikke-EU-virksomhed, der henvender sig til EU-kunder, bør være GDPR-kompatibel.

Nøgleordene her er “kan” og “cater”. Bare fordi en EU-borger kan købe fra en virksomhed uden for EU, betyder det ikke, at virksomheden henvender sig til EU-borgere. En restaurant i Tokyo kan tage imod bestillinger via internettet. De markedsfører dog ikke til EU-borgere og er dermed undtaget fra GDPR.

Overvågning af adfærd. Det mest almindelige tilfælde af, at GDPR påvirker regelmæssig internetaktivitet, er gennem cookies. Disse er små stykker software designet til at spore brugen af et websted. Det betragtes som personoplysninger i henhold til GDPR. Derfor skal ethvert websted, der er åbent for EU-borgere, følge GDPR, når de indsamler og bruger sådanne data.

Det betyder, at næsten alle websteder på internettet skal være GDPR-kompatible. I en nøddeskal: ja. Men det er ikke nødvendigvis sådan, tingene fungerer i praksis. Hvis en hollandsk statsborger bruger en vietnamesisk boghandels hjemmeside, der ikke er GDPR-kompatibel, er det usandsynligt, at det vil have mange konsekvenser. GDPR er streng – bare ikke så streng.

Hvilke undtagelser er der fra den ekstraterritoriale virkning?

Der er to hovedundtagelser fra den generelle forordning om databeskyttelse:

  1. For det første gælder GDPR ikke for “rent personlige eller huslige aktiviteter“. Derfor, hvis du har en ven, der skriver til dig fra Frankrig, er du ikke forpligtet til at følge de strenge regler for privatliv og samtykke. Det er snarere kun organisationer, der beskæftiger sig med “professionel eller kommerciel aktivitet“, der rutinemæssigt skal følge GDPR. Og endnu mere, demonstrere, at de gør det regelmæssigt.
  2. GDPR gælder for det meste for store virksomheder med mere end 250 ansatte. Små og mellemstore virksomheder skal overholde GDPR. Alligevel er de fritaget for de fleste registreringsforpligtelser.

Hvad sker der, hvis et land uden for EU ikke overholder GDPR?

Hvis en virksomhed uden for EU ikke overholder GDPR, kan den få bøder på op til 20 millioner euro eller 4 % årlig global omsætning – alt efter hvad der er højest.

Det er en betydelig sum for enhver virksomhed. Det kan endda true med konkurs. At følge GDPR er derfor ikke kun en forpligtelse; det er en nødvendighed.

Hvis du driver en virksomhed uden for EU’s jurisdiktion, skal du være opmærksom på de ekstraterritoriale forpligtelser, din virksomhed er underlagt. Sørg for, at du følger forordningens bogstav, når du indsamler og bruger EU-borgeres personoplysninger.

Der er fortsat en vis skepsis med hensyn til, hvordan der vil blive opkrævet bøder over for virksomheder uden for EU. Men det ville være dumdristigt at antage, at du kan undslippe konsekvenserne af manglende overholdelse.

Konklusion

Det er oversigten over, hvornår GDPR er relevant for virksomheder uden for EU. Kort sagt: GDPR gælder for organisationer uden for EU under to omstændigheder: når de tilbyder varer og tjenester, og når de overvåger adfærd.

Kilder:

https://www.personneltoday.com/hr/how-does-the-gdpr-apply-to-businesses-outside-the-eu/
https://gdpr.eu/companies-outside-of-europe/
https://www.blakemorgan.co.uk/does-the-gdpr-apply-outside-the-eu-uk/

Sales & Support