אנגליה: גם חברה לא אירופאית נדרשת לעמוד ב-GDPR

התקנות החדשות בתחום הפרטיות באיחוד האירופי חלות לא רק על ישויות אירופאיות, אלא גם על ישויות שאינן אירופאיות. וכך, עולות שאלות לגבי האם ובאיזה מידה תבקשנה הרשויות האירופאיות הרלוונטיות לאכוף את התקנות על ישויות שאינן אירופאיות.

מקרה AggregateIQ 

לאחרונה, החליטה נציבות המידע הבריטית להפעיל את סמכותה במקרה שכזה, ובחודש יולי פנתה לתאגיד קנדי באמצעות הודעת אכיפה בטענת הפרה של ה-GDPR. התאגיד, AggregateIQ Data Services Ltd., עוסק בעיבוד מידע אישי בקשר למסעות תעמולה פוליטיים, והנציבות החליטה לבחון את אופן העיבוד המבוצע על ידי החברה. ראוי לציין כי AggregateIQ לא שיתפה פעולה באופן מלא עם הנציבות בתהליך זה, בטענה שהחברה אינה כפופה לסמכותו השיפוטית.

נציבות המידע הבריטית טענה כי אופן העיבוד של המידע האישי על-ידי AggregateIQ היווה הפרה של ה-GDPR, מאחר שמושאי המידע לא היו מודעים לאופן שבו המידע האישי שלהם מעובד ולא יכלו לדעת את המטרות שלשמן המידע האישי שלהם עובד על ידי החברה.

בנוסף לכך, טענה הנציבות כי לא היה בסיס חוקי לעיבוד של המידע האישי, כי העיבוד לא התיישב עם המטרות המקוריות שלשמן נאסף המידע, וכי המידע הנדרש על פי ה-GDPR לא נמסר למושאי המידע. בהתאם לכך, ה-ICO דרשה מ- AggregateIQ להפסיק לעבד מידע אישי של אזרחים של האיחוד האירופי ושל בריטניה שהחברה קיבלה מארגונים פוליטיים בריטיים או באופן אחר לצורך אנליזות, מסעות תעמולה פוליטיים, או לכל מטרה פרסומית אחרת.

בעקבות ערעור שהוגש על-ידי AggregateIQ נגד הודעת האכיפה (שמרמז לכל הפחות ש- AggregateIQ מכירה בסמכות השיפוט של הנציבות במידה מסוימת), הנציבות צמצמה את הודעת האכיפה, בתמורה לכך ש- AggregateIQ תמשוך את הערעור. בהתאם להודעת האכיפה המתוקנת, שהוצאה בסוף אוקטובר, ובכפוף להודעה שתימסר לחברה על-ידי נציבות המידע והפרטיות של הפרובינציה הקנדית של קולומביה הבריטית, תמחק AggregateIQ כל מידע אישי של יחידים בבריטניה.

ההשלכות

התפתחויות אלו מוכיחות כי אף במקרה שבו ליישות עסקית אין נוכחות מבוססת באיחוד האירופי, הרשויות להגנת הפרטיות הרלוונטיות לא יימנעו מלנקוט בצעדים ככל הנדרש נגד ישות כאמור המפרה את ה-GDPR. לכן, על כל עסק לוודא האם הוא כפוף ל-GDPR ובמידה שכן, לנקוט בפעולות הנדרשות כדי לוודא ציות להן.