Sinds de handhaving ervan in 2018 is een van de meest gestelde vragen over GDPR: geldt het ook buiten de Europese Unie? En, meer specifiek: geldt het voor Amerikaanse bedrijven?
In dit bericht beantwoorden we deze vraag en leggen we uit wat Amerikaanse bedrijven mogelijk moeten doen om te voldoen (en boetes te vermijden!).
In de meeste gevallen wel.
De GDPR heeft een extraterritoriale werkingssfeer, wat betekent dat ze ook buiten de Europese Unie van toepassing kan zijn. De verordening is bedoeld om Europese gebruikers te beschermen en kan daarom ook gelden voor buitenlandse bedrijven.
Om precies te zijn, wil de GDPR van toepassing zijn op uw Amerikaanse bedrijven, dan moet u ten minste aan een van de volgende eisen voldoen:
Hier is een praktisch voorbeeld, afkomstig uit de richtsnoeren van het Europees Comité voor gegevensbescherming.:
Een in de VS gevestigde start-up, zonder enige zakelijke aanwezigheid of vestiging in de EU, biedt een applicatie voor het in kaart brengen van steden voor toeristen. De applicatie verwerkt persoonsgegevens betreffende de locatie van klanten die de app gebruiken, om gerichte reclame aan te bieden voor bezienswaardigheden, restaurants, bars en hotels. De applicatie is beschikbaar voor toeristen tijdens hun bezoek aan New York, San Francisco, Toronto, Parijs en Rome. De Amerikaanse start-up richt zich specifiek op personen in de Unie (namelijk in Parijs en Rome) door haar diensten aan hen aan te bieden wanneer zij in de Unie zijn. De verwerking van de persoonsgegevens van de in de EU gevestigde betrokkenen en het aanbieden van de dienst vallen binnen de werkingssfeer van de GDPR. Door de verwerking van de locatiegegevens van de betrokkenen met het oog op het aanbieden van gerichte reclame hebben de verwerkingsactiviteiten bovendien betrekking op het monitoren van het gedrag van personen in de Unie. De start-up verwerking in de VS valt daarom ook onder de GDPR.
Kijk voor een uitgebreidere uitleg naar deze video.
Daarom is het een vergissing te denken dat de GDPR, omdat het een Europese verordening is, geen gevolgen heeft voor Amerikaanse bedrijven.
Zoals we hierboven al zeiden, kunnen de Europese gegevensbeschermingsautoriteiten dankzij de extraterritoriale werkingssfeer de GDPR buiten de Europese Unie handhaven.
De handhaving kan op verschillende manieren worden uitgevoerd.
Het “engste” zijn zeker de boetes: die kunnen oplopen tot 20 miljoen euro (20 miljoen euro) of 4% van de jaarlijkse wereldwijde omzet (de hoogste van de twee). Maar misschien even zorgwekkend zijn de andere mogelijke sancties: officiële berispingen (voor eerste overtredingen), periodieke gegevensbeschermingsaudits en schadevergoeding wegens aansprakelijkheid.
Om uw Amerikaanse bedrijf te laten voldoen aan de GDPR, zijn hier enkele van de te volgen stappen:
Bij iubenda hanteren we een allesomvattende aanpak voor de naleving van de gegevenswetgeving. Wij bouwen oplossingen met de strengste regelgeving in het achterhoofd en geven u alle opties om deze naar wens aan te passen. Op die manier helpen wij u om aan uw wettelijke verplichtingen te voldoen, verminderen wij het risico op rechtszaken en beschermen wij uw klanten – wat het vertrouwen en de geloofwaardigheid ten goede komt.
U kunt onze reeks oplossingen voor GDPR-naleving hier bekijken.