Zasięg terytorialny zastosowania RODO
22.03.2018
Autor: Marek Świerczyński - Michał Chodorek - Barbara Trabszys
RODO ma bardzo szeroki zakres zastosowania – obowiązuje nie tylko lokalnych administratorów i procesorów, ale również podmioty zagraniczne, których siedziba i infrastruktura znajduje się poza UE, a które przetwarzają dane obywateli UE.
Na podstawie dotychczasowych przepisów terytorialny zasięg stosowania unijnych przepisów o ochronie danych osobowych opierał się na kryterium położenia urządzeń technicznych, służących do przetwarzania danych osobowych. Z upływem czasu podejście to stało się jednak przestarzałe i nieadekwatne do stosowanych rozwiązań technicznych i organizacyjnych związanych z przetwarzaniem danych osobowych (np. w chmurze obliczeniowej).
RODO wychodzi naprzeciw zmianom cywilizacyjnym i dokonuje istotnej zmiany w zakresie terytorialnego zasięgu stosowania przepisów. Zgodnie z przyjętą w RODO koncepcją, w celu ustalenia terytorialnego zasięgu obowiązywania RODO, należy uwzględnić trzy opisane poniżej kryteria.
Kryterium 1. Istnienie na terenie UE jednostki organizacyjnej
RODO znajduje zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w UE, o ile posiada on jednostkę organizacyjną w UE lub w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego (np. placówka dyplomatyczna). RODO nie zawiera wprawdzie definicji legalnej pojęcia „jednostka organizacyjna”, jednak w preambule do RODO wyjaśniono, że chodzi o skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur (np. oddział lub spółka zależna), nie jest w tym względzie czynnikiem decydującym.
Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Zagraniczny usługodawca ma w Polsce oddział lub spółkę zależną, których działalność jest skierowana do osób przebywających w Polsce (o czym może świadczyć np. sformułowanie warunków usługi w języku polskim). Osoba ta może więc dochodzić ochrony swoich praw na podstawie RODO, jak i uzupełniających RODO przepisów prawa polskiego.
Kryterium 2. Oferowanie towarów i usług na terenie UE
Nawet jeśli kryterium 1 nie znajdzie zastosowania, podmiot przetwarzający i tak będzie musiał stosować przepisy RODO, o ile oferuje towary i usługi na terenie UE. W tym kontekście należy ustalić, czy jest oczywiste, że podmioty przetwarzające dane planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. Będzie tak w szczególności, gdy podmiot posługuje się językiem lub walutą powszechnie stosowanymi w państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.
Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Usługodawca nie ma w Polsce jednostki organizacyjnej (nawet oddziału czy przedstawicieli). Usługa jest jednak dostępna w języku polskim i zapłacić można za nią w złotych polskich. Osoba, której dane dotyczą może dochodzić ochrony swoich praw na podstawie RODO i uzupełniających RODO przepisów prawa polskiego.
Kryterium 3. Monitorowanie zachowania osób przebywających na terenie UE
Nawet jeżeli kryterium 1 i 2 nie znajdą zastosowania, przetwarzanie danych osobowych osób znajdujących się w UE będzie podlegać RODO także wówczas, gdy wiąże się z monitorowaniem zachowania takich osób, o ile zachowanie to ma miejsce na terytorium Unii.
W celu stwierdzenia, czy czynność przetwarzania stanowi „monitorowanie zachowania”, należy ustalić, czy aktywności osób fizycznych są obserwowane w jakikolwiek sposób (np. aktywność w Internecie śledzona za pomocą plików cookies lub informacji przekazywanych przez wyszukiwarki internetowe). Powyższe kryterium będzie spełnione niezależnie od tego, czy w odniesieniu do tak zebranych danych później stosowane będą techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.
Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Usługodawca nie ma w Polsce jednostki organizacyjnej (nawet oddziału czy przedstawicieli). Usługa nie jest dostępna w języku polskim i zapłacić można za nią w obcej walucie. Usługodawca dokonuje jednak monitorowania zachowania osób przebywających w Polsce. Osoba, której dane dotyczą może dochodzić ochrony swoich praw na podstawie RODO i uzupełniających RODO przepisów prawa polskiego.
Prawie każda forma działalności połączona z przetwarzaniem danych osobowych osób przebywających w Polsce będzie pociągać za sobą zastosowanie nie tylko RODO, ale także krajowych przepisów wdrażających RODO w polskim systemie prawnym. Eksterytorialność RODO wiązać się będzie z koniecznością spełnienia wielu nowych obowiązków przez podmioty, które dotychczas mogły uniknąć stosowania unijnych przepisów dotyczących przetwarzania danych osobowych. Rozszerzenie zakresu stosowania unijnych przepisów dotyczących przetwarzania danych osobowych stanowić będzie jednak wyzwanie również dla krajowych organów, których obowiązkiem jest ich stosowanie. Trudności wystąpić mogą nie tylko na polu prowadzenia postępowań kontrolnych lub czynności sprawdzających, ale również w związku z prowadzeniem komunikacji z podmiotem, którego siedziba i przedsiębiorstwo znajdują się w kraju trzecim. Problematyczna może okazać się również egzekucja wykonania obowiązków nałożonych na taki podmiot decyzją organu.
Autor
Marek Świerczyński - Michał Chodorek - Barbara Trabszys
dr hab. Marek Świerczyński - adwokat, KRK Kieszkowska Rutkowska Kolasiński
Marek Świerczyński doradza przedsiębiorcom w zakresie danych osobowych, prawa własności intelektualnej, handlu elektronicznego, prawa farmaceutycznego oraz prawa prywatnego międzynarodowego. Ekspert Rady Europy w zakresie dowodów elektronicznych. Członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Pełni funkcję arbitra w Sądzie Polubownym ds. Domen Internetowych. Autor licznych publikacji naukowych.
Michał Chodorek – adwokat, KRK Kieszkowska Rutkowska Kolasiński
Michał Chodorek specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej (w szczególności e-commerce, prawie autorskim i prawie znaków towarowych) a także w prawie nieuczciwej konkurencji.
Jego doświadczenie obejmuje ocenę zgodności z prawem celów, zakresu i sposobów przetwarzania danych osobowych. Doradza przy transakcjach dotyczących praw własności intelektualnej oraz reprezentacje klientów w postępowaniach cywilnych i karnych.
Barbara Trabszys - adwokat, KRK Kieszkowska Rutkowska Kolasiński
Barbara Trabszys zajmuje się bieżącą obsługą spółek z branży life sciences. Obszarami jej specjalizacji są przede wszystkim: e-commerce oraz prawo IT, odpowiedzialność za produkt niebezpieczny, reklama produktów leczniczych, wyrobów medycznych i suplementów diety oraz badania kliniczne i obserwacyjne. Absolwentka studiów podyplomowych z zakresu prawa IT na Akademii Leona Koźmińskiego w Warszawie.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!