Het territoriale toepassingsgebied van de GDPR is een belangrijk onderwerp voor iedereen die persoonsgegevens verwerkt in de Europese Unie of daarbuiten. De GDPR is een verordening die rechtstreeks van toepassing is in alle lidstaten van de EU, maar ook gevolgen kan hebben voor verwerkingsverantwoordelijken of verwerkers die buiten de EU zijn gevestigd. In dit blogbericht zullen we de twee hoofdcriteria uitleggen die bepalen of de GDPR van toepassing is op een bepaalde verwerking van persoonsgegevens: het criterium van vestiging en het criterium van gerichtheid.

Het criterium van vestiging houdt in dat de GDPR van toepassing is op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de EU, ongeacht of de verwerking zelf in de EU plaatsvindt of niet. Dit betekent dat een verwerkingsverantwoordelijke of een verwerker die een vestiging heeft in de EU, bijvoorbeeld een kantoor, een filiaal of een dochteronderneming, moet voldoen aan de GDPR voor alle verwerkingen die verband houden met die vestiging, zelfs als de gegevens buiten de EU worden verzameld, opgeslagen of overgedragen.

Het criterium van gerichtheid houdt in dat de GDPR van toepassing is op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden door een verwerkingsverantwoordelijke of een verwerker die niet in de EU is gevestigd, wanneer de verwerking verband houdt met:

1. het aanbieden van goederen of diensten aan deze betrokkenen in de EU; of
2. het monitoren van hun gedrag, voor zover dat gedrag in de EU plaatsvindt.

Dit betekent dat een verwerkingsverantwoordelijke of een verwerker die geen vestiging heeft in de EU, maar wel goederen of diensten aanbiedt aan personen in de EU, of hun online-activiteiten volgt, bijvoorbeeld via cookies of andere trackingtechnologieën, moet voldoen aan de AVG voor die verwerkingen.

Het territoriale toepassingsgebied van de GDPR omvat dus de Europese Economische Ruimte (EER – alle 28 EU-lidstaten plus IJsland, Liechtenstein en Noorwegen) en kan ook gelden voor organisaties buiten de EER als zij voldoen aan het criterium van gerichtheid. Zwitserland maakt geen deel uit van de EER en heeft zijn eigen wetgeving op het gebied van gegevensbescherming, maar heeft wel een adequaatheidsbesluit gekregen van de Europese Commissie, wat betekent dat er een vrij verkeer van persoonsgegevens mogelijk is tussen Zwitserland en de EER.

De GDPR is dus een complexe en uitgebreide wetgeving die veel organisaties kan raken, zowel binnen als buiten Europa. Het is daarom belangrijk om te weten of en hoe de GDPR op uw situatie van toepassing is en welke stappen u moet nemen om eraan te voldoen.