12 Feb 2021

本文首次出版 IAPP.2021年1月28日。

我很长时间质疑GDPR的地际范围,以及单独参与B2B活动的非欧盟组织(公司到公司)实际上被GDPR所捕获。 

在这个问题上,GDPR处于最暧昧的暧昧,并从监管机构发布的指导是无益的。

由于BREXIT和众多询问,这一问题已经陷入了焦点,并且我越来越多的询问是关于英国B2B业务(没有欧盟的身体存在)需要指定欧盟代表(并遵守普遍存在的GDPR欧洲联盟)。  

坚果壳有什么问题?

艺术。 3(2)(a)的GDPR指出,未基于欧盟的控制器和处理器受到GDPR的限制,其中他们在为这些个人提供商品或服务的过程中处理欧盟个人的个人数据。

因此,英国的服装零售商向法国个人销售物品需要遵守GDPR。 如零售商可以收集有关个人的公平信息,包括姓名,地址和付款信息以及可能的一些配置文件数据。 

但是,如果英国的零售商销售给公司并仅在该背景下收集业务联系方式,会发生什么?它不是向一个提供货物 个人但是一家公司。   这是否意味着GDP不适用?

艺术解读。 3(2)(a)

论艺术的字面阅读。 3(2)(a),答案必须是肯定的。 B2B零售商不向商品提供商品 个人. 欧洲数据保护委员会(EDPB)已发布指导(可访问 这里)帮助澄清艺术范围。 3(2)(a)和EDPB给出的所有示例都与企业与消费者情景有关。  Not helpful at all.

艾普布本可以有机会明确艺术。 3(2)(a)也适用于B2B场景 个人 应该读为 个人 代表公司代理.  它没有这样做,我不确定为什么。

这是一个艺术的隐含识别。 3(2)(a)可能不适用于B2B情景?如果您在欧盟的建立但在您不在欧盟的范围内,则将在B2B交易的上下文中收集的个人信息在B2B交易的上下文中受到GDPR的若干异常。   关于保护有权保护的公司的个人的隐私权如何。 

正因为如此,它可以说通常隐私从业者已经解释了艺术。 3(2)(a)申请公司的员工,因为最终,商品和服务正在向公司销售,个人正在管理和运行该过程。

不公平的优势?

它可以在卖入欧盟的情况下创造一个不公平的优势,但基于它的外面。 特别是,特别是地区的规定旨在筹集比赛,以确保非欧盟的科技企业也受到欧盟活跃时的GDPR。 认识到这一点,虽然公司的员工在GDPR的诉讼程序第五章中的数据传输规则方面受到保护,但仍然难以向非欧盟的交易排除B2B交易的解释。

可以说,您确实具有在B2B交易的背景下处理员工个人数据的等效和保障,这将支持更自然地解释艺术。 3(2)(a)因为没有逃离艺术的事实。 3(2)(a)仅指 个人和EDPB指导突出显示B2C事务。 

虽然以这种方式区分B2B和B2C似乎是奇数,但这种区别是在英国建立的(即使是有争议的),其中B2B(例如企业电子邮件账户)通信被排除在2002年的隐私和电子通信法范围之外(PECR )。只有B2C(例如私人电子邮件帐户)通信需​​要选择选择同意。然后,根据个人数据的处理是在B2B或B2C交易的上下文中,具有不同标准的形式。 

有目的和务实的解释

在我的部分,虽然艺术。 3(2)(a)是模棱两可的,我始终在基于非欧盟活动的基于非欧盟活动的组织在GDPR的范围内,尽管我经常有客户查询这一点并突出这一事实他们没有卖给个人。

随着Brexit,清晰度很重要,因为英国企业需要知道其义务的范围,因为必须指定欧盟代表的真正成本。 

ICO对此问题没有明确的官方立场,有关在活动纯B2B时需要欧盟代表的混合信息。

英国方法的范围

9月,英国政府发表了一份关于一个新的国家数据战略的谘询文件,具有可应对目标,以“建立一个世界领先的数据经济”,“不太繁重”和“既不必要的数据制度,既不是不必要的复杂也不模糊“。

在这种情况下,英国的范围是发展不同和更多的商业友好 解释GDPR? 与欧盟法院和律师相比,英国法院和律师历史上采取了更多的文字方法来解释。 因此,我的欧盟同行并不一定会看到艺术的问题。 3(2)(a)。  如果英国确实向艺术制定了更具文字解释。 3(2)(a),可减少与英国交易的一些监管摩擦。 这意味着非英国的B2B业务不需要拥有英国代表。

虽然没有帮助许多以英国为基于英国的企业查询他们现在是否需要任命欧盟代表。监管机构的清晰度将非常欢迎。    

联系我们

如果您对这些问题有任何疑问,请联系团队成员或与您通常的福克斯威廉姆斯联系。


相关法律专业知识

作者

在网上关注我们

注册更新

您可以在线注册或在Twitter或LinkedIn上关注我们,以获得我们的最新消息,活动和出版物。

登记

搜索

Portfolio
标题 简历 电子邮件

移除所有

下载