פאנל הרגולטורים האירופאים פרסם בשבוע החולף את הגרסה הסופית של ההנחיה בנושא התחולה הטריטוריאלית של ה-GDPR, שטיוטה שלה פורסמה להערות הציבור לפני שנה.
ההנחיה חוזרת ומבהירה כי בהתאם לסעיף 3 ב-GDPR, תחולת ה-GDPR מתבססת על שני יסודות חלופיים - יסוד ה"התארגנות" (Establishment) ויסוד "קהל היעד" (Targeting). די בכך שיתקיים אחד מהם ביחס לפעילות עיבוד המידע של ארגון כדי שהוא יבוא תחת תחולת ה-GDPR. לצד זה, ההנחיה הסופית מחדשת ומחדדת בין היתר את הנקודות הבאות:
- הוראות התחולה של ה-GDPR תלויות בסוג פעילות המידע של הארגון. יתכן שארגון יהיה כפוף ל-GDPR ביחס לפעילות מידע מסוימת שלו ובמקביל לא יהיה כפוף לתקנות ביחס לסוג אחר של פעילות מידע שהוא מבצע.
- סממנים המעידים על ייעוד שירות מקוון לקהל יעד לא אירופאי כוללים למשל תנאי שימוש שמותאמים לדין של מדינה לא-אירופאית ותשלום מקוון שמתאפשר רק במטבע לא אירופאי. בנסיבות אלה, השירות המקוון לא ייחשב כמכוון לקהל יעד באיחוד האירופי והשירות לא יהיה כפוף ל-GDPR.
החידוש המשמעותי ביותר בהנחיה עוסק בנסיבות בהן מעבד מידע (processor) כפוף במישרין ל-GDPR. לפי ההנחיה, כאשר פעילות בעל שליטה במידע (Controller) מכוונת לקהל יעד אירופי, ומעבד המידע משרת את בעל השליטה בביצוע אותה הפעילות - המעבד יהיה כפוף בעצמו ל-GDPR ביחס לפעילות.
לדוגמה, כאשר בעל השליטה במידע עוסק בניטור התנהגותם של יחידים באירופה או מציע מוצר או שירות ליחידים באירופה, ומעבד המידע מסייע לו בביצוע הניטור או בהצעת השירות - המעבד כפוף במישרין לתחולת ה-GDPR. המשמעות: חלות על המעבד כלל הוראות ה-GDPR שעוסקות במעבדים (אך לא אלה שעוסקות בבעל השליטה במידע). הוראות ה-GDPR המשליכות על מעבדים כוללות בין היתר מינוי קצין הגנת מידע (DPO), החזקת רשומות עיבוד מידע (Records of Processing Activities), מינוי נציג אירופי וכפיפות לסמכות האכיפה של הרגולטורים לפרטיות באיחוד האירופי.