Iubenda logo
Aan de slag

Documentatie

Inhoud

Is de GDPR van toepassing op Amerikaanse bedrijven?

Sinds de handhaving ervan in 2018 is een van de meest gestelde vragen over GDPR: geldt het ook buiten de Europese Unie? En, meer specifiek: geldt het voor Amerikaanse bedrijven?

In dit bericht beantwoorden we deze vraag en leggen we uit wat Amerikaanse bedrijven mogelijk moeten doen om te voldoen (en boetes te vermijden!).

Does the GDPR apply to US companies?

Is de GDPR van toepassing op de VS?

In de meeste gevallen wel.

De GDPR heeft een extraterritoriale werkingssfeer, wat betekent dat ze ook buiten de Europese Unie van toepassing kan zijn. De verordening is bedoeld om Europese gebruikers te beschermen en kan daarom ook gelden voor buitenlandse bedrijven.

Om precies te zijn, wil de GDPR van toepassing zijn op uw Amerikaanse bedrijven, dan moet u ten minste aan een van de volgende eisen voldoen:

  1. Uw bedrijf is gevestigd in de EU (merk op dat dit zelfs geldt voor een EU-vestiging);
  2. u bent niet in de EU gevestigd, maar u biedt goederen of diensten aan (zelfs gratis) aan in de EU gevestigde gebruikers;
  3. u bent niet in de EU gevestigd, maar u volgt het gedrag van in de EU gevestigde gebruikers.

Hier is een praktisch voorbeeld, afkomstig uit de richtsnoeren van het Europees Comité voor gegevensbescherming.:

Een in de VS gevestigde start-up, zonder enige zakelijke aanwezigheid of vestiging in de EU, biedt een applicatie voor het in kaart brengen van steden voor toeristen. De applicatie verwerkt persoonsgegevens betreffende de locatie van klanten die de app gebruiken, om gerichte reclame aan te bieden voor bezienswaardigheden, restaurants, bars en hotels. De applicatie is beschikbaar voor toeristen tijdens hun bezoek aan New York, San Francisco, Toronto, Parijs en Rome. De Amerikaanse start-up richt zich specifiek op personen in de Unie (namelijk in Parijs en Rome) door haar diensten aan hen aan te bieden wanneer zij in de Unie zijn. De verwerking van de persoonsgegevens van de in de EU gevestigde betrokkenen en het aanbieden van de dienst vallen binnen de werkingssfeer van de GDPR. Door de verwerking van de locatiegegevens van de betrokkenen met het oog op het aanbieden van gerichte reclame hebben de verwerkingsactiviteiten bovendien betrekking op het monitoren van het gedrag van personen in de Unie. De start-up verwerking in de VS valt daarom ook onder de GDPR.

Kijk voor een uitgebreidere uitleg naar deze video.

Hoe kan de GDPR gevolgen hebben voor Amerikaanse bedrijven?

Daarom is het een vergissing te denken dat de GDPR, omdat het een Europese verordening is, geen gevolgen heeft voor Amerikaanse bedrijven.

Zoals we hierboven al zeiden, kunnen de Europese gegevensbeschermingsautoriteiten dankzij de extraterritoriale werkingssfeer de GDPR buiten de Europese Unie handhaven.

De handhaving kan op verschillende manieren worden uitgevoerd.

Het “engste” zijn zeker de boetes: die kunnen oplopen tot 20 miljoen euro (20 miljoen euro) of 4% van de jaarlijkse wereldwijde omzet (de hoogste van de twee). Maar misschien even zorgwekkend zijn de andere mogelijke sancties: officiële berispingen (voor eerste overtredingen), periodieke gegevensbeschermingsaudits en schadevergoeding wegens aansprakelijkheid.

GDPR-vereisten voor Amerikaanse bedrijven: hoe eraan te voldoen

Om uw Amerikaanse bedrijf te laten voldoen aan de GDPR, zijn hier enkele van de te volgen stappen:

  1. Een wettelijke basis hebben: de GDPR vereist dat u ten minste één rechtmatige grondslag hebt voor de verwerking van gebruikersgegevens.
  2. Verkrijg controleerbare toestemming: terwijl de Amerikaanse wetgeving meestal toestaat dat persoonsgegevens worden verzameld en verwerkt zonder toestemming van de gebruiker, vereist de GDPR dat u “vrij gegeven, specifieke, geïnformeerde en uitdrukkelijke” toestemming verzamelt via een duidelijke “opt-in” actie.
  3. Houd een duidelijke administratie bij met betrekking tot de toestemming: De GDPR geeft gebruikers ook een specifiek recht om toestemming in te trekken en daarom moet het net zo gemakkelijk zijn om toestemming in te trekken als om toestemming te geven. Omdat toestemming onder de GDPR zo belangrijk is, is het van vitaal belang dat u de toestemming documenteert en duidelijk bijhoudt.
  4. Benoem een functionaris voor gegevensbescherming (DPO): als u buiten de EU gevestigd bent, hebt u misschien toch een Europese vertegenwoordiger nodig om ervoor te zorgen dat uw bedrijf aan de GDPR voldoet. De aanstelling van een DPO is echter niet altijd verplicht, en u moet aan specifieke vereisten voldoen (u kunt ze hier lezen).
  5. Een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren : wanneer aan bepaalde voorwaarden is voldaan, en in gevallen waarin de gegevensverwerkingsactiviteit waarschijnlijk een hoog risico voor de gebruikers inhoudt, vereist de GDPR dat een gegevensbeschermingseffectbeoordeling (DPIA) wordt uitgevoerd.

Hoe iubenda kan helpen met GDPR-compliance

Bij iubenda hanteren we een allesomvattende aanpak voor de naleving van de gegevenswetgeving. Wij bouwen oplossingen met de strengste regelgeving in het achterhoofd en geven u alle opties om deze naar wens aan te passen. Op die manier helpen wij u om aan uw wettelijke verplichtingen te voldoen, verminderen wij het risico op rechtszaken en beschermen wij uw klanten – wat het vertrouwen en de geloofwaardigheid ten goede komt.

U kunt onze reeks oplossingen voor GDPR-naleving hier bekijken.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com