GDPR (欧洲通用数据保护条例)的适用场景
2021-08-18 22:25:14
GDPR(欧洲通用数据保护条例)的适用场景主要涵盖以下两类情形,其核心判断标准与具体案例如下:
一、数据控制者或处理者在欧盟境内设有分支机构- 适用条件:只要个人数据处理活动与分支机构在欧盟境内的业务活动相关(in the context of the activities of an establishment),无论实际数据处理是否发生在欧盟境内,均需遵守GDPR。
- 典型案例:
跨国连锁酒店:在欧盟本地运营的非欧盟国家(如A国)连锁酒店,将住客个人数据传输至A国总部处理,需履行GDPR义务。
跨国企业子公司:欧盟境内的子公司收集员工或客户数据后,传输至母公司(位于非欧盟国家)处理,同样适用GDPR。
- 判断标准:
商品或服务明确针对欧盟市场(如提供欧盟语言版本、支持欧元结算、支持欧盟境内物流配送)。
无论是否发生支付行为,均适用GDPR。
- 典型案例:
跨境电商平台:在非欧盟国家运营的电商平台,提供法文/德文页面、欧元结算、欧盟配送服务,需遵守GDPR。
在线教育服务:非欧盟机构提供欧盟语言课程,并允许欧盟学生注册,即使课程免费,也需适用GDPR。
- 判断标准:
通过跟踪用户位置、浏览记录、行为数据等,推送个性化内容或广告。
关键点:监控行为需与欧盟境内数据主体直接相关。
- 典型案例:
社交媒体平台:非欧盟运营的社交媒体允许欧盟用户注册,并根据其位置、浏览记录推送广告,可能被认定为监控行为。
智能设备软件:非欧盟企业开发的软件嵌入欧盟销售的设备中,收集用户数据(如健康数据、位置信息),需适用GDPR。
- 设备销售与数据收集:
若设备制造商在欧盟设有销售代表处,且设备中嵌入的软件收集个人数据(如用户行为、设备信息),则数据收集过程需遵守GDPR。
- 全球化业务合作:
非欧盟企业与欧盟合作伙伴共同处理数据时,需明确责任分工,确保符合GDPR要求(如数据传输协议、隐私政策合规性)。
- 欧盟公民在境外短期活动:
欧盟公民在非欧盟国家(如A国)学习、购物时,若当地机构未在欧盟境内设立分支机构,且未主动针对欧盟市场提供服务或监控行为,则无需适用GDPR。
例外:若欧盟公民返回欧盟后,境外机构继续跟踪其行为(如通过Cookie、广告定向),则可能触发GDPR适用。
- 地域关联性:数据处理活动与欧盟境内机构、市场或用户直接相关。
- 行为针对性:服务提供或监控行为明确指向欧盟数据主体,无论企业是否位于欧盟境内。
- 数据主体保护:以欧盟境内自然人为保护对象,覆盖其全球范围内的数据权益(但需满足上述条件)。
建议:涉及海外业务或全球化经营的组织,应评估自身是否满足GDPR适用条件,重点审查数据收集、传输、处理环节的合规性,避免因未履行义务而面临高额罚款(最高达全球年营收的4%)。
热门标签
