Uitleg bij artikel 3 AVG
De Algemene Verordening Gegevensbescherming is een wet van de Europese Unie. De wet heeft dan ook alleen betrekking op de verwerking van persoonsgegevens op EU grondgebied of als de verwerking gaat over EU burgers. De Algemene Verordening Gegevensbescherming is dan ook meestal niet van toepassing op de verwerking van persoonsgegevens in Japan, Amerika of Rusland.
Meestal is het dus betrekkelijk simpel. De Verordening is gewoon van toepassing op organisaties die in Nederland of in de landen van de EU gevestigd zijn.
Daarnaast zijn er nog vier gevallen waarin de Algemene Verordening Gegevensbescherming ook van toepassing is (overweging 2).
Lid 1 geeft ten eerste aan dat als een buitenlands bedrijf een vestiging heeft in de EU en in het kader van de activiteiten van die vestiging persoonsgegevens verwerkt, de AVG van toepassing is. Denk bijvoorbeeld aan de situatie waarin Amazon een vestiging zou hebben in Duitsland en in het kader van de website Amazon.de de woonadressen van Duitse klanten en Amerikaanse leveranciers zou opslaan. Dan is de AVG van toepassing, zelfs als de verwerking van persoonsgegevens zelf, ten behoeve van de vestiging in Duitsland, buiten de EU plaatsvindt (overweging 22).
Lid 2 a geeft ten tweede aan dat de AVG van toepassing is als een organisatie geen vestiging heeft in de EU, maar wel producten of diensten aanbiedt aan een specifiek EU publiek. Bijvoorbeeld, Amazon heeft geen vestiging in Duitsland, maar runt wel de website Amazon.de die op een specifiek Duits publiek is gericht en verwerkt in het kader daarvan de gegevens van Duitse klanten (overweging 23).
Lid 2 b geeft ten derde aan dat de AVG van toepassing is als een organisatie geen vestiging heeft in de EU, maar wel persoonsgegevens over EU burgers verwerkt ten behoeve van het monitoren van hun gedrag. Het gaat dan om gedrag dat in de EU plaatsvindt en dus niet als bijvoorbeeld een Amerikaanse organisatie EU burgers monitoren als zij op vakantie zijn in de Verenigde Staten. Bij het monitoren van gedrag gaat het met name om internet monitoring, bijvoorbeeld het door middel van cookies in de gaten houden van iemands gedragingen online. Ook daarop is de Algemene Verordening Gegevensbescherming van toepassing (overweging 24).
Lid 3 geeft tot slot aan dat de AVG van toepassing is op consulaten van de EU in het buitenland (overweging 25).
Kortom, de Algemene Verordening Gegevensbescherming heeft een zeer brede reikwijdte.
Belangrijk is dat in het geval een organisatie geen vestiging heeft in de EU, maar wel onder de Algemene Verordening Gegevensbescherming valt (lid 2 a en b), de organisatie een vertegenwoordiger moet aanstellen. Dat wil zeggen, een contactpersoon en aanspreekpunt voor EU burgers en instanties die zich tot de organisatie willen wenden met een vraag of een klacht.
Artikel 3 Territoriaal toepassingsgebied
1.Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
2.Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
3.Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.
Overwegingen
(2) De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht hun nationaliteit of verblijfplaats, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. Deze verordening beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen.
(22) De verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, ongeacht of de eigenlijke verwerking in de Unie plaatsvindt. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen. De rechtsvorm van dergelijke verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.
(23) Om te waarborgen dat natuurlijke personen niet de bescherming wordt onthouden waarop zij krachtens deze verordening recht hebben, dient deze verordening van toepassing te zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen, ongeacht of dit verband houdt met een betaling. Om te bepalen of een dergelijke verwerkingsverantwoordelijke of verwerker goederen of diensten aan betrokkenen in de Unie aanbiedt, moet worden nagegaan of de verwerkingsverantwoordelijke of verwerker klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in één of meer lidstaten in de Unie. De toegankelijkheid van de website van de verwerkingsverantwoordelijke, van de verwerker of van een tussenpersoon in de Unie, van een e-mailadres of van andere contactgegevens of het gebruik van een in het derde land waar de verwerkingsverantwoordelijke is gevestigd, algemeen gebruikte taal is op zich ontoereikend om een dergelijk voornemen vast te stellen, maar ook uit andere factoren zoals het gebruik van een taal of een valuta die in één of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal goederen en diensten te bestellen, of de vermelding van klanten of gebruikers in de Unie, kan blijken dat de verwerkingsverantwoordelijke voornemens is goederen en diensten aan betrokkenen in de Unie aan te bieden.
(24) De verwerking van persoonsgegevens van betrokkenen in de Unie door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet ook onder deze verordening vallen wanneer dat verband houdt met het controleren van het gedrag van de betrokkenen voor zover zich dat binnen de Unie situeert. Om uit te maken of een verwerking kan worden beschouwd als controle van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.
(25) Wanneer uit hoofde van het internationale publiekrecht het lidstatelijke recht van toepassing is, dient deze verordening ook van toepassing te zijn op een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld bij een diplomatieke vertegenwoordiging of een consulaire post actief is.