如果您是在歐盟以外地區閱讀本文,您可能會想「沒什麼大不了的,這不會影響我的組織」。再想一想,我有三個字;擴大領土範圍。該法規將影響歐盟境內和境外的公司。事實上,任何處理歐盟企業、居民或公民資料的公司都必須遵守 GDPR。即使一家公司沒有在歐洲開展業務,如果它處理歐盟居民的個人數據,它仍然必須了解 GDPR 的影響。這包括收集與向該人提供的商品和 商業和消費者手機號碼資料庫服務有關的數據,或監控其行為(只要他們的行為發生在歐盟境內)。
GDPR 第 3 條的實際措辭比這更廣泛,因為它實際上沒有提及公民身份——它適用於歐盟的任何“數據主體”,即居住在歐盟的人。值得注意的是,第 3(2) 條適用於「歐盟境內」任何個人的個人資料處理。個人的國籍或居住地無關緊要。 GDPR 保護公民、居民、遊客和其他訪問歐盟的人員的個人資料。因此,只要個人在歐盟境內,任何符合第 3(2) 條要求的控制者或處理者收集的該人的任何個人資訊均受 GDPR 的約束。
如果第 3(2) 條適用,控制者或處理者必須任命一名歐盟代表。基本上,GDPR 圍繞著資料主體的位置而不是資料控制者或處理者的位置重新制定了隱私法規。因此,如果一家企業試圖在歐盟境內銷售其商品和服務,它將受到 GDPR 的約束。
歐盟以外的企業還需要在歐盟指定一名代表,該代表將「代表控制者或處理者行事,並可能由任何資料保護機構 (DPA) 處理」。如果非歐盟控制者或處理者不遵守規定,代表可能會受到強制執行程序的約束。
政府研究表明,許多英國組織還沒有聽說過 GDPR,並且在合規性方面將難以走上正軌。令人擔憂的是,只有 38% 的企業對「在這次訪談之前,您聽說過《一般資料保護規範》(GDPR) 嗎?」這個問題回答「是」。令人擔憂的是,這個數字幾乎肯定在海外更糟糕,因為那裡的意識要低得多。如果一個組織現階段還沒有聽說過 GDPR,那麼他們幾乎不可能在新法律於 2018 年 5 月 25 日生效之前為其組織做好充分準備。
為什麼 GDPR 擴展到歐盟以外
GDPR 與過去的資料保護指令(指令 95/46/EC)一樣,延續了在歐盟公民的資料在境外匯出、分享和處理時保護其個人資料和隱私的理念。換句話說,GDPR 對將個人資料傳輸到歐盟以外的第三國或國際組織施加了限制。這些限制的目的是確保 GDPR 為個人提供的保護水準不被削弱。
GDPR 確實允許將資料傳輸到歐盟委員會認為其法律制度能夠提供「充分」個人資料保護水準的國家。迄今為止,歐盟委員會已認可安道爾、阿根廷、加拿大(商業組織)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士、烏拉圭和美國(僅限於 隱私護盾框架)提供了充分的保護保護。然而,在缺乏充分性決定的情況下,在某些情況下也允許在非歐盟國家之外進行轉移,例如透過使用標準合約條款或具有約束力的公司規則(BCR)。
