Voor wie geldt de GDPR?

De analyse van het territoriale toepassingsgebied van de General Data Protection Regulation (GDPR) toont aan dat de toepasbaarheid ervan voornamelijk wordt gedefinieerd door Artikel 3 (Verordening (EU) 2016/679). De verordening is niet alleen van toepassing op entiteiten die binnen de Europese Unie (EU) gevestigd zijn, maar onder specifieke omstandigheden ook op entiteiten daarbuiten. De bevindingen kunnen als volgt worden samengevat:

• Organisaties gevestigd in de EU:
  Elke entiteit met een fysieke aanwezigheid in de EU, ongeacht waar de gegevensverwerking plaatsvindt, valt onder de GDPR als zij persoonsgegevens verwerkt van personen die in de EU verblijven. Het criterium 'vestiging' wordt ruim geïnterpreteerd en omvat dochterondernemingen, bijkantoren en zelfs vertegenwoordigers, mits er sprake is van een stabiele regeling.

• Organisaties die niet in de EU gevestigd zijn, maar zich richten op de EU-markt:
  De GDPR is van toepassing wanneer organisaties buiten de EU goederen of diensten aanbieden aan personen in de EU. De intentie om zich op EU-inwoners te richten is cruciaal, en niet slechts de toegankelijkheid van een website of onlinedienst. Indicatoren zijn onder meer het aanbieden van lokale taal-/valutaopties of het actief adverteren gericht op EU-inwoners.

• Monitoren van gedrag:
  De GDPR is van toepassing op entiteiten buiten de EU als zij het gedrag van personen binnen de EU monitoren. Voorbeelden hiervan zijn trackingcookies, online profilering, geolocatiediensten en gedragsgerichte reclame die specifiek gericht is op EU-inwoners.

• Extraterritoriale reikwijdte:
  De extraterritorialiteit van de GDPR onderscheidt deze van eerdere gegevensbeschermingsregimes. De brede reikwijdte ervan is bedoeld om te waarborgen dat de gegevens van EU-inwoners’ worden beschermd, ongeacht waar de verwerking plaatsvindt.

Belangrijkste observaties:

• Commerciële activiteit is niet vereist: Elke doelgerichte benadering, inclusief die van niet-commerciële organisaties, kan de toepasbaarheid van de GDPR activeren.
• Gedragsmonitoring omvat zowel online als offline tracking als het EU-inwoners betreft.
• Toepassing wordt bepaald door intentie en effect, niet alleen door fysieke of juridische aanwezigheid.

Samenvattend is de GDPR van toepassing op een breed scala aan organisaties – zowel binnen als buiten Europa – op basis van hun interactie met de persoonsgegevens van personen binnen de EU. Het ontwerp van de verordening legt de nadruk op een uitgebreide dekking om de complexiteit van wereldwijde gegevensstromen aan te pakken.