Op 23 november 2018 publiceerde het Europees Comité voor gegevensbescherming (European Data Protection Board – hierna: EDPB) haar ‘Guidelines on the territorial scope of the GDPR’. Met deze richtsnoeren komt het EDPB tegemoet aan de aanzienlijke twijfel die heerst bij ondernemingen gevestigd buiten de EU over de vraag of ook zij onderworpen zijn aan de Algemene Verordening Gegevensbescherming (General Data Protection Regulation – hierna: GDPR). Hoewel de richtsnoeren nog niet definitief zijn, brengen ze een onmisbare verduidelijking van de vage bewoordingen van artikel 3 GDPR met zich mee en bieden ze soelaas aan zij die vreesden voor het ‘virale effect’ van de GDPR.
In haar richtsnoeren onderscheidt het EDPB (net als de GDPR) drie criteria die het territoriaal toepassingsgebied van de GDPR bepalen. De twee belangrijkste daarvan zijn
Daarnaast bestaat een derde criterium in verband met internationaal publiekrecht, dat niet verder zal worden toegelicht in dit artikel.
Voor bedrijven die op geen enkele wijze fysiek aanwezig zijn in de EU, is het ‘targeting’ criterium het belangrijkste criterium. Conform artikel 3(2), is de GDPR van toepassing op een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met
Bijgevolg zullen verwerkingsverantwoordelijken en verwerkers de GDPR moeten naleven wanneer zij zich richten op personen in de EU, ofwel door het aanbieden van goederen of diensten, ofwel door het monitoren van hun gedrag.
Maar wat wordt nu juist bedoeld met de begrippen: ‘aanbieden van goederen of diensten’, ‘monitoren van gedrag’ en ‘betrokkenen in de Unie/gedrag in de Unie’? Het EDPB geeft raad:
Het concept ‘aanbieden van goederen of diensten’ aan betrokkenen in de Unie wordt door het EDPB in haar richtsnoeren uitvoerig besproken. Zo hoeft het feit dat de website van een bedrijf te raadplegen is vanuit de EU of het feit dat die website een taal vermeldt die eveneens in een EU-lidstaat wordt gesproken niet meteen te betekenen dat men goederen en diensten aanbiedt aan personen in de EU. Er is volgens het EDPB daarentegen een zekere bedoeling van de verwerkingsverantwoordelijke of verwerker ‘om zich te richten op de EU’ noodzakelijk.
Factoren die wél relevant zijn om te bepalen of een niet-EU-onderneming zich richt op de EU, zijn bijvoorbeeld:
Hoewel deze factoren elk apart misschien niet steeds aantonen dat de onderneming in kwestie de bedoeling had zich te richten op de Europese markt, zullen ze allen samengenomen, bij een in concreto analyse, kunnen wijzen op ‘het aanbieden van goederen of diensten aan betrokkenen in de Unie’. In ieder geval zal volgens het EDPB een rechtstreeks of onrechtstreeks verband moeten bestaan tussen de verwerkingsactiviteit en het aanbieden van de goederen of diensten.
Het EDPB hanteert een ruime opvatting over het begrip ‘gedragsmonitoring’. Waar overweging 24 van de GDPR het enkel heeft over het volgen (i.e. tracking) van natuurlijke personen op het internet, meent het EDPB dat ook tracking via andere types van netwerken of technologieën (zoals smart devices en wearables, geolocalisatie, tracking via cookies, CCTV, et cetera) beschouwd moeten worden als gedragsmonitoring.
Ook is het EDPB van mening dat gedragsmonitoring steeds een bepaald doel in hoofde van de verwerkingsverantwoordelijke veronderstelt voor het verzamelen en hergebruiken van de gegevens omtrent het gedrag van een persoon in de EU. In die zin houdt niet elke online verzameling of analyse van EU-burgers noodzakelijkerwijze gedragsmonitoring in.
Wat betreft de locatievereiste, benadrukt het EDPB in haar richtsnoeren dat het ‘targeting’ criterium niet beperkt wordt door het juridisch statuut van de betrokkene. Het is dus niet van belang of de betrokkene waartoe de onderneming zich richt, EU-burger is of zijn hoofdverblijfplaats heeft in de EU. Bijgevolg zal een onderneming uit de V.S., die een dienst aanbiedt via een mobiele app die gratis beschikbaar is voor toeristen in de EU, onderworpen zijn aan de GDPR. Nochtans, wanneer die app enkel gericht wordt op de Amerikaanse markt en een Amerikaanse toerist deze app gebruikt tijdens zijn bezoek aan een EU-land, zal de verwerking van de persoonsgegevens van deze toerist niet beheerst worden door de GDPR.
Dit voorbeeld aangehaald door het EDPB is (hoogstwaarschijnlijk) geïnspireerd vanuit de bedoeling om ‘geo-blocking’ door ondernemingen uit de V.S. ten aanzien van toeristen in de EU omwille van de GDPR, te vermijden.
Bedrijven die hun zetel hebben buiten de EU, kunnen nog steeds onder het toepassingsgebied van de GDPR vallen indien zij een ‘vestiging’ hebben in de EU. Dit volgt uit artikel 3(1) van de GDPR, dat bepaalt dat de verordening van toepassing is op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt (en bovendien ongeacht de locatie of nationaliteit van de betrokkene).
Opnieuw geeft het EDPB in haar richtsnoeren een goede houvast om te bepalen wanneer er nu sprake is van een verwerking ‘in het kader van de activiteiten’ van een ‘vestiging’.
Vooreerst is vereist dat de verwerking van persoonsgegevens plaatsvond ‘in het kader van de activiteiten’ van een vestiging van de verwerkingsverantwoordelijke of verwerker in de Unie. Dit betekent dat er steeds een onlosmakelijke band moet bestaan tussen de activiteiten van de vestiging in een lidstaat en de verwerkingsactiviteiten van het bedrijf met zetel buiten de EU. Het loutere feit dat inkomsten worden gegenereerd door de lokale vestiging is volgens het EDPB echter reeds een aanwijzing dat een zodanige onlosmakelijke band bestaat.
Een ‘vestiging’ moet volgens het EDPB gedefinieerd worden als ‘elke reële en effectieve activiteit - zelfs al is deze miniem - door middel van stabiele regelingen’. Of daarvan sprake is, moet beoordeeld worden in het licht van de specifieke aard van de economische activiteiten of diensten in kwestie.
De drempel om te spreken over een vestiging ligt aldus behoorlijk laag. Zo kan de aanwezigheid van één enkele werknemer of agent van de niet-EU-onderneming in de EU aanleiding geven tot het bestaan van een stabiele regeling. Toch benadrukt het EDPB dat in elk geval een beoordeling in concreto gemaakt moet worden.
Verder stelt zich de vraag of het feit dat een niet-EU-verwerkingsverantwoordelijke gebruik maakt van een verwerker binnen de EU, ertoe leidt dat de verwerkingsverantwoordelijke gevestigd is in de EU, en vice versa, dat een verwerker die zich situeert buiten de EU, maar diensten levert aan een verwerkingsverantwoordelijke binnen de EU gevestigd is in de EU. Hieromtrent benadrukt het EDPB dat de verwerking door elk van de entiteiten afzonderlijk bekeken moet worden. Bijgevolg moet een verwerker in de EU niet beschouwd worden als een vestiging van de verwerkingsverantwoordelijke louter omwille van zijn hoedanigheid van verwerker. Het bestaan van een verband tussen beide ‘triggert’ niet noodzakelijk de toepassing van de GDPR. Toch zal de verwerker, in toepassing van artikel 3(1) onderworpen zijn aan de verplichtingen van de verwerker bepaald in de GDPR, zoals de plicht om een register van de verwerkingsactiviteiten op te maken en de plicht om een verwerkersovereenkomst te sluiten.
Omgekeerd, wanneer een verwerker die zich situeert buiten de EU handelt volgens de instructies van een verwerkingsverantwoordelijke binnen de EU, zal deze verwerker onrechtstreeks onderworpen zijn aan de GDPR ingevolge artikel 28(3) van de GDPR, dat een verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en verwerker vereist. Indien de verwerker de bepalingen van deze overeenkomst echter niet naleeft, moet dit beschouwd worden als een schending van de overeenkomst, en niet van de GDPR.
Hoewel er zeker geen sprake hoeft te zijn van een ‘viraal effect’ van de GDPR, blijkt duidelijk uit de richtsnoeren over het territoriaal toepassingsgebied dat het EDPB een brede kijk heeft op de reikwijdte van de GDPR. Bedrijven die gevestigd zijn buiten de EU moeten zich er dus van bewust zijn dat zelfs een minimale aanwezigheid of activiteit in de EU volstaat om aan de drempel van de toepasbaarheid van de GDPR te voldoen. Bovendien kunnen heel wat online standaardpraktijken, zoals tracking via cookies, ervoor zorgen dat een bedrijf binnen het toepassingsgebied van de GDPR valt.