Autoritatea de supraveghere a Regatului Unit (ICO) a emis primul aviz de punere în aplicare a GDPR. Avizul de punere în aplicare a fost emis împotriva AggregateIQ Data Services Limited (AggregateIQ), un furnizor de analiză a datelor cu sediul în Canada. Aceasta este prima măsură luată de ICO în afara Regatului Unit.
Condiții GDPR
GDPR se aplică companiilor și persoanelor din afara Uniunii Europene dacă:
- Au un punct de lucru în Uniunea Europeană (de exemplu, un birou sau o sucursală)
- Prelucrează date cu caracter personal ale persoanelor fizice în cadrul Uniunii Europene în legătură cu oferirea de bunuri sau servicii
- Monitorizează comportamentului persoanelor în cadrul Uniunii Europene.
Concluziile ICO
Ca parte a unei investigații a utilizării analizei datelor în campaniile politice, ICO a constatat că AggregateIQ a folosit datele personale furnizate de către o serie de organizații politice pentru a viza publicitatea online către alegătorii din Regatul Unit. Anunțurile referitoare la referendumul din Regatul Unit privind aderarea la Uniunea Europeană au fost în mare parte create în numele Vote Leave.
ICO a concluzionat că AggregateIQ a încălcat GDPR prin utilizarea datelor cu caracter personal într-un mod necunoscut de persoanele vizate, în scopuri la care nu s-ar fi așteptat și fără un temei legal pentru prelucrarea datelor. În plus, prelucrarea era incompatibilă cu scopul pentru care datele au fost inițial colectate, iar persoanele vizate nu au fost informate cu privire la detaliile privind prelucrarea respectivă.
În cazul în care AggregateIQ nu respectă avizul de punere în aplicare, ICO poate aplica o amendă de până la 20 de milioane de euro sau de 4% din cifra de afaceri anuală, oricare dintre acestea este mai mare. Fiind primul aviz extrateritorial deanunț de punere în aplicare emis în temeiul GDPR, va fi acordată o atenție mai mare nivelului amenzii solicitate de ICO.
Impact teritorial în Noua Zeelandă
Avizul de punere în aplicare pentru AggregateIQ le pune în vedere companiilor din Noua Zeelandă că pot fi supuse condițiilor GDPR (chiar dacă nu sunt stabilite în Uniunea Europeană). Cu toate acestea, deoarece prelucrarea datelor personale ale alegătorilor de către AggregateIQ a fost sensibilă din punct de vedere politic, rămâne neclar modul în care vor fi aplicate extrateritorial prevederile GDPR în ceea ce privește prelucrarea datelor. În prezent, ar trebui să se adopte o abordare pragmatică și proporțională a aplicării GDPR, până când vor fi puse la dispoziție mai multe instrucțiuni.
