Europejska Rada Ochrony Danych (EROD), będąca następcą Grupy Roboczej art. 29, przyjęła w zeszłym miesiącu Wytyczne 3/2018 dotyczące terytorialnego zakresu stosowania RODO. Dokument ma za zadanie ustalenie jednolitej interpretacji przepisów RODO dotyczących zakresu jego stosowania i rozwiać wątpliwości podmiotów przetwarzających dane osobowe wynikające ze stosowania art. 3 i 27 RODO.
Do czasu rozpoczęcia stosowania RODO, europejskie regulacje dotyczące przetwarzania danych osobowych miały zastosowanie jedynie do tych podmiotów, które przetwarzały dane osobowe na terenie UE. RODO znacznie rozszerzyło krąg pomiotów, które obowiązane są przestrzegać zasad ochrony danych wynikających z Rozporządzenia. Art. 3 RODO wskazuje na dwa kryteria które warunkują stosowanie RODO również przez administratorów i procesorów, spoza UE: terytorialny i osobowy. Jeżeli chociaż jeden z nich jest spełniony, konieczne jest przetwarzanie danych osobowych zgodnie z wymogami RODO.
Kryterium terytorialne
RODO będzie miało zastosowanie do przetwarzania danych przez administratora bądź podmiot przetwarzający w związku z działalnością prowadzoną przez jego jednostkę organizacyjną znajdującą się w Unii Europejskiej. Za jednostkę organizacyjną (establishment) może zostać uznany zarówno oddział, filia, spółka zależna, przedstawicielstwo czy biuro – decydująca jest nie forma prawna, a samo prowadzenie działalności (nie tylko gospodarczej) w ramach stabilnych struktur.
Co ważne, EROD podkreśla, że nie chodzi tylko o przetwarzanie danych osobowych bezpośrednio przez jednostkę organizacyjną znajdującą się w UE, ale również przez inny podmiot, jeżeli przetwarzanie ma związek z działalnością tej jednostki. Nie ma przy tym znaczenia, czy przetwarzanie danych odbywa się w UE czy poza nią.
RODO będzie miało również zastosowanie do przetwarzania danych osobowych przez jednostkę organizacyjną odbywającego się w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego UE.
Jako przykład podmiotu, do którego RODO miałoby zastosowanie na podstawie kryterium terytorialnego, EROD wskazuje chińską spółkę e-commerce, która posiada biuro w Berlinie w celu prowadzenia kampanii marketingowych nakierowanych na rynek UE. Mimo, że wszystkie dane osobowe są przetwarzane wyłącznie w Chinach, przetwarzanie to z uwagi na związek z działalnością biura w Berlinie będzie podlegało RODO.
Kryterium osobowe
Nawet jeżeli administrator czy podmiot przetwarzający dane osobowe nie posiada jednostek organizacyjnych w UE, przetwarzanie przez niego danych osobowych będzie podlegało RODO gdy związane będzie z:
- odpłatnym albo nieodpłatnym oferowaniem towarów lub usług osobom , których dane dotyczą w UE,
- monitorowaniem zachowania podmiotów, których dane dotyczą w UE.
Według EROD tego typu przetwarzanie danych będzie miało miejsce np. w przypadku:
- podmiotu spoza UE oferującego obywatelom UE aplikację do zwiedzania miast europejskich, która na podstawie danych o jej użytkowniku wyświetla informacje o znajdujących się w pobliżu atrakcjach i restauracjach,
- sklepu internetowego, który oferuje sprzedaż towarów również do UE np. poprzez opcje dostawy do krajów UE, płatności w walucie kraju UE, dedykowaną dla użytkowników UE infolinię itd.
Podmioty, które zobowiązane są do przestrzegania RODO na podstawie kryterium osobowego, mogą być dodatkowo zobowiązane na podstawie art. 27 ust. 1 RODO do powołania swojego przedstawiciela w UE.
Z uwagi na złożoność problemu terytorialnego zakresu stosowania RODO, administratorzy i procesorzy przetwarzający dane osobowe, do których może mieć zastosowanie jedno z powyższych kryteriów powinni dokonać szczegółowej analizy w celu ustalenia, czy zobowiązani są do przestrzegania RODO. Dotyczy to zwłaszcza tych podmiotów, których działalność opiera się na międzynarodowym świadczeniu usług lub sprzedaży towarów.
