判定企业是否需要遵循GDPR的要求,第一步需要判断是否属于GDPR的管辖范围。粗略讲分为两类:
1、营业地在欧盟(域内):注册地、在欧盟区域设有办事处等分支机构
2、营业地不在欧盟(域外):但针对欧盟公民处理数据(提供服务、监控等)
进一步的判定如下:
“营业活动”:指通过稳定的安排而实施地有效实际活动,判断是否有营业活动时无需考虑数据控制者和数据处理者是否在欧盟境内设有法人实体或代表处。
“不可分关系”:需要结合个案具体判断:例如:欧盟境内的营业活动会给数据控制者带来营利,欧盟境内的营业活动是否与数据处理行为有关联等。
“针对”:必须是数据处理者和控制者出于明确意图向欧盟境内主体提供商品和服务,若只是偶然的,则不应认定为满足“针对欧盟境内主体”标准。
“欧盟境内主体”:是指提供商品或服务或实施监控行为时位于欧盟境内的数据主体,无需关注数据主体的国籍或常住地。
来源:
https://developer.aliyun.com/article/1388996
