GDPR 将如何影响美国品牌

已发表: 2022-05-31

编者注:以下是 Qubit 总法律顾问 Jack Carvel 的客座文章。

数据的使用(和滥用)对立法者和执法当局来说是一个独特的挑战。 与传统商品和服务不同,数据流不尊重传统的国际边界,技术变革的速度意味着数据隐私法总是过于宽泛或完全过时。

特别是,监管机构一直在努力为在其领土内具有重大影响但实际总部设在其他地方的公司制定有效的执法实践。

这是当前美国最高法院案件美国诉微软公司案的基本主题,该案最近导致了《澄清合法海外数据使用 (CLOUD) 法案》的匆忙通过,该法案将有效地允许美国当局强制公司提供所要求的存储在服务器上的数据,无论它们位于美国境内还是国外。

同样,许多人仍在为剑桥分析公司/Facebook 丑闻所困扰,这表明外国操纵个人数据可能会干扰国内政治。

在这种情况下,欧盟即将出台的具有里程碑意义的数据隐私立法,即通用数据保护条例 (GDPR),寻求将增强的数据保护标准不仅适用于那些位于欧盟的公司,而且也适用于欧盟以外的许多公司,这也许不足为奇。

在这篇文章中,我研究了 GDPR 对美国品牌意味着什么,以及他们现在应该采取哪些步骤(如果有的话)来准备:

什么是 GDPR,欧盟法律如何适用于美国公司?

简而言之,GDPR 是一项欧盟立法,旨在通过规范组织收集、存储和处理数据的方式来保护欧盟公民的个人数据。

与其前身数据保护指令不同,一般而言,该指令并未对欧盟以外的公司进行监管,GDPR 适用于对欧盟境内数据主体个人数据的任何处理,其中处理活动与以下任何一项相关:提供商品或在欧盟向此类数据主体提供服务(无论是否需要向数据主体付款); 或者,只要他们的行为发生在欧盟范围内,就对其行为进行监控。

这意味着 GDPR 不仅与总部可能在美国的跨国公司或在欧盟有直接业务运营的美国公司相关,而且与许多没有直接业务的美国公司相关。 在在线环境中,如果满足以下条件,GDPR 将是相关的:

  • 您在欧盟拥有强大的互联网影响力(即使您不直接向欧盟销售)
  • 您是一家接受欧盟货币和/或拥有欧盟域名后缀(如 .co.uk、.fr、.de 等)的电子商务公司
  • 您有任何欧盟访问者,并且您在您的网站上进行个性化。

犯错的代价

如果上述任何一项适用于您的组织,您应该仔细审查您的数据处理实践,并确定 GDPR 是否可能适用于您的在线活动。 这一点如此重要的原因之一是新法规下的巨额罚款。

GDPR 对不遵守新规则的公司实行严厉处罚。 罚款最高可达 2000 万欧元,或企业全球营业额的 4%——以较高者为准。

目前尚不清楚欧盟监管机构将如何对在任何欧盟国家没有永久存在的美国公司实施这些处罚,但潜在罚款的规模应该意味着即使是美国公司也应该认真对待新规则。

合规性可以很简单,但不仅仅是勾选框练习

与普遍看法相反,无需大量资源即可轻松实现 GDPR 合规。 但是,这不是一个简单的勾选框练习,其中一些步骤可能需要组织内多个利益相关者的输入。

有关新要求的更详细指南,英国监管机构已经发布了 GDPR 的摘要,如果您刚开始接触,这是一个很好的起点。 但是,对于不习惯欧盟数据保护法的公司而言,遵守 GDPR 可能还需要从根本上转变数据的概念化方式:

1.) 个人数据与 PII

GDPR 对“个人数据”的定义远比美国类似的“个人身份信息”(PII)概念宽泛得多。

正如美国所理解的那样,PII 通常仅限于诸如姓名、社会安全号码、出生日期和地点以及生物识别、医疗、教育、财务和就业记录等标识符。 相比之下,欧盟的个人数据是指与已识别或可识别的自然人或“数据主体”相关的任何信息。 这包括美国 PII 定义中包含的标识符,还包括在线标识符,例如电子邮件地址、cookie ID、IP 地址、浏览习惯、位置数据等。

在实践中,个人数据的这种广泛定义意味着 GDPR 涵盖了网站个性化等活动,即使此类个性化仅涉及基于用户的 cookie ID 或 IP 地址的分析的基本使用。

2.) 数据保护原则和同意

GDPR 承认企业在收集和使用个人数据方面具有合法权益(例如,为了了解访问者如何与公司网站互动)。 但是,在这样做时,公司必须遵守某些“数据保护原则”,例如确保数据主体的透明度。

此外,有时可能需要获得访问者的同意才能收集他们的数据,根据 GDPR,这不仅仅需要参考在线隐私声明。 GDPR 取消了默示同意和预先勾选的框,并让公司有责任证明数据主体已完全理解并同意他们被要求同意的内容。

3.) 所有权

在美国,从网站收集的所有数据通常被认为属于该网站的所有者,而在欧盟,个人数据属于相关数据主体。 因此,该个人有权控制其数据的处理方式,这反映在 GDPR 下数据主体访问、复制和要求公司删除其数据的广泛权利中。 公司必须在严格的期限内遵守此类要求,否则将面临当地监管机构可能采取的严厉执法行动。

同样,在涉及第三方的地方也引入了更严格的要求。 特别是,应告知数据主体与哪些公司共享他们的数据,并且组织只能聘请能够保证适当级别的数据安全性的第三方。 这必须通过满足 GDPR 内容要​​求的特定合同文书来证明。 对于寻求遵守 GDPR 的公司而言,了解这些概念差异将是关键。

包起来

GDPR 将改变公司与数据交互的方式——不仅在欧盟,而且在世界各地。 美国品牌,尤其是那些拥有强大互联网影响力的品牌,应仔细审查其数据处理实践,并确定 GDPR 是否可能适用于其在线活动。 任何疑虑都应在 GDPR 生效日期之前与律师讨论,以避免新法规下的巨额罚款。