Nie wymaga szczególnego uzasadnienia fakt, że przepisy europejskie mają chronić przede wszystkim obywateli UE. Wyrazem tego założenia jest zakres terytorialny stosowania RODO.
RODO, zgodnie z art. 3, ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Według motywu 22 preambuły, pojęcie „jednostka organizacyjna” zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.
Druga grupa podmiotów, które podlegać mają reżimowi RODO, to instytucje nakierowujące swoją działalność na osoby z UE. Rozporządzenie znajdzie zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:
- oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty;
- monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
Zgodnie natomiast z art. 3 ust. 3, RODO ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego. Chodzi tutaj m.in. o statki morskie, samoloty, konsulaty i ambasady.
Michał Wysocki
Bibliografia:
- E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
- A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
- M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
- P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018