美国实体遵守欧盟新的数据保护条例之期限临近
欧盟新颁布的数据隐私规则,即《通用数据保护条例》(欧盟条例2016/679)(“条例”)将在2018年5月25日生效。该条例不仅规范由位于欧盟境内的控制器或处理器处理的个人数据,还要求非欧盟的法律实体,如非欧盟公司、大学、投资基金和慈善组织存在以下情况的同时遵守该条例:
- 向位于欧盟境内的个人提供商品或服务;或
- 监视欧盟境内的个人,如通过在线追踪进行监视。
不遵守该条例可能导致巨额罚款(高达2000万欧元或4%的全球年收入,以较高的为准)。
因此,如果一家美国实体作为信息控制者或处理者开展某项和个人数据有关的活动(例如收集、记录、组织、储存、转化、更改、检索、查阅、使用、披露、传播或以其他方式提供、排列、组合、限制、清除或销毁个人资料),其应当在以下两种情况下遵守该条例:(1)涉及的个人数据属于欧盟境内的个人且该等数据处理旨在向该欧盟境内的个人提供商品或服务;以及(2)监视个人在欧盟境内发生的行为。
如果是向欧盟境内的个人提供商品或服务,有无付款并不影响该条例的适用。若数据处理者或控制者向多个欧盟国家提供服务,也将受该条例管辖。考虑是否涉及欧盟国家的相关因素包括是否使用在一个或多个欧盟国家普遍使用的语言或货币订购商品和服务的可能性。
然而,仅仅拥有一个带有可访问的电子邮件地址或使用外国语言或欧盟国家语言的网站不必然需要遵守该条例的规定,但需要仔细审查。
其次,在涉及监视行为的情形中,该条例将适用于通过互联网追踪个人的情形,包括潜在的后续分析或预测个人偏好、行为和态度。例如,当在线服务提供商和广告网络商对欧盟境内的个人放置cookies或其他跟踪设备,用以跟踪他们的在线行为的目的。
因此,如果一家非欧盟实体符合适用该条例的情形,它必须遵守条例的规定,包括制定或修改隐私政策和按条例的规定张贴隐私通告,更新收集、处理和存储数据的程序,建立数据外泄的应对政策和程序。在某些情况下,非欧盟实体可能需要派驻一名欧盟常驻代表和一名数据保护官员。
明康律师事务所,连同其欧洲办公室,已编制《通用数据保护条例》遵守清单,特别是对非欧盟实体的检查程序和政策,可以为贵司提供法律咨询和导向。如果您需要进一步的信息,或者有任何问题,请与我们联系。