baner na Portal ODO - RODO

Zakres funkcjonalny i terytorialny stosowania RODO

Z uwagi na coraz łatwiejszą dostępność towarów i usług pochodzących od dostawców z różnych części świata, zarówno przedsiębiorcy, jak i konsumenci często zastanawiają się nad właściwymi przepisami dotyczącymi ochrony danych osobowych. Jak zatem ocenić, czy zastosowanie będzie miało Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (dalej „RODO”)? Ocena ta może sprawiać pewne trudności, mimo że zakres terytorialny rozporządzenia wprost wynika z art. 3 RODO. Ocenia się go za pomocą dwóch kryteriów: kryterium siedziby („establishment criterion”) i realnego wykonywania działalności („targeting criterion”). Wskazówki jak należy dokonywać tej oceny poprzez pryzmat obu kryteriów daje rekomendacja Europejskiej Rady Ochrony Danych (EROD) z 12 listopada 2019 r.

 

Ogólne zasady

Na wstępie należy zaznaczyć, że jako generalną zasadę EROD wskazuje, że ocena zawsze powinna odbywać się in concreto, a więc po zbadaniu każdej sytuacji indywidualnie. Przypomina jednocześnie, że za każdym razem gdy RODO znajdzie zastosowanie, wszystkie jego postanowienia muszą być stosowane.

RODO ma zastosowanie wówczas gdy:

  1. dane osobowe są przetwarzane w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii – niezależnie od tego, czy przetwarzanie odbywa się w Unii;
  2. dane osobowe osób przebywających w Unii przetwarzane są przez podmioty niemające jednostek organizacyjnych w Unii ale jeśli przetwarzanie to wiąże się z:
  3. oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
  4. monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

 

Kryterium siedziby

„Establishment criterion” odnosi się do pierwszej ze wskazanych wyżej sytuacji i dla dokonania oceny w świetle tego kryterium pomocne będzie przeprowadzenie określonej analizy.

Po pierwsze  należy zbadać czy mamy do czynienia z jednostką organizacyjną w Unii. EROD wskazała, że RODO nie definiuje tego pojęcia, dlatego definicji należy szukać w orzecznictwie i innych aktach prawnych. Powołując się na orzeczenie Weltimmo (C-230/14) oraz motyw 19 dyrektywy 95/46/EC, EROD tłumaczy, że pojęcie jednostki organizacyjnej (establishment) rozciąga się na jakąkolwiek rzeczywistą i efektywną aktywność – nawet minimalną – wykonywaną ramach stabilnych ustaleń. Natomiast to, czy aktywność ta jest rzeczywista, stała i efektywna podlega ocenie w świetle szczególnego charakteru działalności gospodarczej i świadczenia usług. EROD stanął na stanowisku, że o zastosowaniu RODO może przesądzić obecność w Unii jednego pracownika czy przedstawiciela podmiotu spoza Unii. W rekomendacji podkreślono jednak, że zakres pojęcia jednostki organizacyjnej nie jest nieograniczony. Przykładowo, RODO nie znajdzie zastosowania tylko z tego powodu, że jednostka organizacyjna reklamuje się stroną internetową dostępną w Unii.

Po drugie, zbadania wymaga czy przetwarzanie danych osobowych odbywa się w kontekście aktywności jednostki organizacyjnej. EROD rekomenduje by analizę tego elementu przeprowadzać krok po kroku i dokonywać jej zawsze in concreto. Według EROD pomocne przy tym może być podążanie za dwoma czynnikami: relacji między jednostką organizacyjną spoza Unii i jego lokalnej jednostki w Unii (związek musi być nierozerwalny) oraz działań zwiększania dochodów przez jednostkę na terenie Unii (o ile działania te są nierozerwalnie związane z przetwarzaniem danych).

 

Kryterium realnego wykonywania działalności

„Targeting criterion” odnosi się do przetwarzania przez jednostki niemające siedziby w Unii, o ile przetwarzanie przez nie danych wiąże się z jedną z dwóch alternatywnie wskazanych aktywności: oferowaniem towarów lub usług w Unii, ewentualnie monitorowaniem zachowania w Unii. Wystarczy więc, że jednostka organizacyjna spoza Unii przetwarza dane osobowe w związku, z którąkolwiek ze wskazanych aktywności aby stwierdzić, że podlega ona RODO. Rekomendacja EROD także i w tym przypadku przedstawiła sposób na przeprowadzenie dwustopniowej analizy celem zbadania czy podmiot spoza Unii musi stosować RODO czy też nie.

Po pierwsze, istotne jest czy przetwarzane są dane podmiotów, których te dane dotyczą.  Rekomendacja EROD podkreśla, że prawa zapewniane przez RODO są dla każdego. Ponadto, wskazuje, że kryterium podmiotowe nie jest ograniczone przez obywatelstwo, miejsce zamieszkania, czy inny rodzaj statusu prawnego osoby, której dane dotyczą, a potwierdza to także motyw 14 RODO.

EROD zwraca też uwagę, że wymóg tego aby osoba, której dane dotyczą, znajdowała się w Unii, musi zostać oceniony na ten moment, gdy odpowiednie działanie wyzwalające ma miejsce, to jest w momencie oferowania towarów lub usług lub momencie, w którym zachowanie jest monitorowane, niezależnie od czasu trwania złożonej oferty lub podjęcia monitorowania. Zgodnie z rekomendacją znaczenie ma nawet to jak taka aktywność, od której zależy zastosowanie RODO jest podejmowana. Według EROD, rozporządzenie RODO ma zastosowanie tylko wówczas, gdy aktywność ta jest intencjonalna, nieprzypadkowa. W konsekwencji, jeśli przetwarzanie dotyczy usługi, która jest oferowana tylko osobom spoza Unii, ale usługa nie jest wycofywana, gdy osoby te wjeżdżają do Unii, powiązane przetwarzanie nie będzie podlegało RODO.

Po drugie, o monitorowaniu zachowania można mówić wówczas, gdy osoby fizyczne są obserwowane w Internecie, w tym także czy stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Z rekomendacji EROD wynika, że przy śledzeniu za pośrednictwem innych rodzajów sieci lub technologii obejmujących dane osobowe, przetwarzanie powinno być również brane pod uwagę przy ustalaniu, czy działanie związane z przetwarzaniem obejmuje monitorowanie behawioralne, na przykład za pomocą urządzeń „noszalnych” i innych inteligentnych urządzeń. EROD podkreślił też, że nie uważa aby jakiekolwiek internetowe gromadzenie lub analiza danych osobowych osób fizycznych w Unii automatycznie liczyła się jako „monitorowanie”. Konieczne jest wobec tego wzięcie pod uwagę celu przetwarzania danych, w szczególności wszelkich późniejszych analiz behawioralnych lub technik profilowania wykorzystujących te dane. Dodatkowo, dla pewnego ułatwienia, EROD wskazał konkretne działania, jakie można uznać za działania monitorujące:

  1. reklamę behawioralna,
  2. działania związane z lokalizacją geograficzną, w szczególności w celach marketingowych,
  3. śledzenie online za pomocą plików cookie lub innych technik śledzenia, takich jak pobieranie odcisków palców,
  4. spersonalizowane usługi analizy diety i zdrowia online,
  5. CCTV,
  6. ankiety rynkowe i inne badania behawioralne oparte na indywidualnych profilach,
  7. monitorowanie lub regularne raportowanie stanu zdrowia danej osoby.

 

Podsumowanie

Podsumowując, podmioty spoza Unii powinny badać czy przetwarzają dane osobowe, oraz identyfikować czy występują potencjalne powiązania między działaniem, dla którego dane są przetwarzane a działaniem w Unii jakiegokolwiek podmiotu reprezentującego jednostkę organizacyjną spoza Unii.  Rekomendacja EROD przypomina także, że przy określaniu zakresu terytorialnego RODO ważna jest lokalizacja geograficzna w odniesieniu do miejsca prowadzenia działalności:

– administratora lub podmiotu przetwarzającego, a więc to czy ma on ma siedzibę w Unii,

– administratora lub podmiotu przetwarzającego prowadzącego jakąkolwiek aktywność biznesową w Unii.

Podmioty niemające siedziby w Unii powinny ponadto szczególnie analizować swoje konkretne aktywności. W celu sprawdzenia, czy podlegają one RODO, powinno się ustalać czy oferują one usługi w co najmniej jednym z państw członkowskich w Unii. Sama dostępność strony internetowej, adresu e-mail czy danych kontaktowych w Unii lub wykorzystanie języka powszechnie używanego w państwie trzecim, w którym administrator danych ma siedzibę, jest niewystarczające. Natomiast umożliwienie zamawiania towarów i usług w chociażby jednym z języków Unii czy walucie państwa członkowskiego lub wzmianka o klientach lub użytkownikach w Unii, może już wystarczyć do stwierdzenia, że taki podmiot przepisom RODO podlega.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Martyna Owsiak

Martyna Owsiak
Aplikant
martyna.owsiak@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej