פאנל הרגולטורים האירופאים פרסם בסוף השבוע טיוטה להערות הציבור של הנחיה חדשה בנושא התחולה הטריטוריאלית של ה-GDPR.

ההנחיה מבהירה כי בהתאם לסעיף 3 ב-GDPR, תחולת ה-GDPR מתבססת על שני יסודות חלופיים - יסוד ה"התארגנות" (Establishment) ויסוד "קהל היעד" (Targeting). די בכך שיתקיים אחד מהם ביחס לפעילות עיבוד המידע של ארגון כדי שהארגון יבוא תחת תחולת ה-GDPR.

טיוטת ההנחיה מסבירה כי יסוד ה"התארגנות" מתייחס למצב בו ארגון אירופאי או חוץ אירופאי מקיים פעילות ממשית ואפקטיבית באיחוד האירופי, כשפעילות זו מיושמת באמצעות הסדרים יציבים. קיומו של סניף, חברה-בת או אפילו נציג או סוכן מכירות באיחוד האירופי יכול להחשב "התארגנות" כזו המקימה את תחולת ה-GDPR אם עיבוד מידע אישי נעשה בזיקה לאותה התארגנות, ואפילו אם העיבוד לא נעשה במסגרת ההתארגנות האירופאית עצמה. להבדיל, עצם קיומו של אתר אינטרנט של ארגון חוץ-אירופאי הנגיש לגולשים באירופה לא ייחשב למקיים את יסוד ה"התארגנות". בנוסף, הסתייעות של ארגון חוץ-אירופאי השולט במידע (Controller) במעבד מידע (Processor) שנמצא בתחומי האיחוד, לא יקים את תחולת ה-GDPR על הארגון החוץ אירופאי מאחר והסתייעות כזו לא תחשב להתארגנות אירופאית של הארגון החוץ אירופאי.

יסוד "קהל היעד" חל בסיטואציה בה ארגון חוץ-אירופאי מעבד מידע אישי על יחידים (נושאי מידע) הנמצאים באיחוד האירופי (במנותק משאלת אזרחותם או תושבותם של אותם יחידים). ה-GDPR יחול על ארגון חוץ-אירופי כזו רק אם הוא מבצע את עיבוד המידע בהקשר ישיר או עקיף להצעת מוצרים או שירותים (בתשלום או בחינם) לאותם יחידים, או בהקשר לאיסוף מידע אישי עליהם לצורך ניטור שלהם (למשל, בניית פרופיל הרגלי גלישה ברשת). המצאותו של קהל היעד באיחוד האירופי נבחנת במועד בו הארגון החוץ-אירופי מציע להם מוצרים או שירותים, או במועד בו הארגון החוץ-אירופי אוסף עליהם מידע לצורכי ניטור.

השאלה האם ארגון מכוון עצמו להציע מוצרים או שירותים ליחידים באירופה היא שאלה שטיוטת ההנחיה מורה לבחון לפי סממנים אובייקטיביים, כגון:

1. אזכור של מדינה מהאיחוד האירופי כקהל יעד למוצרים או השירותים המוצעים.
2. פעילות פרסום ושיווק לקהל יעד באיחוד האירופי.
3. האופי הבינלאומי של המוצר או השירות.
4. שימוש באתר אינטרנט בעל סיומת לאומית של מדינה ממדינות האיחוד האירופי (למשל, DE לגרמניה).
5. אזכור לקוחות מהאיחוד האירופי.
6. שימוש בשפה או מטבע מלבד אלה המשמשים במדינת הבית של הארגון החוץ-אירופאי, בפרט שפה או מטבע המשמשים במדינות האיחוד האירופי.
7. משלוח מוצרים לאיחוד האירופי.

טיוטה ההנחיה מזכירה כי ארגונים חוץ-אירופאים הכפופים ל-GDPR נדרשים למנות נציג באירופה שיהווה גורם קשר עם הרגולטורים האירופאים ועם נושאי המידע מאירופה. הנציג נדרש להיות ממוקם באחת ממדינות האיחוד בהן נמצאים נושאי מידע עליהם הארגון מעבד מידע, ובעדיפות במדינה בה נמצאים מרבית נושאי המידע האלה. הנציג גם עשוי לשאת באחריות משנית על הפרות שמבצע הארגון שהוא מייצג, אם נושאי המידע או הרגולטורים לא מצליחים להיפרע מהארגון עצמו בשל הפרותיו.

הטיוטה פתוחה להערות הציבור עד ל-18 בינואר 2019.