Scopul teritorial extins al GDPR-ului

O schimbare majoră a GDPR, în comparație cu directiva existentă, este așa-numita aplicabilitate extra-teritorială. Termenul tehnic pentru faptul că GDPR nu afectează doar companiile din UE.

GDPR se referă la toate societățile care procesează datele cu caracter personal ale cetățenilor  care au reședința în UE. Indiferent de locul în care se află aceste companii ei sunt prelucrătorii de date și controlorii de date.

Prelucrarea datelor  persoanelor vizate din UE se poate să fie efectuată de un operator sau un procesator care nu este prezent în UE.În acest caz, GDPR se aplică în activitățile legate de oferirea de bunuri sau servicii cetățenilor UE.

În plus, o companie din afara UE care procesează datele cetățenilor UE trebuie să numească un reprezentant în UE.

• Considerentul  prevede că orice prelucrare a datelor cu caracter personal în contextul activităților unei unități de operatori sau a unui operator din UE ar trebui să fie efectuată în conformitate cu Regulamentul general privind protecția datelor, indiferent dacă prelucrarea are loc în interiorul UE sau nu.
• Considerentul  prevede că prelucrarea datelor persoanelor vizate în UE în ceea ce privește oferta de bunuri și servicii  respecta regulamentul  GDPR.
• Considerentul  care prevede că GDPR se aplică organizațiilor care nu se află în UE, dar monitorizează comportamentul persoanelor vizate în UE.
• Considerentul   reglementează aplicarea teritorială a GDPR în domeniul dreptului internațional public care intră sub incidența GDPR.
• Articol  al Regulamentului general privind protecția datelor, care rezumă totul și abordează în mod specific domeniul de aplicare teritorial al GDPR.

GDPR nu a schimbat definiția controlorilor și a procesatorilor . Ceea ce s-a schimbat însă este impactul în ceea ce privește procesatorii.

• Controlorul de date este orice persoană fizică sau juridică care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal. Să presupunem că este principala organizație.
• Procesatorul de date este persoana fizică sau juridică care prelucrează date cu caracter personal în numele operatorului. În funcție de tipul de activitate de prelucrare a datelor cu caracter personal,  are grijă de anumite sarcini de procesare. Ca partener de outsourcing  implică datele personale care sunt prelucrate.

Procesatorii trebuie să respecte aceleași principii de prelucrare a datelor cu caracter personal ca și controlorii. În plus, procesatorii, 

• Trebuie să păstreze o evidență a tuturor activităților de prelucrare pe care le-au efectuat pentru un controlor.
• Trebuie să aibă un contract  care să descrie în mod clar ce fac pentru controlorul de date, pentru cât timp, din ce motive și  ce tipuri de date .
• Trebuie să asiste controlorii în numeroase obligații :
  • cum ar fi prelucrarea sigură a datelor
  • obligația de notificare în cazul unei încălcări a datelor cu caracter personal
  • necesitatea potențială de evaluare a impactului protecției datelor sau de consultarea prealabilă,
• Trebuie să informeze operatorul de date atunci când utilizează sau dorește să utilizeze serviciile altor procesatori de date . Au obligația suplimentară de a avea un mandat clar pentru activitățile de prelucrare a datelor cu caracter personal descrise.

Lista obligațiilor de procesator de mai sus este pe departe de a fi completă. Ei trebuie să lucreze în condiții sigure și compatibile. Trebuie să opereze în mod mult mai transparent cu controlorul de date decât înainte, iar controlorul de date trebuie să fie mult mai atent la gradul de conformitate al procesatorilor cu care lucrează. Trebuie să existe acordul clar de prelucrare a datelor și procesatorii sunt responsabili în mai multe moduri (directe) decât înainte.