GDPR(欧洲通用数据保护条例)适用于数据控制者或数据处理者在以下两种场景:
一、当存在欧盟境内分支机构。如果数据控制者或数据处理者在欧盟设立分支机构,那么在该机构开展活动的场景中,不论实际数据处理活动是否发生在欧盟境内,都应遵循GDPR。
例如,欧盟本地运营的连锁酒店A国公司,将其收集的住客个人数据传输至总部进行处理时,需承担GDPR规定的责任和义务。
二、无欧盟境内分支机构,但面向欧盟境内提供商品或服务。在这种情况下,只要数据控制者或数据处理者向欧盟境内的数据主体提供商品或服务,或监控欧盟境内数据主体的行为,GDPR同样适用。
比如,A国运营的电商平台,虽未在欧盟设立分支机构,但提供法文、德文页面,支持欧元结算与欧盟境内配送,属于向欧盟境内提供商品或服务的范畴。
具体场景如A国社交媒体平台,允许境外注册,欧盟境内用户使用,根据用户行为推送个性化信息和广告,可能被视为监控欧盟境内数据主体的行为,适用GDPR。
又如,A国企业开发的软件或系统,嵌入在面向欧盟销售的设备中,设备制造商在欧盟设立销售代表处,软件收集个人数据的过程应适用GDPR。
GDPR主要针对欧盟境内的个人数据处理行为,保护欧盟境内的数据主体。欧盟公民在A国学习、购物等活动,返回欧盟后,大学、商场不再跟踪分析,这些机构无需适用GDPR。
企业在涉及海外业务、全球化经营或业务合作时,应评估是否受到GDPR的管辖。
温馨提示:答案为网友推荐,仅供参考