Skip to content
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Menu
Menu
10 minut

Terytorialny zasięg stosowania RODO

image_pdfimage_print

Wstęp

W XXI w., kiedy dostęp do Internetu jest praktycznie wszędzie, a bloga może założyć każdy i to z każdego miejsca na świecie, bardzo ważne znaczenie mają przepisy o charakterze terytorialnym. Większość twórców internetowych już wie, że prowadząc bloga musi przestrzegać RODO. Co do zasady bowiem, do bloga nie ma zastosowania wyjątek dotyczący czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 pkt c) RODO).

Stosowanie RODO według kryterium nakierowania 

Unijny prawodawca w celu zapewnienia szerokiej ochrony praw osób fizycznych z Unii Europejskiej określił zakres terytorialny stosowania przepisów o ochronie danych osobowych.

[RODO] ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
– oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
– monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Art. 3 ust. 2 RODO

Zakres stosowania przepisów RODO został rozszerzony na podmioty, które nie mają jednostek organizacyjnych w UE, ale przetwarzają dane osobowe osób tam przebywających, ponieważ:

  • oferują towary lub usługi takim osobom, których dane dotyczą, w Unii (niezależnie od tego, czy wymaga się od tych osób zapłaty) lub 
  • monitorują zachowania tych osób, o ile do zachowania tego dochodzi w Unii. 

Jest to tzw. kryterium nakierowania.

W ocenie unijnego ustawodawcy osoby fizyczne nie mogą zostać pozbawione ochrony przysługującej im na mocy RODO, kiedy administrator lub podmiot przetwarzający nie posiada jednostki organizacyjnej w UE, a dokonuje przetwarzania danych osobowych osób, których dane dotyczą, znajdujących się w Unii, z uwagi na to, że czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług.

Oferowanie towarów lub usług

W celu ustalenia, czy RODO ma zastosowanie do danego podmiotu, należy sprawdzić, czy podmiot oferuje towary lub usługi podmiotom danych w UE. 

Przejawem nakierowania swojej działalności na osoby z UE jest m.in.:

  • posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim;
  • możliwość zamówienia towarów i usług w tym języku;
  • wzmianka o klientach lub użytkownikach znajdujących się w UE.

Należy wiedzieć, że bez znaczenia w kwestii stosowania RODO pozostaje fakt, czy za oferowane towary lub usługi wymagana jest zapłata.

Obecnie wiele usług świadczonych drogą elektroniczną (tzw. usługa społeczeństwa informacyjnego) oferowanych jest nieodpłatnie lub finansowanie tego rodzaju usług wynika z zysków osiąganych dzięki podejmowanym działaniom marketingowym, na które została wyrażona zgoda. 

W praktyce do takich usług należy zaliczyć: 

  • darmową pocztę elektroniczną, 
  • darmowe gazety on-line, 

a także newslettery.

Aby osoby fizyczne nie zostały pozbawione ochrony przysługującej im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych osób, których dane dotyczą, znajdujących się w Unii, przez administratora lub podmiot przetwarzający, którzy nie posiadają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu, jeżeli czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług, niezależnie od tego, czy pociąga to za sobą płatność. Aby stwierdzić, czy administrator lub podmiot przetwarzający oferują towary lub usługi znajdującym się w Unii osobom, których dane dotyczą, należy ustalić, czy jest oczywiste, że administrator lub podmiot przetwarzający planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. O ile do ustalenia takiego zamiaru nie wystarczy sama dostępność w Unii strony internetowej administratora, podmiotu przetwarzającego, pośrednika, adresu poczty elektronicznej lub innych danych kontaktowych ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym jednostkę organizacyjną ma administrator, o tyle potwierdzeniem oczywistości faktu, że administrator planuje oferować w Unii towary lub usługi osobom, których dane dotyczą, mogą być czynniki takie, jak posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

Motyw 22 RODO

Kryterium nakierowania w praktyce

W celu wyjaśnienia, na czym polega kryterium nakierowania, najlepiej posłużyć się przykładem. 

Przykład: 

Twórca internetowy, przebywający na stałe w Maroko i zarządzający swoim sklepem online na domenie zarejestrowanej w Marakeszu, oferuje e-booka. Strona internetowa prowadzona jest w języku polskim. Sprzedaż e-booków stanowi usługę w rozumieniu przepisów prawa UE. Prowadzenie sklepu w języku polskim pokazuje, że intencją twórcy internetowego jest oferowanie usług osobom z UE.

Przetwarzanie danych osobowych przez twórcę internetowego odnosi się do oferowania usług osobom, których dane dotyczą, przebywających w Unii. Oznacza to, że twórca jako administrator danych podlega przepisom i obowiązkom RODO, zgodnie z art. 3 ust. 2 lit. a RODO.

Monitorowanie zachowania

RODO ma również zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii, przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Przetwarzanie danych osobowych znajdujących się w Unii osób, których dane dotyczą, przez administratora lub podmiot przetwarzający, którzy nie mają jednostki organizacyjnej w Unii, powinno podlegać niniejszemu rozporządzeniu także w przypadkach, gdy wiąże się z monitorowaniem zachowania takich osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii. Aby stwierdzić, czy czynność przetwarzania można uznać za “monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Motyw 24 RODO

Przez monitorowanie zachowania należy rozumieć obserwowanie i profilowanie w sieci Internet m.in.:

  • śledzenie online za pomocą plików cookie lub innych technik śledzenia;
  • reklamę behawioralną;
  • podejmowanie działań związanych z geolokalizacją, w szczególności w celach marketingowych;
  • używanie narzędzi analitycznych do monitorowania zachowań użytkowników na stronie internetowej;
  • prowadzenie ankiet rynkowych i innych badań opartych na indywidualnych profilach, monitorowanie lub regularne raportowanie stanu zdrowia danej osoby.

Profilowanie

RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. W szczególności dotyczy to analizy lub prognozy aspektów dotyczących:

  • efektów pracy tej osoby fizycznej;
  • jej sytuacji ekonomicznej;
  • zdrowia;
  • osobistych preferencji;
  • zainteresowań;
  • wiarygodności;
  • zachowania
  • lokalizacji lub przemieszczania się (art. 4 pkt 4 RODO).

Katalog ma charakter otwarty.

Z powyższej definicji można wywieść trzy najważniejsze przesłanki, które definiują profilowanie w ramach RODO. 

  • Po pierwsze musi to być zautomatyzowana (w sposób dowolny) czynność przetwarzania (nie może być w pełni wykonywane przez człowieka). 
  • Po drugie profilowanie musi odbywać się na danych osobowych. 
  • Po trzecie – celem profilowania musi być ocena czynników osobowych osób fizycznych na podstawie już uzyskanych danych osobowych. Wyciągnięcie na ich podstawie dodatkowych danych (informacji) o konkretnej osobie. Taka ocena polega na dokonywaniu analizy i wyciąganiu wniosków na przyszłość.

Przykład monitorowania zachowania

Twórca internetowy przebywa na stałe w Turcji. Zarządza swoim sklepem online na domenie zarejestrowanej w Turcji. W ramach strony oferuje utworzenie spersonalizowanej diety i monitorowanie postępów jej stosowania. Strona internetowa prowadzona jest w języku niemieckim. Sprzedaż produktu stanowi usługę w rozumieniu przepisów prawa UE. Prowadzenie sklepu w języku niemieckim pokazuje, że intencją twórcy internetowego jest oferowanie usług osobom z UE i monitorowanie zachowania.  

Przetwarzanie danych osobowych przez twórcę internetowego odnosi się do oferowania usług osobom, których dane dotyczą, przebywających w Unii. Oznacza to, że twórca jako administrator danych podlega przepisom i obowiązkom RODO, zgodnie z art. 3 ust. 2 lit. a i b RODO.

Podsumowanie

Podsumowując, RODO rozciąga zakres stosowania przepisów unijnych o ochronie danych osobowych (RODO) na podmioty, które nie mają jednostek organizacyjnych w UE, ale przetwarzają dane osobowe osób przebywających w UE, ponieważ oferują towarów lub usług takim osobom, których dane dotyczą, w Unii, niezależnie od tego, czy pociąga to za sobą płatność.

Osoby fizyczne nie mogą zostać pozbawione ochrony przysługującej im na mocy RODO, kiedy administrator lub podmiot przetwarzający nie posiada jednostki organizacyjnej w UE, ale dokonuje przetwarzania danych osobowych osób znajdujących się w Unii, zaś czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług.

Dodatkowo, RODO ma również zastosowanie do przetwarzania danych osobowych osób przebywających w Unii przez podmioty niemające jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Bardzo często Polacy mieszkający za granicą nie zdają sobie sprawy, że mogą obowiązywać ich polskie czy unijne regulacje prawne. Wprowadzone rozwiązanie należy ocenić negatywnie pod tym względem, że określenie zakresu terytorialnego stosowania przepisów o ochronie danych osobowych powinno wiązać się z globalnym ujednoliceniem standardów prawnych w tym zakresie.

Na zakończenie warto dodać, iż Europejska Rada Ochrony Danych Osobowych wydała wytyczne dotyczące zakresu terytorialnego RODO. W ramach wytycznych znajdziecie wyjaśnienia stosowania przepisów. Dodatkowo, są tam również konkretne przykłady, kiedy dana działalność będzie podlegała pod RODO z uwagi na zakres terytorialny, a kiedy nie. Zachęcam do przejrzenia, ponieważ są one dostępne już w wersji polskiej.

Wytyczne dotyczące zakresu terytorialnego RODO.


Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 28.03.2020 r. Aktualizacja: 16.04.2024 r.


Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),(Dz. U. UE z 2016 r., L 119/1 ze zm.)
  2. M. Czerwniawski, komentarz do art. 3 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018 r., Lex
  3. Komentarz do art. 3 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, red. P. Figielski, Wydawnictwo Wolters Kluwer Polska, Warszawa 2018 r.
  4. Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, s. 7, https://ec.europa.eu/newsroom/article29/items/612053, 16.04.2024 r.
  5. N. Stojanowska, Profilowanie dłużników w kancelarii komorniczej w świetle RODO – czy komornik sądowy profiluje dłużników?, RODOInformator, https://old.currenda.pl/2019/09/profilowanie-dluznikow-w-kancelarii-komorniczej-w-swietle-rodo-czy-komornik-sadowy-profiluje-dluznikow/, 27.03.2020 r.
  6. Europejska Rada Ochrony Danych Osobowych, Wytyczne dotyczące zakresu terytorialnego RODO, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_pl, 26.03.2020 r.

Źródło zdjęcia: Suzy Hazelwood, Pexels, https://www.pexels.com/pl-pl/zdjecie/shallow-focus-photo-of-world-globe-1098515/, dostęp: 14.03.2024 r.

Udostępnij

Natalia Stojanowska

Prawnik biznesowy. Wspieram przedsiębiorców, którzy skupiają swoje działania w internecie. Dostarczam poszukującym wsparcia prawnego, eksperckich porad i wskazówek dotyczących prowadzenia biznesu online. Założycielka projektu Tu Dział Prawny.

1 Comment

  1. Przedstawiciel administratora danych osobowych – Stojanowska Natalia
    21/07/2020 @ 11:10 pm

    […] Ostatnio wspominałam o tym, że RODO może mieć zastosowanie do polskich (i nie tylko polskich) twórców internetowych, którzy kierują swoje towary i usługi osobom mieszkającym na terenie Unii Europejskiej bez względu na to czy towary lub usługi mają one charakter odpłatny czy nieodpłatny, a także w sytuacji, gdy twórca spoza UE (a dokładniej spoza Europejskiego Obszaru Gospodarczego) dokonuje czynności przetwarzania danych osobowych osób, których dane osobowe przetwarza (np. swoich klientów, subskrybentów, obserwatorów, użytkowników) polegających na monitorowaniu ich zachowania. Jeżeli nie jesteś pewien czy ten temat Ciebie dotyczy wskakuj do wpisu – Terytorialny zasięg stosowania RODO. […]

    Reply

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *