Martyna Owsiak

Martyna Owsiak
Aplikant

Zakres funkcjonalny i terytorialny stosowania RODO

Dodano: grudzień 4, 2019 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Martyna Owsiak

Z uwagi na coraz łatwiejszą dostępność towarów i usług pochodzących od dostawców z różnych części świata, zarówno przedsiębiorcy, jak i konsumenci często zastanawiają się nad właściwymi przepisami dotyczącymi ochrony danych osobowych. Jak zatem ocenić, czy zastosowanie będzie miało Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (dalej „RODO”)? Ocena ta może sprawiać pewne trudności, mimo że zakres terytorialny rozporządzenia wprost wynika z art. 3 RODO. Ocenia się go za pomocą dwóch kryteriów: kryterium siedziby („establishment criterion”) i realnego wykonywania działalności („targeting criterion”). Wskazówki jak należy dokonywać tej oceny poprzez pryzmat obu kryteriów daje rekomendacja Europejskiej Rady Ochrony Danych (EROD) z 12 listopada 2019 r.

 

Ogólne zasady

Na wstępie należy zaznaczyć, że jako generalną zasadę EROD wskazuje, że ocena zawsze powinna odbywać się in concreto, a więc po zbadaniu każdej sytuacji indywidualnie. Przypomina jednocześnie, że za każdym razem gdy RODO znajdzie zastosowanie, wszystkie jego postanowienia muszą być stosowane.

RODO ma zastosowanie wówczas gdy:

  1. dane osobowe są przetwarzane w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii – niezależnie od tego, czy przetwarzanie odbywa się w Unii;
  2. dane osobowe osób przebywających w Unii przetwarzane są przez podmioty niemające jednostek organizacyjnych w Unii ale jeśli przetwarzanie to wiąże się z:
  3. oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
  4. monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

 

Kryterium siedziby

„Establishment criterion” odnosi się do pierwszej ze wskazanych wyżej sytuacji i dla dokonania oceny w świetle tego kryterium pomocne będzie przeprowadzenie określonej analizy.

Po pierwsze  należy zbadać czy mamy do czynienia z jednostką organizacyjną w Unii. EROD wskazała, że RODO nie definiuje tego pojęcia, dlatego definicji należy szukać w orzecznictwie i innych aktach prawnych. Powołując się na orzeczenie Weltimmo (C-230/14) oraz motyw 19 dyrektywy 95/46/EC, EROD tłumaczy, że pojęcie jednostki organizacyjnej (establishment) rozciąga się na jakąkolwiek rzeczywistą i efektywną aktywność – nawet minimalną – wykonywaną ramach stabilnych ustaleń. Natomiast to, czy aktywność ta jest rzeczywista, stała i efektywna podlega ocenie w świetle szczególnego charakteru działalności gospodarczej i świadczenia usług. EROD stanął na stanowisku, że o zastosowaniu RODO może przesądzić obecność w Unii jednego pracownika czy przedstawiciela podmiotu spoza Unii. W rekomendacji podkreślono jednak, że zakres pojęcia jednostki organizacyjnej nie jest nieograniczony. Przykładowo, RODO nie znajdzie zastosowania tylko z tego powodu, że jednostka organizacyjna reklamuje się stroną internetową dostępną w Unii.

Po drugie, zbadania wymaga czy przetwarzanie danych osobowych odbywa się w kontekście aktywności jednostki organizacyjnej. EROD rekomenduje by analizę tego elementu przeprowadzać krok po kroku i dokonywać jej zawsze in concreto. Według EROD pomocne przy tym może być podążanie za dwoma czynnikami: relacji między jednostką organizacyjną spoza Unii i jego lokalnej jednostki w Unii (związek musi być nierozerwalny) oraz działań zwiększania dochodów przez jednostkę na terenie Unii (o ile działania te są nierozerwalnie związane z przetwarzaniem danych).

 

Kryterium realnego wykonywania działalności

„Targeting criterion” odnosi się do przetwarzania przez jednostki niemające siedziby w Unii, o ile przetwarzanie przez nie danych wiąże się z jedną z dwóch alternatywnie wskazanych aktywności: oferowaniem towarów lub usług w Unii, ewentualnie monitorowaniem zachowania w Unii. Wystarczy więc, że jednostka organizacyjna spoza Unii przetwarza dane osobowe w związku, z którąkolwiek ze wskazanych aktywności aby stwierdzić, że podlega ona RODO. Rekomendacja EROD także i w tym przypadku przedstawiła sposób na przeprowadzenie dwustopniowej analizy celem zbadania czy podmiot spoza Unii musi stosować RODO czy też nie.

Po pierwsze, istotne jest czy przetwarzane są dane podmiotów, których te dane dotyczą.  Rekomendacja EROD podkreśla, że prawa zapewniane przez RODO są dla każdego. Ponadto, wskazuje, że kryterium podmiotowe nie jest ograniczone przez obywatelstwo, miejsce zamieszkania, czy inny rodzaj statusu prawnego osoby, której dane dotyczą, a potwierdza to także motyw 14 RODO.

EROD zwraca też uwagę, że wymóg tego aby osoba, której dane dotyczą, znajdowała się w Unii, musi zostać oceniony na ten moment, gdy odpowiednie działanie wyzwalające ma miejsce, to jest w momencie oferowania towarów lub usług lub momencie, w którym zachowanie jest monitorowane, niezależnie od czasu trwania złożonej oferty lub podjęcia monitorowania. Zgodnie z rekomendacją znaczenie ma nawet to jak taka aktywność, od której zależy zastosowanie RODO jest podejmowana. Według EROD, rozporządzenie RODO ma zastosowanie tylko wówczas, gdy aktywność ta jest intencjonalna, nieprzypadkowa. W konsekwencji, jeśli przetwarzanie dotyczy usługi, która jest oferowana tylko osobom spoza Unii, ale usługa nie jest wycofywana, gdy osoby te wjeżdżają do Unii, powiązane przetwarzanie nie będzie podlegało RODO.

Po drugie, o monitorowaniu zachowania można mówić wówczas, gdy osoby fizyczne są obserwowane w Internecie, w tym także czy stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Z rekomendacji EROD wynika, że przy śledzeniu za pośrednictwem innych rodzajów sieci lub technologii obejmujących dane osobowe, przetwarzanie powinno być również brane pod uwagę przy ustalaniu, czy działanie związane z przetwarzaniem obejmuje monitorowanie behawioralne, na przykład za pomocą urządzeń „noszalnych” i innych inteligentnych urządzeń. EROD podkreślił też, że nie uważa aby jakiekolwiek internetowe gromadzenie lub analiza danych osobowych osób fizycznych w Unii automatycznie liczyła się jako „monitorowanie”. Konieczne jest wobec tego wzięcie pod uwagę celu przetwarzania danych, w szczególności wszelkich późniejszych analiz behawioralnych lub technik profilowania wykorzystujących te dane. Dodatkowo, dla pewnego ułatwienia, EROD wskazał konkretne działania, jakie można uznać za działania monitorujące:

  1. reklamę behawioralna,
  2. działania związane z lokalizacją geograficzną, w szczególności w celach marketingowych,
  3. śledzenie online za pomocą plików cookie lub innych technik śledzenia, takich jak pobieranie odcisków palców,
  4. spersonalizowane usługi analizy diety i zdrowia online,
  5. CCTV,
  6. ankiety rynkowe i inne badania behawioralne oparte na indywidualnych profilach,
  7. monitorowanie lub regularne raportowanie stanu zdrowia danej osoby.

 

Podsumowanie

Podsumowując, podmioty spoza Unii powinny badać czy przetwarzają dane osobowe, oraz identyfikować czy występują potencjalne powiązania między działaniem, dla którego dane są przetwarzane a działaniem w Unii jakiegokolwiek podmiotu reprezentującego jednostkę organizacyjną spoza Unii.  Rekomendacja EROD przypomina także, że przy określaniu zakresu terytorialnego RODO ważna jest lokalizacja geograficzna w odniesieniu do miejsca prowadzenia działalności:

– administratora lub podmiotu przetwarzającego, a więc to czy ma on ma siedzibę w Unii,

– administratora lub podmiotu przetwarzającego prowadzącego jakąkolwiek aktywność biznesową w Unii.

Podmioty niemające siedziby w Unii powinny ponadto szczególnie analizować swoje konkretne aktywności. W celu sprawdzenia, czy podlegają one RODO, powinno się ustalać czy oferują one usługi w co najmniej jednym z państw członkowskich w Unii. Sama dostępność strony internetowej, adresu e-mail czy danych kontaktowych w Unii lub wykorzystanie języka powszechnie używanego w państwie trzecim, w którym administrator danych ma siedzibę, jest niewystarczające. Natomiast umożliwienie zamawiania towarów i usług w chociażby jednym z języków Unii czy walucie państwa członkowskiego lub wzmianka o klientach lub użytkownikach w Unii, może już wystarczyć do stwierdzenia, że taki podmiot przepisom RODO podlega.

Post Views: 6 197

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Martyna Owsiak

Martyna Owsiak
Aplikant

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.