De extraterritoriale toepasselijkheid van de AVG: ook buiten de EU?

Deze blog is vertaald met Google Translate.

Australische, Aziatische, Amerikaanse (ea.) bedrijven… zet u schrap, want de nieuwe Algemene Gegevensbeschermingsverordening (GDPR) van de EU komt ook voor u! Hoewel er veel vragen zijn met betrekking tot de nieuwe verordening, blijft er een belangrijke vraag: zijn bedrijven buiten de Europese Unie verplicht zich aan de EU te houden – zelfs als ze niet fysiek aanwezig zijn binnen de Unie -? In deze blog proberen we u te helpen begrijpen of de GDPR van toepassing zal zijn op uw bedrijf. Hou er rekening mee dat het exacte antwoord grotendeels zal afhangen van de specifieke bedrijfsactiviteiten van uw organisatie.

De GDPR komt in de plaats van de EU Data Protection Directive uit 1995 en zal in werking treden op 25 mei 2018. Zij belooft nieuwe regels voor gegevensbescherming die onder meer het recht van personen om hun eigen gegevens te controleren, zullen versterken. De BBPR brengt een cruciale verandering teweeg door de territoriale reikwijdte ervan uit te breiden tot buiten de EU. Met andere woorden: de GDPR kan en zal – wanneer aan bepaalde normen wordt voldaan – van toepassing zijn op uw bedrijf dat buiten de grenzen van de EU is gevestigd. Niet-naleving kan ernstige gevolgen hebben voor uw bedrijf, aangezien de BBPR een nieuwe reeks sancties bevat die kunnen oplopen tot 20 miljoen euro. De vraag van een miljoen dollar blijft dus hetzelfde: wanneer moet u zich – als niet-EU-bedrijf – zorgen gaan maken over de BBPR? Het antwoord staat in artikel 3 van de BBPR. Het introduceert 2 situaties die verband houden met specifieke bedrijfsactiviteiten (het richten en/of monitoren van EU-burgers) waarbij de verordening van toepassing is op controleurs en verwerkers die niet fysiek aanwezig zijn in de EU. Volgens het artikel zal de GDPR van toepassing zijn op verwerkingsactiviteiten die verband houden met:

  • de gerichtheid op EU-burgers: het aanbieden van goederen of diensten, ongeacht of een betaling van de betrokkene vereist is, aan dergelijke betrokkenen in de Unie; of
  • Het monitoren van EU-burgers: het monitoren van hun gedrag voor zover dit binnen de Unie plaatsvindt.

Er bestaat geen sluitende definitie van het gedrag dat het “aanbieden van goederen of diensten” zou inhouden. Gelukkig geven de overwegingen van het BBPR ons enige houvast bij de vraag welke factoren relevant kunnen zijn bij het nemen van die beslissing. Zo zou het gebruik van de taal, de valuta of de topniveaudomeinnaam van een EU-lidstaat een sterke aanwijzing kunnen zijn dat u zich richt op EU-burgers volgens de BBPR.

Scroll naar top

Waar kunnen we bij helpen?