Terytorialny zasięg stosowania RODO

W dobie XXI w., gdzie dostęp do Internetu jest praktycznie wszędzie, a bloga może założyć każdy i to z każdego miejsca na świecie, bardzo ważne znaczenie mają przepisy o charakterze terytorialnym. Większość twórców internetowych już wie, że pomimo tego, że RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 pkt c) RODO), to w większości przypadków oni się pod to wyłączenie nie kwalifikują.

Na temat czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 pkt c) RODO) zobacz – Czysto osobisty lub domowy charakter przetwarzania danych osobowych – na przykładzie bloga osobistego

Unijnym prawodawca w celu zapewnienia szerokiej ochrony praw osób fizycznych z Unii Europejskiej, których dane osobowe są przetwarzane, określił w art. 3 RODO zakres terytorialny stosowania przepisów o ochronie danych osobowych.

Zgodnie z art. 3 ust. 2 RODO:

Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

– monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Zacytowany powyżej przepis rozciąga zakres stosowania przepisów unijnych o ochronie danych osobowych (RODO) na podmioty, które nie mają jednostek organizacyjnych w UE, ale przetwarzają dane osobowe osób przebywających w UE, ponieważ oferują towarów lub usług takim osobom, których dane dotyczą, w Unii (niezależnie od tego, czy wymaga się od tych osób zapłaty) lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Jest to tzw. kryterium nakierowania.

W ocenie unijnego ustawodawcy, osoby fizyczne nie mogą zostać pozbawione ochrony przysługującej im na mocy RODO, kiedy administrator lub podmiot przetwarzający nie posiada jednostki organizacyjnej w UE, a dokonuje przetwarzania danych osobowych osób, których dane dotyczą, znajdujących się w Unii, z uwagi na to, że czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług.

Oferowanie towarów lub usług

W celu ustalenia czy RODO ma zastosowanie do podmiotu należy ustalić, czy podmiot oferuje towary lub usługi osobom, których dane dotyczą w UE. Przejawem nakierowania swojej działalności na osoby z UE jest m.in. posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

Bardzo istotną rzeczą jest fakt, że bez znaczenia na kwestię stosowania RODO pozostaje fakt czy za oferowane towary lub usługi wymagana jest zapłata.

Obecnie wiele usług świadczonych drogą elektroniczną (tzw. usługa społeczeństwa informacyjnego) oferowana jest nieodpłatnie lub finansowanie tego rodzaju usług wynika z zysków osiąganych dzięki podejmowanym działaniom marketingowym, na które została wyrażona zgoda. W praktyce do takich usług należy zaliczyć: darmową pocztę elektroniczną, darmowe gazety on-line, newslettery.

Motyw 22 RODO

Aby osoby fizyczne nie zostały pozbawione ochrony przysługującej im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych osób, których dane dotyczą, znajdujących się w Unii, przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu, jeżeli czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług, niezależnie od tego, czy pociąga to za sobą płatność. Aby stwierdzić, czy administrator lub podmiot przetwarzający oferują towary lub usługi znajdującym się w Unii osobom, których dane dotyczą, należy ustalić, czy jest oczywiste, że administrator lub podmiot przetwarzający planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. O ile do ustalenia takiego zamiaru nie wystarczy sama dostępność w Unii strony internetowej administratora, podmiotu przetwarzającego, pośrednika, adresu poczty elektronicznej lub innych danych kontaktowych ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym jednostkę organizacyjną ma administrator, o tyle potwierdzeniem oczywistości faktu, że administrator planuje oferować w Unii towary lub usługi osobom, których dane dotyczą, mogą być czynniki takie, jak posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

 

Przykład:

Twórca internetowy przebywający na stałe w Maroko i zarządzający swoim sklepem online na domenie zarejestrowanej w Marrakeszu, oferuje e-booka. Strona Internetowa prowadzona jest w języku polskim. Sprzedaż e-booków stanowi usługę w rozumieniu przepisów prawa UE. Prowadzenie sklepu w języku polskim pokazuje, że intencją twórcy internetowego jest oferowanie usług osobom z UE.

Przetwarzanie danych osobowych przez twórcę internetowego odnosi się do oferowania usług osobom, których dane dotyczą, przebywających w Unii. Oznacza to, że twórca jako administrator danych podlega przepisom i obowiązkom RODO, zgodnie z art. 3 ust. 2 lit. a RODO.

Monitorowanie zachowania

RODO ma również zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Zgodnie z motywem 24 RODO:

Przetwarzanie danych osobowych znajdujących się w Unii osób, których dane dotyczą, przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu także w przypadkach, gdy wiąże się z monitorowaniem zachowania takich osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii. Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

 

RODO definiuje  pojęcie „profilowania” jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt 4 RODO). Katalog ma charakter otwarty.

Z powyższej definicji można wywieść trzy najważniejsze przesłanki, które definiują profilowanie w ramach RODO. Po pierwsze musi to być zautomatyzowana (w sposób dowolny) czynność przetwarzania (nie może być w pełni wykonywane przez człowieka). Po drugie profilowanie musi odbywać się na danych osobowych. Po trzecie – celem profilowania musi być ocena czynników osobowych osób fizycznych na podstawie już uzyskanych danych osobowych, wyciągnięcie na ich podstawie dodatkowych danych (informacji) o konkretnej osobie. Dokonywana ocena polega na dokonywaniu analizy i wyciąganiu wniosków na przyszłość.

Przez monitorowanie zachowania należy rozumieć obserwowanie i profilowanie w sieci Internet m.in. śledzenie online za pomocą plików cookie lub innych technik śledzenia, reklama behawioralna, podejmowanie działań związanych z geolokalizacją, w szczególnościach w celach marketingowych, używanie narzędzi analitycznych do monitorowania zachowań użytkowników na stronie internetowej, prowadzenie ankiet rynkowych i innych badań opartych na indywidualnych profilach, monitorowanie lub regularne raportowanie stanu zdrowia danej osoby.

Przykład:

Twórca internetowy przebywający na stałe w Turcji i zarządzający swoim sklepem online na domenie zarejestrowanej w Turcji, oferuje utworzenie spersonalizowanej diety i monitorowanie postępów jej stosowania. Strona Internetowa prowadzona jest w języku niemieckim. Sprzedaż produktu stanowi usługę w rozumieniu przepisów prawa UE. Prowadzenie sklepu w języku niemieckim pokazuje, że intencją twórcy internetowego jest oferowanie usług osobom z UE i monitorowanie zachowania.  

Przetwarzanie danych osobowych przez twórcę internetowego odnosi się do oferowania usług osobom, których dane dotyczą, przebywających w Unii. Oznacza to, że twórca jako administrator danych podlega przepisom i obowiązkom RODO, zgodnie z art. 3 ust. 2 lit. a i b RODO.

Podsumowując art. 3 ust. 2 RODO rozciąga zakres stosowania przepisów unijnych o ochronie danych osobowych (RODO) na podmioty, które nie mają jednostek organizacyjnych w UE, ale przetwarzają dane osobowe osób przebywających w UE, ponieważ oferują towarów lub usług takim osobom, których dane dotyczą, w Unii, niezależnie od tego, czy pociąga to za sobą płatność.

W ocenie unijnego ustawodawcy, osoby fizyczne nie mogą zostać pozbawione ochrony przysługującej im na mocy RODO, kiedy administrator lub podmiot przetwarzający nie posiada jednostki organizacyjnej w UE, a dokonuje przetwarzania dane osobowych osób, których dane dotyczą, znajdujących się w Unii, a czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług.

RODO ma również zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

            Bardzo często Polacy mieszkający za granicą nie zdają sobie sprawy, że mogą obowiązywać je polskie czy unijne regulacje prawne. Wprowadzone rozwiązanie należy ocenić negatywnie pod tym względem, że określenie zakresu terytorialnego stosowania przepisów o ochronie danych osobowych powinno wiązać się z globalnym ujednoliceniem standardów prawnych w tym zakresie.

Na zakończenie, Europejska Rada Ochrony Danych Osobowych wydała wytyczne dotyczące zakresu terytorialnego RODO. W ramach wytycznych znajdziecie nie tylko wyjaśnienia stosowania przepisów, ale również konkretne przykłady, kiedy dana działalność będzie podlegała pod RODO z uwagi na zakres terytorialny i przesłanki określone w art. 3 ust. 2, a kiedy nie. Zachęcam do przejrzenia, choć obecnie są one dostępne wyłącznie w wersji anglojęzycznej.

Wytyczne dotyczące zakresu terytorialnego RODO.

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.)
  2. M. Czerwniawski, komentarz do art. 3 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex
  3. Komentarz do art. 3 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer Polska, Warszawa 2018.
  4. Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, s. 7, https://uodo.gov.pl/pl/10/11, 27.03.2020 r.
  5. N. Stojanowska, Profilowanie dłużników w kancelarii komorniczej w świetle RODO – czy komornik sądowy profiluje dłużników? RODOInformator, https://old.currenda.pl/2019/09/profilowanie-dluznikow-w-kancelarii-komorniczej-w-swietle-rodo-czy-komornik-sadowy-profiluje-dluznikow/, 27.03.2020 r.
  6. Europejska Rada Ochrony Danych Osobowych, Wytyczne dotyczące zakresu terytorialnego RODO, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_pl, 26.03.2020 r.