Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Zasięg terytorialny zastosowania RODO

Zasięg terytorialny zastosowania RODO

22.03.2018
Autor: Marek Świerczyński - Michał Chodorek - Barbara Trabszys
definicje i pojęcia w RODO

RODO ma bardzo szeroki zakres zastosowania – obowiązuje nie tylko lokalnych administratorów i procesorów, ale również podmioty zagraniczne, których siedziba i infrastruktura znajduje się poza UE, a które przetwarzają dane obywateli UE.

Na podstawie dotychczasowych przepisów terytorialny zasięg stosowania unijnych przepisów o ochronie danych osobowych opierał się na kryterium położenia urządzeń technicznych, służących do przetwarzania danych osobowych. Z upływem czasu podejście to stało się jednak przestarzałe i nieadekwatne do stosowanych rozwiązań technicznych i organizacyjnych związanych z przetwarzaniem danych osobowych (np. w chmurze obliczeniowej).

RODO wychodzi naprzeciw zmianom cywilizacyjnym i dokonuje istotnej zmiany w zakresie terytorialnego zasięgu stosowania przepisów. Zgodnie z przyjętą w RODO koncepcją, w celu ustalenia terytorialnego zasięgu obowiązywania RODO, należy uwzględnić trzy opisane poniżej kryteria.

Kryterium 1. Istnienie na terenie UE jednostki organizacyjnej

RODO znajduje zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w UE, o ile posiada on jednostkę organizacyjną w UE lub w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego (np. placówka dyplomatyczna). RODO nie zawiera wprawdzie definicji legalnej pojęcia „jednostka organizacyjna”, jednak w preambule do RODO wyjaśniono, że chodzi o skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur (np. oddział lub spółka zależna), nie jest w tym względzie czynnikiem decydującym.

Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Zagraniczny usługodawca ma w Polsce oddział lub spółkę zależną, których działalność jest skierowana do osób przebywających w Polsce (o czym może świadczyć np. sformułowanie warunków usługi w języku polskim). Osoba ta może więc dochodzić ochrony swoich praw na podstawie RODO, jak i uzupełniających RODO przepisów prawa polskiego.

Kryterium 2. Oferowanie towarów i usług na terenie UE

Nawet jeśli kryterium 1 nie znajdzie zastosowania, podmiot przetwarzający i tak będzie musiał stosować przepisy RODO, o ile oferuje towary i usługi na terenie UE. W tym kontekście należy ustalić, czy jest oczywiste, że podmioty przetwarzające dane planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. Będzie tak w szczególności, gdy podmiot posługuje się językiem lub walutą powszechnie stosowanymi w państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Usługodawca nie ma w Polsce jednostki organizacyjnej (nawet oddziału czy przedstawicieli). Usługa jest jednak dostępna w języku polskim i zapłacić można za nią w złotych polskich. Osoba, której dane dotyczą może dochodzić ochrony swoich praw na podstawie RODO i uzupełniających RODO przepisów prawa polskiego.

Kryterium 3. Monitorowanie zachowania osób przebywających na terenie UE

Nawet jeżeli kryterium 1 i 2 nie znajdą zastosowania, przetwarzanie danych osobowych osób znajdujących się w UE będzie podlegać RODO także wówczas, gdy wiąże się z monitorowaniem zachowania takich osób, o ile zachowanie to ma miejsce na terytorium Unii.

W celu stwierdzenia, czy czynność przetwarzania stanowi „monitorowanie zachowania”, należy ustalić, czy aktywności osób fizycznych są obserwowane w jakikolwiek sposób (np. aktywność w Internecie śledzona za pomocą plików cookies lub informacji przekazywanych przez wyszukiwarki internetowe). Powyższe kryterium będzie spełnione niezależnie od tego, czy w odniesieniu do tak zebranych danych później stosowane będą techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Przykład: Osoba przebywająca w Polsce korzysta z usługi internetowej, w ramach której przetwarzane są jej dane osobowe. Usługodawca nie ma w Polsce jednostki organizacyjnej (nawet oddziału czy przedstawicieli). Usługa nie jest dostępna w języku polskim i zapłacić można za nią w obcej walucie. Usługodawca dokonuje jednak monitorowania zachowania osób przebywających w Polsce. Osoba, której dane dotyczą może dochodzić ochrony swoich praw na podstawie RODO i uzupełniających RODO przepisów prawa polskiego.

Prawie każda forma działalności połączona z przetwarzaniem danych osobowych osób przebywających w Polsce będzie pociągać za sobą zastosowanie nie tylko RODO, ale także krajowych przepisów wdrażających RODO w polskim systemie prawnym. Eksterytorialność RODO wiązać się będzie z koniecznością spełnienia wielu nowych obowiązków przez podmioty, które dotychczas mogły uniknąć stosowania unijnych przepisów dotyczących przetwarzania danych osobowych. Rozszerzenie zakresu stosowania unijnych przepisów dotyczących przetwarzania danych osobowych stanowić będzie jednak wyzwanie również dla krajowych organów, których obowiązkiem jest ich stosowanie. Trudności wystąpić mogą nie tylko na polu prowadzenia postępowań kontrolnych lub czynności sprawdzających, ale również w związku z prowadzeniem komunikacji z podmiotem, którego siedziba i przedsiębiorstwo znajdują się w kraju trzecim. Problematyczna może okazać się również egzekucja wykonania obowiązków nałożonych na taki podmiot decyzją organu.

Autor

Marek Świerczyński - Michał Chodorek - Barbara Trabszys

dr hab. Marek Świerczyński - adwokat, KRK Kieszkowska Rutkowska Kolasiński
Marek Świerczyński doradza przedsiębiorcom w zakresie danych osobowych, prawa własności intelektualnej, handlu elektronicznego, prawa farmaceutycznego oraz prawa prywatnego międzynarodowego. Ekspert Rady Europy w zakresie dowodów elektronicznych. Członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Pełni funkcję arbitra w Sądzie Polubownym ds. Domen Internetowych. Autor licznych publikacji naukowych.

Michał Chodorek – adwokat, KRK Kieszkowska Rutkowska Kolasiński
Michał Chodorek specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej (w szczególności e-commerce, prawie autorskim i prawie znaków towarowych) a także w prawie nieuczciwej konkurencji.
Jego doświadczenie obejmuje ocenę zgodności z prawem celów, zakresu i sposobów przetwarzania danych osobowych. Doradza przy transakcjach dotyczących praw własności intelektualnej oraz reprezentacje klientów w postępowaniach cywilnych i karnych.

Barbara Trabszys - adwokat, KRK Kieszkowska Rutkowska Kolasiński
Barbara Trabszys zajmuje się bieżącą obsługą spółek z branży life sciences. Obszarami jej specjalizacji są przede wszystkim: e-commerce oraz prawo IT, odpowiedzialność za produkt niebezpieczny, reklama produktów leczniczych, wyrobów medycznych i suplementów diety oraz badania kliniczne i obserwacyjne. Absolwentka studiów podyplomowych z zakresu prawa IT na Akademii Leona Koźmińskiego w Warszawie.

Z tej samej kategorii

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>