RODO ma zastosowanie do przetwarzania danych osobowych prowadzonego w UE przez podmioty mające siedzibę w UE (niezależnie od tego, czy przetwarzanie dotyczy osób przebywających w UE czy poza UE).
RODO znajdzie zastosowanie do przetwarzania danych na podstawie art. 3 ust. 2 RODO, jeśli przetwarzanie to jest realizowane przez administratora lub podmiot przetwarzający, którzy prowadzą działalność w UE poprzez stabilne struktury, niezależnie od ich formy prawnej, a przetwarzanie to prowadzone jest w związku z ich jednostką organizacyjną w UE.
RODO może mieć zastosowanie do przetwarzania danych przez administratora, który nie posiada jednostki organizacyjnej w UE, ale przetwarzanie to dotyczy nieincydentalnego oferowania towarów lub usług osobom fizycznym przebywającym na terytorium UE (niezależnie od ich obywatelstwa lub statusu prawnego).
RODO może mieć zastosowanie do przetwarzania danych przez administratora, który nie posiada jednostki organizacyjnej w UE, ale przetwarzanie to obejmuje gromadzenie danych osobowych w celu obserwacji zachowań osób fizycznych przebywających na terytorium UE, w szczególności w celu następczego podjęcia decyzji dotyczącej tych osób lub analizowania czy prognozowania osobistych preferencji, zachowań i postaw tych osób.
Jaki jest terytorialny zakres zastosowania RODO?
Ogólnie, z terytorialnego punktu widzenia, RODO ma zastosowanie do przetwarzania danych osobowych:
prowadzonego w Unii Europejskiej przez podmioty mające siedzibę w Unii Europejskiej,
prowadzonego w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się w Unii Europejskiej,
osób przebywających w Unii Europejskiej przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, jeżeli czynności przetwarzania wiążą się z:
oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii Europejskiej – niezależnie od tego, czy wymaga się od tych osób zapłaty, lub
monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.
prowadzonego przez administratora niemającego jednostki organizacyjnej w Unii Europejskiej, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.
Ad 1: Przetwarzanie danych osobowych w UE przez podmiot z UE
Najczęstszym i najbardziej oczywistym przypadkiem, w którym RODO ma zastosowanie z uwagi na kwestie terytorialne, jest przypadek – wynikający z ogólnych zasad terytorialnego zastosowania prawa – w którym RODO znajduje zastosowanie do przetwarzania danych osobowych prowadzonego w Unii Europejskiej przez podmioty mające siedzibę w Unii Europejskiej.
Co istotne, RODO znajduje zastosowanie do takiego przetwarzania, co do zasady, gdy dotyczy ono danych osobowych zarówno osób przebywających na terytorium Unii Europejskiej, jak i osób przebywających poza terytorium Unii Europejskiej.
Ad 2: Zastosowanie RODO z uwagi na przetwarzanie danych osobowych prowadzone w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w UE
RODO znajdzie zastosowanie do przetwarzania danych osobowych również w sytuacji, gdy:
istnieje administrator lub podmiot przetwarzający, który posiada w Unii Europejskiej tzw. jednostkę organizacyjną, oraz jednocześnie
ww. jednostka organizacyjna przetwarza dane osobowe, a przetwarzanie danych osobowych przez ww. jednostkę jest prowadzone w związku z działalnością tej jednostki w Unii Europejskiej.
Co istotne, w omawianej sytuacji RODO znajdzie zastosowanie niezależnie od miejsca przetwarzania danych, w szczególności niezależnie od tego, czy z praktycznej, technicznej czy operacyjnej perspektywy faktyczne przetwarzanie danych osobowych odbywa się na terytorium Unii Europejskiej czy poza terytorium Unii Europejskiej (nawet w całości).
Kiedy mamy do czynienia, w rozumieniu RODO, z jednostką organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej?
Aby wystąpiła omawiana podstawa terytorialnego zastosowania RODO, po pierwsze, musimy mieć do czynienia z administratorem lub podmiotem przetwarzającym dane osobowe w rozumieniu RODO (patrz m.in. komentarz do art. 4).
Po drugie, taki administrator lub podmiot przetwarzający musi posiadać tzw. „jednostkę organizacyjną” w Unii Europejskiej w rozumieniu RODO. RODO nie zawiera definicji legalnej „jednostki organizacyjnej”. W motywie 22 RODO wskazano jednak, że pojęcie to
zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.
Treść ww. motywu powoduje, że przy ocenie możliwości zastosowania RODO na podstawie omawianej przesłanki kluczowa jest kwestia stabilności struktur służących administratorowi lub podmiotowi przetwarzającemu do prowadzenia działalności gospodarczej w Unii Europejskiej. Jeśli faktycznie organizacja takiej działalności prowadzona jest za pomocą struktur, które nie cechują się stabilnością w UE (np. mają charakter doraźny lub incydentalny), RODO, co do zasady, nie znajdzie zastosowania do przetwarzania danych osobowych prowadzonych w związku z działalnością prowadzoną za pomocą takich struktur. Jeśli natomiast faktycznie organizacja takiej działalności prowadzona jest za pomocą stabilnych struktur w UE, RODO może znaleźć zastosowanie do przetwarzania danych osobowych realizowanego w związku z działalnością prowadzoną za pomocą takich struktur.
Ocena poziomu stabilności struktur służących do prowadzenia działalności gospodarczej w Unii Europejskiej wymaga analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Przy dokonywaniu takiej oceny pomocne mogą okazać się opublikowane przez Europejską Radę Ochrony Danych („EROD”) Wytyczne 3/2018 w sprawie terytorialnego zakresu stosowania RODO (art. 3), Wersja 2.0, 12 listopada 2019 r. („Wytyczne do art. 3 RODO”).
Zgodnie z Wytycznymi do art. 3 RODO:
Próg dla „stabilnych rozwiązań organizacyjnych” może być w rzeczywistości dość niski, jeżeli centrum działalności administratora danych dotyczy świadczenia usług online. W związku z tym w niektórych okolicznościach wystarczającym stabilnym rozwiązaniem organizacyjnym może być obecność w Unii jednego pracownika lub jednego przedstawiciela podmiotu spoza UE (co w rozumieniu art. 3 ust. 1 będzie stanowić „jednostkę organizacyjną”), jeżeli ten pracownik lub przedstawiciel działa z zachowaniem wystarczającego stopnia stabilności.
W świetle powyższego istnieją więc mocne argumenty, by twierdzić, że podmiot spoza Unii Europejskiej posiada jednostkę organizacyjną w Unii Europejskiej np. w sytuacji, gdy podmiot ten prowadzi działalność w formie portalu internetowego oraz zatrudnia pracownika z Unii Europejskiej w celu samodzielnego obsługiwania klientów tego portalu.
Wytyczne do art. 3 RODO wskazują nadto, że:
w przypadku, gdy pracownik ma siedzibę w UE, ale przetwarzania nie dokonuje się w związku z działalnością pracownika z siedzibą w UE na terenie Unii (tj. przetwarzanie dotyczy działalności administratora poza UE), sama obecność pracownika w UE nie spowoduje, że będzie ono objęte zakresem stosowania RODO. Innymi słowy, obecność pracownika w UE nie jest sama w sobie wystarczająca, aby uruchomić stosowanie RODO, ponieważ przetwarzanie danych, które ma być objęte zakresem stosowania RODO, musi odbywać się również w ramach działalności pracownika z siedzibą w UE.
Wracając do przykładu, o którym mowa w akapicie powyżej, gdyby unijny pracownik podmiotu prowadzącego portal internetowy był zatrudniony wyłącznie w celu obsługiwania osób spoza UE, będą argumenty, by twierdzić, że do przetwarzania danych tych osób RODO nie ma zastosowania (co nie wyklucza jednak ryzyka konieczności zastosowania RODO do przetwarzania danych osobowych samego pracownika).
Wytyczne do art. 3 RODO wskazują nadto, że:
Chociaż pojęcie jednostki organizacyjnej jest szerokie, nie jest ono pozbawione ograniczeń. Nie można stwierdzić, że podmiot spoza UE posiada jednostkę organizacyjną w Unii na tej tylko podstawie, że witryna internetowa tego przedsiębiorstwa jest tam dostępna.
Wracając do przykładu, o którym mowa powyżej, jeśli portal internetowy jest dostępny w Unii Europejskiej, ale nie jest przeznaczony dla osób z Unii Europejskiej, to sam fakt dostępności portalu w Unii Europejskiej nie byłby wystarczający do twierdzenia, że podmiot prowadzący portal posiada jednostkę organizacyjną w Unii Europejskiej, a zatem że przetwarzanie danych użytkowników portalu podlega RODO.
Podsumowując, administrator lub podmiot przetwarzający posiadają, w rozumieniu RODO, tzw. jednostkę organizacyjną w Unii Europejskiej, jeśli w sposób skuteczny i faktyczny prowadzą działalność w Unii Europejskiej poprzez stabilne struktury (tj. takie, które w szczególności nie mają charakteru doraźnego lub nietrwałego), niezależnie od formy prawnej tych struktur lub braku formy prawnej tych struktur.
Kiedy mamy do czynienia, w rozumieniu RODO, z przetwarzaniem danych osobowych przez jednostkę organizacyjną w Unii Europejskiej w związku z działalnością tej jednostki organizacyjnej w Unii Europejskiej?
Aby RODO znalazło zastosowanie do przetwarzania danych osobowych prowadzonego przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, takie przetwarzanie danych realizowane przez tę jednostkę musi jednocześnie być prowadzone w związku z działalnością tej jednostki w Unii Europejskiej. Oznacza to, że jeśli jednostka organizacyjna podmiotu spoza Unii Europejskiej przetwarza dane osobowe w związku z inną działalnością niż działalność tej jednostki w Unii Europejskiej, a ta inna działalność dotyczy np. osób spoza Unii Europejskiej, to będą istnieć argumenty, by twierdzić, że RODO nie znajdzie zastosowania do takiego przetwarzania danych.
W praktyce ocena, czy określone przetwarzanie danych prowadzone jest w związku z działalnością danej jednostki organizacyjnej w Unii Europejskiej, może być trudne. Podobnie jak w przypadku oceny kwestii istnienia jednostki organizacyjnej w Unii Europejskiej, analiza, czy dana działalność prowadzona jest w związku z działalnością jednostki organizacyjnej w Unii Europejskiej, wymaga każdorazowo analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Istotne praktyczne wskazówki w tym zakresie zawierają Wytyczne do art. 3 RODO, zgodnie z którymi
aby ustalić, czy administrator danych lub podmiot przetwarzający przetwarzają dane w związku z ich jednostką organizacyjną w UE, należy uwzględnić dwa następujące czynniki: i) relację między administratorem danych lub podmiotem przetwarzającym spoza Unii a ich miejscową jednostką organizacyjną w Unii; ii) generowanie dochodów w Unii.
W odniesieniu do wspomnianych wyżej relacji między administratorem danych lub podmiotem przetwarzającym spoza Unii a ich miejscową jednostką organizacyjną w Unii Wytyczne do art. 3 RODO stwierdzają, że
Czynności przetwarzania administratora danych lub podmiotu przetwarzającego z siedzibą poza UE oraz działalność miejscowej jednostki organizacyjnej w państwie członkowskim mogą być nierozerwalnie powiązane, a zatem mogą powodować, iż zastosowanie ma prawo Unii, nawet jeśli jednostka ta w rzeczywistości nie bierze żadnego udziału w samym przetwarzaniu danych. Jeśli z analizy okoliczności w poszczególnych przypadkach wynika, że istnieje nierozerwalny związek między przetwarzaniem danych dokonywanym przez administratora danych lub podmiot przetwarzający spoza UE a działalnością prowadzoną przez jednostkę organizacyjną w UE, prawo Unii będzie miało zastosowanie do tego przetwarzania danych przez podmiot spoza UE, bez względu na to, czy jednostka organizacyjna w UE odgrywa jakąś rolę w tym przetwarzaniu danych.
Jak się wydaje, kwestię występowania „nierozerwalnego związku”, o którym mowa powyżej, należy badać z uwzględnieniem w szczególności przedmiotu działalności administratora i jednostki organizacyjnej w UE oraz charakteru powiązań formalnych i faktycznych występujących między nimi. W praktyce często ten nierozerwalny związek będzie istniał, jeśli działalność jednostki organizacyjnej w UE jest tożsama z działalnością prowadzoną przez administratora lub podmiot przetwarzający spoza UE lub całkowicie funkcjonalnie podporządkowana działalności prowadzonej przez administratora lub podmiot przetwarzający spoza UE. Co istotne, w przypadku stwierdzenia, że istnieje nierozerwalny związek między przetwarzaniem danych dokonywanym przez administratora danych lub podmiot przetwarzający spoza UE a działalnością prowadzoną przez jednostkę organizacyjną w UE, całość tego rodzaju przetwarzania (tj. prowadzonego zarówno przez jednostkę organizacyjną, jak i administratora lub podmiot przetwarzający) podlegać będzie, co do zasady, przepisom RODO.
W odniesieniu do wspomnianego powyżej generowania dochodów w Unii Wytyczne do art. 3 RODO stwierdzają, że
Generowanie dochodów w UE przez miejscową jednostkę organizacyjną – o ile taką działalność można „nierozerwalnie powiązać” z przetwarzaniem danych osobowych odbywającym się poza UE – wystarcza, aby wskazać, że przetwarzanie danych przez administratora danych lub podmiot przetwarzający spoza UE odbywa się w „w związku z działalnością prowadzoną przez jednostkę organizacyjną w UE” oraz aby do tego przetwarzania zastosowanie miało prawo Unii.
Podsumowując powyższe, RODO znajdzie zastosowanie do przetwarzania danych na podstawie art. 3 ust. 1 RODO, jeśli przetwarzanie to jest prowadzone przez administratora lub podmiot przetwarzający, którzy w sposób skuteczny i faktyczny prowadzą działalność w Unii Europejskiej poprzez stabilne struktury (tj. takie, które w szczególności nie mają charakteru doraźnego lub nietrwałego), niezależnie od formy prawnej tych struktur lub braku formy prawnej tych struktur (tj. posiadają tzw. „jednostkę organizacyjną” w UE) oraz, jednocześnie, przetwarzanie to prowadzone jest przez administratora lub podmiot przetwarzający w związku z ich jednostką organizacyjną w UE, a istnienie tego związku należy oceniać w świetle:
charakteru relacji (tj. czy jest ona nierozerwalna funkcjonalnie) między administratorem danych lub podmiotem przetwarzającym spoza Unii a ich miejscową jednostką organizacyjną w Unii,
kwestii, czy jednostka organizacyjna generuje dochody w UE i czy takie generowanie dochodów w UE można „nierozerwalnie powiązać” z przetwarzaniem danych osobowych prowadzonych przez administratora z siedzibą poza UE.
Ad 3a: Zastosowanie RODO z uwagi na przetwarzanie danych osobowych prowadzone przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w UE, lecz dotyczące osób przebywających w UE i wiążące się z oferowaniem towarów lub usług takim osobom w UE
RODO znajdzie zastosowanie do przetwarzania danych osobowych również w sytuacji, gdy:
istnieje administrator lub podmiot przetwarzający, który nie ma jednostek organizacyjnych w Unii Europejskiej, ale przetwarza dane osobowe osób przebywających w Unii Europejskiej oraz jednocześnie
czynności ww. przetwarzania danych osobowych wiążą się z oferowaniem towarów lub usług takim osobom w Unii Europejskiej.
Kiedy można uznać, że przetwarzanie danych osobowych prowadzone jest przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej?
Aby omawiana podstawa zastosowania RODO wystąpiła, po pierwsze, musimy mieć do czynienia z administratorem lub podmiotem przetwarzającym dane osobowe w rozumieniu RODO – więcej o tych pojęciach w komentarzu do art. 4. Po drugie, taki administrator lub podmiot przetwarzający nie ma posiadać tzw. „jednostki organizacyjnej” w Unii Europejskiej w rozumieniu RODO (szerzej o tym pojęciu powyżej). Ogólnie rzecz biorąc, administrator lub podmiot przetwarzający nie będą posiadać jednostki organizacyjnej w Unii Europejskiej w rozumieniu RODO, jeśli nie prowadzą w sposób skuteczny i faktyczny oraz poprzez stabilne struktury działalności w Unii Europejskiej, niezależnie od formy prawnej tych struktur (w tym jeśli np. nie zatrudniają pracowników w Unii Europejskiej, nie posiadają spółki czy oddziału w państwie członkowskim Unii Europejskiej).
Kiedy można uznać, że czynności przetwarzania danych osobowych prowadzone przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, wiążą się z oferowaniem towarów lub usług osobom w Unii Europejskiej?
Aby RODO znalazło zastosowanie do przetwarzania danych osobowych prowadzonego przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, takie przetwarzanie musi wiązać się z oferowaniem towarów lub usług osobom w Unii Europejskiej.
RODO nie definiuje pojęcia „oferowania towarów lub usług”. Wydaje się, że pojęcie to należy rozumieć w sposób potoczny, a więc taki, że chodzi o czynności mające na celu przedstawienie oferty czy możliwości zakupu danego towaru lub usługi przez potencjalnego klienta. Dodatkowe wskazówki zawiera Motyw 23 RODO, zgodnie z którym:
Aby stwierdzić, czy administrator lub podmiot przetwarzający oferują towary lub usługi znajdującym się w Unii osobom, których dane dotyczą, należy ustalić, czy jest oczywiste, że administrator lub podmiot przetwarzający planują oferować usługi osobom, których dane dotyczą, w co najmniej jednym państwie członkowskim Unii. O ile do ustalenia takiego zamiaru nie wystarczy sama dostępność w Unii strony internetowej administratora, podmiotu przetwarzającego, pośrednika, adresu poczty elektronicznej lub innych danych kontaktowych ani posługiwanie się językiem powszechnie stosowanym w państwie trzecim, w którym jednostkę organizacyjną ma administrator, o tyle potwierdzeniem oczywistości faktu, że administrator planuje oferować w Unii towary lub usługi osobom, których dane dotyczą, mogą być czynniki takie, jak posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.
Analiza, czy dana działalność stanowi „oferowanie towarów lub usług” osobom w Unii Europejskiej w rozumieniu art. 3 RODO, wymaga każdorazowo analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Pomocne w tym zakresie są wskazówki zawarte w Wytycznych do art. 3 RODO. EROD wskazuje w nich, że dla oceny, czy dana działalność stanowi „oferowanie towarów lub usług” osobom w Unii Europejskiej w rozumieniu art. 3 RODO, zalecane jest dwutorowe podejście w celu ustalenia, po pierwsze, czy przetwarzanie dotyczy danych osobowych osób, których dane dotyczą, przebywających w Unii, a po drugie, czy przetwarzanie dotyczy oferowania towarów lub usług (…).
Kiedy przetwarzanie dotyczy danych osobowych osób przebywających w Unii Europejskiej?
RODO znajduje zastosowanie na podstawie art. 3 ust. 2 RODO, jeśli przetwarzanie danych dotyczy osób przebywających w Unii Europejskiej (nakierowane jest na osoby przebywające w Unii Europejskiej). Zgodnie z Wytycznymi do art. 3 RODO:
Jakkolwiek przebywanie osoby, której dane dotyczą, na terytorium Unii jest czynnikiem decydującym dla zastosowania kryterium „kierowania” zgodnie z art. 3 ust. 2, EROD uważa, że obywatelstwo lub status prawny osoby, której dane dotyczą, przebywającej na terytorium Unii, nie może ograniczać terytorialnego zakresu stosowania rozporządzenia.
Jednocześnie w Wytycznych do art. 3 RODO stwierdzono, że
Wymóg, aby osoba, której dane dotyczą, przebywała w Unii, należy ocenić w momencie, w którym ma miejsce odpowiednie działanie inicjujące, tj. w momencie oferowania towarów lub usług.
EROD w Wytycznych do art. 3 RODO wskazuje dodatkowo, że
przetwarzanie danych osobowych obywateli lub rezydentów UE, które odbywa się w państwie trzecim nie powoduje zastosowania RODO, o ile przetwarzanie nie jest związane z konkretną ofertą skierowaną do osób fizycznych w UE lub monitorowaniem ich zachowania w Unii.
Kiedy przetwarzanie danych dotyczy oferowania towarów lub usług?
RODO znajdzie zastosowanie, na podstawie art. 3 ust. 2 RODO, do przetwarzania danych prowadzonego w związku z oferowaniem towarów lub usług przez administratora danych osobom przebywającym w Unii Europejskiej. Aby ocenić, czy dane przetwarzanie prowadzone jest w celu oferowania towarów lub usług osobom przebywającym w Unii Europejskiej, należy dokonać oceny zamiarów i celów administratora. W praktyce ocena taka może być trudna. Wytyczne do art. 3 RODO zalecają, by oceniając tę kwestię uwzględniać m.in. następujące czynniki, z odpowiednim uwzględnieniem także okoliczności danej sprawy:
Unia Europejska lub co najmniej jedno państwo członkowskie są wskazane z nazwy w odniesieniu do oferowanych towarów lub usług,
Administrator danych lub podmiot przetwarzający płacą operatorowi wyszukiwarki internetowej za usługę odsyłania w internecie w celu ułatwienia konsumentom dostępu do swojej strony w Unii; albo administrator lub podmiot przetwarzający rozpoczęli kampanie marketingowe i reklamowe skierowane do odbiorców w UE,
Międzynarodowy charakter działalności, np. niektóre rodzaje działalności turystycznej,
Podanie adresów lub numerów telefonicznych dostępnych z państwa UE,
Używanie domeny najwyższego poziomu innej niż domena państwa trzeciego, w którym administrator danych lub podmiot przetwarzający mają siedzibę, np. „.de”, czy używanie neutralnych domen pierwszego poziomu takich jak „.eu”,
Opis tras z jednego lub kilku państw członkowskich UE do miejsca świadczenia usługi,
Wzmianka o międzynarodowej klienteli złożonej z klientów zamieszkałych w różnych państwach członkowskich UE, w szczególności poprzez przedstawienie ich opinii,
Używanie innego języka lub innej waluty niż używane zwyczajowo w państwie trzecim przedsiębiorcy, w szczególności języka lub waluty jednego lub kilku państw członkowskich UE,
Administrator danych oferuje dostawę towarów w państwach członkowskich UE.
Podsumowując, przetwarzanie danych w związku z oferowaniem towarów lub usług, do którego może znaleźć zastosowanie RODO, może mieć miejsce, jeśli prowadzone jest przez administratora, który nie posiada jednostki organizacyjnej w Unii Europejskiej, i jednocześnie przetwarzanie to dotyczy nieincydentalnego oferowania towarów lub usług osobom fizycznym faktycznie przebywającym na terytorium Unii Europejskiej (niezależnie od ich obywatelstwa lub statusu prawnego).
Ad 3b: Zastosowanie RODO z uwagi na fakt przetwarzania danych osobowych przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w UE, dotyczącego osób przebywających w UE i wiążącego się z monitorowaniem ich zachowania w UE
RODO znajdzie zastosowanie do przetwarzania danych osobowych również w sytuacji, gdy:
takie przetwarzanie prowadzone jest przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, ale przetwarzanie dotyczy osób przebywających w Unii Europejskiej oraz jednocześnie
czynności ww. przetwarzania danych osobowych wiążą się z monitorowaniem zachowania osób przebywających w Unii Europejskiej.
W jakich okolicznościach można uznać, że przetwarzanie danych osobowych prowadzone jest przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, i dotyczy osób przebywających w Unii Europejskiej?
Jak wskazano powyżej, ogólnie rzecz biorąc można uznać, że:
administrator lub podmiot przetwarzający nie posiadają, w rozumieniu RODO, jednostki organizacyjnej w Unii Europejskiej, jeśli nie prowadzą w sposób skuteczny i faktyczny działalności w Unii Europejskiej poprzez stabilne struktury, niezależnie od formy prawnej tych struktur lub braku formy prawnej tych struktur,
przetwarzanie danych dotyczy osób przebywających w Unii Europejskiej, jeśli przetwarzanie dotyczy osób faktycznie znajdujących się na terytorium Unii Europejskiej, przy czym bez znaczenia jest obywatelstwo lub status prawny takich osób.
W jakich okolicznościach można uznać, że czynności przetwarzania danych osobowych wiążą się z monitorowaniem zachowania osób?
Aby RODO znalazło zastosowanie do przetwarzania danych osobowych prowadzonego przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, takie przetwarzanie musi wiązać się z monitorowaniem zachowania osób przebywających w Unii Europejskiej.
RODO nie definiuje pojęcia „monitorowania zachowania”. Zgodnie z Motywem 24 RODO:
Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.
Analiza, czy dana działalność stanowi „monitorowanie zachowań”, wymaga każdorazowo analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Pomocne w tym zakresie są wskazówki zawarte w Wytycznych do art. 3 RODO.
Co niezwykle istotne, Wytyczne do art. 3 RODO wskazują, że:
przy ustalaniu, czy przetwarzanie jest równoznaczne z monitorowaniem zachowania powinno się brać pod uwagę również obserwowanie za pośrednictwem innych rodzajów sieci lub technologii wiążących się z przetwarzaniem danych osobowych [nie tylko w internecie – przyp. autora], na przykład za pośrednictwem urządzeń do noszenia na ciele i innych urządzeń inteligentnych.
Niemniej Wytyczne do art. 3 RODO podkreślają, że dla oceny, czy w określonym przypadku występuje „monitorowanie zachowań” w rozumieniu RODO, kluczowy jest cel operacji przetwarzania danych, który ma administrator.
Użycie słowa „monitorowanie” oznacza jednak, że administrator danych ma na uwadze szczególny cel gromadzenia i późniejszego ponownego wykorzystania odpowiednich danych na temat zachowania danej osoby fizycznej w UE. Europejska Rada Ochrony Danych nie uważa, by każde gromadzenie online danych osobowych osób fizycznych w UE lub ich analiza były automatycznie uznawane za „monitorowanie”. Należy wziąć pod uwagę cel przetwarzania danych przez administratora danych, a zwłaszcza każdą późniejszą analizę behawioralną lub techniki profilowania dotyczące tych danych.
Wytyczne do art. 3 RODO wskazują jednocześnie, że jeśli celem administratora faktycznie jest monitorowanie zachowań, to RODO może znaleźć zastosowanie do monitorowania prowadzonego w związku z różnymi działaniami, w tym: reklamy behawioralnej; działań w zakresie geolokalizacji, zwłaszcza w celach marketingowych; obserwowania przez internet za pomocą plików cookie lub innych technik śledzenia takich jak pobieranie odcisków palców; zindywidualizowanych usług online w zakresie diety i analizy zdrowia; CCTV; badania rynku i innych badań behawioralnych w oparciu o poszczególne profile; monitorowania lub regularnego składania sprawozdań na temat stanu zdrowia danej osoby fizycznej.
Podsumowując, przetwarzanie danych w związku z monitorowaniem zachowań, do którego może znaleźć zastosowanie RODO, może mieć miejsce, jeśli prowadzone jest przez administratora, który nie posiada jednostki organizacyjnej w Unii Europejskiej, i jednocześnie:
przetwarzanie to obejmuje gromadzenie danych osobowych (w szczególności za pomocą internetu lub innych rozwiązań elektronicznych) w celu (zgodnie z intencją administratora danych) obserwacji zachowań osób, których dane dotyczą, w szczególności w celu następczego podjęcia decyzji dotyczącej tych osób lub przeanalizowania czy prognozowania osobistych preferencji, zachowań i postaw osób, których dane dotyczą oraz
przetwarzanie dotyczy osoby fizycznej faktycznie przebywającej na terytorium Unii Europejskiej (niezależnie od jej obywatelstwa lub statusu prawnego).
Ad 4: Zastosowanie RODO z uwagi na fakt przetwarzania danych osobowych prowadzonego przez administratora niemającego jednostki organizacyjnej w UE, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego
RODO znajdzie również zastosowanie do stosunkowo rzadkich sytuacji, w których:
mamy do czynienia z administratorem, który nie ma jednostki organizacyjnej w Unii Europejskiej, ale posiada jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego Unii Europejskiej, oraz jednocześnie
administrator ten prowadzi przetwarzanie danych osobowych.
Z punktu widzenia prywatnego obrotu ww. przesłanka zastosowania RODO ma niewielkie znaczenie praktyczne, ponieważ dotyczy głównie m.in. ambasad, konsulatów, statków morskich czy też samolotów (patrz np. M. Czerniawski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 3):
Artykuł 3 ust. 3 rozporządzenia 2016/679 stanowi odpowiednik art. 4 ust. 1 lit. b dyrektywy 95/46/WE i ma niewielką doniosłość praktyczną, gdyż reguluje stosowanie unijnych przepisów o ochronie danych osobowych do m.in. ambasad, konsulatów, statków morskich czy też samolotów).
Komentarz do art. 3
Terytorialny zakres stosowania
Jaki jest terytorialny zakres zastosowania RODO?
Ogólnie, z terytorialnego punktu widzenia, RODO ma zastosowanie do przetwarzania danych osobowych:
Ad 1: Przetwarzanie danych osobowych w UE przez podmiot z UE
Najczęstszym i najbardziej oczywistym przypadkiem, w którym RODO ma zastosowanie z uwagi na kwestie terytorialne, jest przypadek – wynikający z ogólnych zasad terytorialnego zastosowania prawa – w którym RODO znajduje zastosowanie do przetwarzania danych osobowych prowadzonego w Unii Europejskiej przez podmioty mające siedzibę w Unii Europejskiej.
Co istotne, RODO znajduje zastosowanie do takiego przetwarzania, co do zasady, gdy dotyczy ono danych osobowych zarówno osób przebywających na terytorium Unii Europejskiej, jak i osób przebywających poza terytorium Unii Europejskiej.
Ad 2: Zastosowanie RODO z uwagi na przetwarzanie danych osobowych prowadzone w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w UE
RODO znajdzie zastosowanie do przetwarzania danych osobowych również w sytuacji, gdy:
Co istotne, w omawianej sytuacji RODO znajdzie zastosowanie niezależnie od miejsca przetwarzania danych, w szczególności niezależnie od tego, czy z praktycznej, technicznej czy operacyjnej perspektywy faktyczne przetwarzanie danych osobowych odbywa się na terytorium Unii Europejskiej czy poza terytorium Unii Europejskiej (nawet w całości).
Kiedy mamy do czynienia, w rozumieniu RODO, z jednostką organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej?
Aby wystąpiła omawiana podstawa terytorialnego zastosowania RODO, po pierwsze, musimy mieć do czynienia z administratorem lub podmiotem przetwarzającym dane osobowe w rozumieniu RODO (patrz m.in. komentarz do art. 4).
Po drugie, taki administrator lub podmiot przetwarzający musi posiadać tzw. „jednostkę organizacyjną” w Unii Europejskiej w rozumieniu RODO. RODO nie zawiera definicji legalnej „jednostki organizacyjnej”. W motywie 22 RODO wskazano jednak, że pojęcie to
Treść ww. motywu powoduje, że przy ocenie możliwości zastosowania RODO na podstawie omawianej przesłanki kluczowa jest kwestia stabilności struktur służących administratorowi lub podmiotowi przetwarzającemu do prowadzenia działalności gospodarczej w Unii Europejskiej. Jeśli faktycznie organizacja takiej działalności prowadzona jest za pomocą struktur, które nie cechują się stabilnością w UE (np. mają charakter doraźny lub incydentalny), RODO, co do zasady, nie znajdzie zastosowania do przetwarzania danych osobowych prowadzonych w związku z działalnością prowadzoną za pomocą takich struktur. Jeśli natomiast faktycznie organizacja takiej działalności prowadzona jest za pomocą stabilnych struktur w UE, RODO może znaleźć zastosowanie do przetwarzania danych osobowych realizowanego w związku z działalnością prowadzoną za pomocą takich struktur.
Ocena poziomu stabilności struktur służących do prowadzenia działalności gospodarczej w Unii Europejskiej wymaga analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Przy dokonywaniu takiej oceny pomocne mogą okazać się opublikowane przez Europejską Radę Ochrony Danych („EROD”) Wytyczne 3/2018 w sprawie terytorialnego zakresu stosowania RODO (art. 3), Wersja 2.0, 12 listopada 2019 r. („Wytyczne do art. 3 RODO”).
Zgodnie z Wytycznymi do art. 3 RODO:
W świetle powyższego istnieją więc mocne argumenty, by twierdzić, że podmiot spoza Unii Europejskiej posiada jednostkę organizacyjną w Unii Europejskiej np. w sytuacji, gdy podmiot ten prowadzi działalność w formie portalu internetowego oraz zatrudnia pracownika z Unii Europejskiej w celu samodzielnego obsługiwania klientów tego portalu.
Wytyczne do art. 3 RODO wskazują nadto, że:
Wracając do przykładu, o którym mowa w akapicie powyżej, gdyby unijny pracownik podmiotu prowadzącego portal internetowy był zatrudniony wyłącznie w celu obsługiwania osób spoza UE, będą argumenty, by twierdzić, że do przetwarzania danych tych osób RODO nie ma zastosowania (co nie wyklucza jednak ryzyka konieczności zastosowania RODO do przetwarzania danych osobowych samego pracownika).
Wytyczne do art. 3 RODO wskazują nadto, że:
Wracając do przykładu, o którym mowa powyżej, jeśli portal internetowy jest dostępny w Unii Europejskiej, ale nie jest przeznaczony dla osób z Unii Europejskiej, to sam fakt dostępności portalu w Unii Europejskiej nie byłby wystarczający do twierdzenia, że podmiot prowadzący portal posiada jednostkę organizacyjną w Unii Europejskiej, a zatem że przetwarzanie danych użytkowników portalu podlega RODO.
Podsumowując, administrator lub podmiot przetwarzający posiadają, w rozumieniu RODO, tzw. jednostkę organizacyjną w Unii Europejskiej, jeśli w sposób skuteczny i faktyczny prowadzą działalność w Unii Europejskiej poprzez stabilne struktury (tj. takie, które w szczególności nie mają charakteru doraźnego lub nietrwałego), niezależnie od formy prawnej tych struktur lub braku formy prawnej tych struktur.
Kiedy mamy do czynienia, w rozumieniu RODO, z przetwarzaniem danych osobowych przez jednostkę organizacyjną w Unii Europejskiej w związku z działalnością tej jednostki organizacyjnej w Unii Europejskiej?
Aby RODO znalazło zastosowanie do przetwarzania danych osobowych prowadzonego przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, takie przetwarzanie danych realizowane przez tę jednostkę musi jednocześnie być prowadzone w związku z działalnością tej jednostki w Unii Europejskiej. Oznacza to, że jeśli jednostka organizacyjna podmiotu spoza Unii Europejskiej przetwarza dane osobowe w związku z inną działalnością niż działalność tej jednostki w Unii Europejskiej, a ta inna działalność dotyczy np. osób spoza Unii Europejskiej, to będą istnieć argumenty, by twierdzić, że RODO nie znajdzie zastosowania do takiego przetwarzania danych.
W praktyce ocena, czy określone przetwarzanie danych prowadzone jest w związku z działalnością danej jednostki organizacyjnej w Unii Europejskiej, może być trudne. Podobnie jak w przypadku oceny kwestii istnienia jednostki organizacyjnej w Unii Europejskiej, analiza, czy dana działalność prowadzona jest w związku z działalnością jednostki organizacyjnej w Unii Europejskiej, wymaga każdorazowo analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Istotne praktyczne wskazówki w tym zakresie zawierają Wytyczne do art. 3 RODO, zgodnie z którymi
W odniesieniu do wspomnianych wyżej relacji między administratorem danych lub podmiotem przetwarzającym spoza Unii a ich miejscową jednostką organizacyjną w Unii Wytyczne do art. 3 RODO stwierdzają, że
Jak się wydaje, kwestię występowania „nierozerwalnego związku”, o którym mowa powyżej, należy badać z uwzględnieniem w szczególności przedmiotu działalności administratora i jednostki organizacyjnej w UE oraz charakteru powiązań formalnych i faktycznych występujących między nimi. W praktyce często ten nierozerwalny związek będzie istniał, jeśli działalność jednostki organizacyjnej w UE jest tożsama z działalnością prowadzoną przez administratora lub podmiot przetwarzający spoza UE lub całkowicie funkcjonalnie podporządkowana działalności prowadzonej przez administratora lub podmiot przetwarzający spoza UE. Co istotne, w przypadku stwierdzenia, że istnieje nierozerwalny związek między przetwarzaniem danych dokonywanym przez administratora danych lub podmiot przetwarzający spoza UE a działalnością prowadzoną przez jednostkę organizacyjną w UE, całość tego rodzaju przetwarzania (tj. prowadzonego zarówno przez jednostkę organizacyjną, jak i administratora lub podmiot przetwarzający) podlegać będzie, co do zasady, przepisom RODO.
W odniesieniu do wspomnianego powyżej generowania dochodów w Unii Wytyczne do art. 3 RODO stwierdzają, że
Podsumowując powyższe, RODO znajdzie zastosowanie do przetwarzania danych na podstawie art. 3 ust. 1 RODO, jeśli przetwarzanie to jest prowadzone przez administratora lub podmiot przetwarzający, którzy w sposób skuteczny i faktyczny prowadzą działalność w Unii Europejskiej poprzez stabilne struktury (tj. takie, które w szczególności nie mają charakteru doraźnego lub nietrwałego), niezależnie od formy prawnej tych struktur lub braku formy prawnej tych struktur (tj. posiadają tzw. „jednostkę organizacyjną” w UE) oraz, jednocześnie, przetwarzanie to prowadzone jest przez administratora lub podmiot przetwarzający w związku z ich jednostką organizacyjną w UE, a istnienie tego związku należy oceniać w świetle:
Ad 3a: Zastosowanie RODO z uwagi na przetwarzanie danych osobowych prowadzone przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w UE, lecz dotyczące osób przebywających w UE i wiążące się z oferowaniem towarów lub usług takim osobom w UE
RODO znajdzie zastosowanie do przetwarzania danych osobowych również w sytuacji, gdy:
Kiedy można uznać, że przetwarzanie danych osobowych prowadzone jest przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej?
Aby omawiana podstawa zastosowania RODO wystąpiła, po pierwsze, musimy mieć do czynienia z administratorem lub podmiotem przetwarzającym dane osobowe w rozumieniu RODO – więcej o tych pojęciach w komentarzu do art. 4. Po drugie, taki administrator lub podmiot przetwarzający nie ma posiadać tzw. „jednostki organizacyjnej” w Unii Europejskiej w rozumieniu RODO (szerzej o tym pojęciu powyżej). Ogólnie rzecz biorąc, administrator lub podmiot przetwarzający nie będą posiadać jednostki organizacyjnej w Unii Europejskiej w rozumieniu RODO, jeśli nie prowadzą w sposób skuteczny i faktyczny oraz poprzez stabilne struktury działalności w Unii Europejskiej, niezależnie od formy prawnej tych struktur (w tym jeśli np. nie zatrudniają pracowników w Unii Europejskiej, nie posiadają spółki czy oddziału w państwie członkowskim Unii Europejskiej).
Kiedy można uznać, że czynności przetwarzania danych osobowych prowadzone przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, wiążą się z oferowaniem towarów lub usług osobom w Unii Europejskiej?
Aby RODO znalazło zastosowanie do przetwarzania danych osobowych prowadzonego przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, takie przetwarzanie musi wiązać się z oferowaniem towarów lub usług osobom w Unii Europejskiej.
RODO nie definiuje pojęcia „oferowania towarów lub usług”. Wydaje się, że pojęcie to należy rozumieć w sposób potoczny, a więc taki, że chodzi o czynności mające na celu przedstawienie oferty czy możliwości zakupu danego towaru lub usługi przez potencjalnego klienta. Dodatkowe wskazówki zawiera Motyw 23 RODO, zgodnie z którym:
Analiza, czy dana działalność stanowi „oferowanie towarów lub usług” osobom w Unii Europejskiej w rozumieniu art. 3 RODO, wymaga każdorazowo analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Pomocne w tym zakresie są wskazówki zawarte w Wytycznych do art. 3 RODO. EROD wskazuje w nich, że dla oceny, czy dana działalność stanowi „oferowanie towarów lub usług” osobom w Unii Europejskiej w rozumieniu art. 3 RODO, zalecane jest dwutorowe podejście w celu ustalenia, po pierwsze, czy przetwarzanie dotyczy danych osobowych osób, których dane dotyczą, przebywających w Unii, a po drugie, czy przetwarzanie dotyczy oferowania towarów lub usług (…).
Kiedy przetwarzanie dotyczy danych osobowych osób przebywających w Unii Europejskiej?
RODO znajduje zastosowanie na podstawie art. 3 ust. 2 RODO, jeśli przetwarzanie danych dotyczy osób przebywających w Unii Europejskiej (nakierowane jest na osoby przebywające w Unii Europejskiej). Zgodnie z Wytycznymi do art. 3 RODO:
Jednocześnie w Wytycznych do art. 3 RODO stwierdzono, że
EROD w Wytycznych do art. 3 RODO wskazuje dodatkowo, że
Kiedy przetwarzanie danych dotyczy oferowania towarów lub usług?
RODO znajdzie zastosowanie, na podstawie art. 3 ust. 2 RODO, do przetwarzania danych prowadzonego w związku z oferowaniem towarów lub usług przez administratora danych osobom przebywającym w Unii Europejskiej. Aby ocenić, czy dane przetwarzanie prowadzone jest w celu oferowania towarów lub usług osobom przebywającym w Unii Europejskiej, należy dokonać oceny zamiarów i celów administratora. W praktyce ocena taka może być trudna. Wytyczne do art. 3 RODO zalecają, by oceniając tę kwestię uwzględniać m.in. następujące czynniki, z odpowiednim uwzględnieniem także okoliczności danej sprawy:
Podsumowując, przetwarzanie danych w związku z oferowaniem towarów lub usług, do którego może znaleźć zastosowanie RODO, może mieć miejsce, jeśli prowadzone jest przez administratora, który nie posiada jednostki organizacyjnej w Unii Europejskiej, i jednocześnie przetwarzanie to dotyczy nieincydentalnego oferowania towarów lub usług osobom fizycznym faktycznie przebywającym na terytorium Unii Europejskiej (niezależnie od ich obywatelstwa lub statusu prawnego).
Ad 3b: Zastosowanie RODO z uwagi na fakt przetwarzania danych osobowych przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w UE, dotyczącego osób przebywających w UE i wiążącego się z monitorowaniem ich zachowania w UE
RODO znajdzie zastosowanie do przetwarzania danych osobowych również w sytuacji, gdy:
W jakich okolicznościach można uznać, że przetwarzanie danych osobowych prowadzone jest przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, i dotyczy osób przebywających w Unii Europejskiej?
Jak wskazano powyżej, ogólnie rzecz biorąc można uznać, że:
W jakich okolicznościach można uznać, że czynności przetwarzania danych osobowych wiążą się z monitorowaniem zachowania osób?
Aby RODO znalazło zastosowanie do przetwarzania danych osobowych prowadzonego przez administratora lub podmiot przetwarzający, którzy nie mają jednostek organizacyjnych w Unii Europejskiej, takie przetwarzanie musi wiązać się z monitorowaniem zachowania osób przebywających w Unii Europejskiej.
RODO nie definiuje pojęcia „monitorowania zachowania”. Zgodnie z Motywem 24 RODO:
Analiza, czy dana działalność stanowi „monitorowanie zachowań”, wymaga każdorazowo analizy indywidualnych stanów faktycznych, z uwzględnieniem okoliczności i kontekstu danej sprawy. Pomocne w tym zakresie są wskazówki zawarte w Wytycznych do art. 3 RODO.
Co niezwykle istotne, Wytyczne do art. 3 RODO wskazują, że:
Niemniej Wytyczne do art. 3 RODO podkreślają, że dla oceny, czy w określonym przypadku występuje „monitorowanie zachowań” w rozumieniu RODO, kluczowy jest cel operacji przetwarzania danych, który ma administrator.
Wytyczne do art. 3 RODO wskazują jednocześnie, że jeśli celem administratora faktycznie jest monitorowanie zachowań, to RODO może znaleźć zastosowanie do monitorowania prowadzonego w związku z różnymi działaniami, w tym: reklamy behawioralnej; działań w zakresie geolokalizacji, zwłaszcza w celach marketingowych; obserwowania przez internet za pomocą plików cookie lub innych technik śledzenia takich jak pobieranie odcisków palców; zindywidualizowanych usług online w zakresie diety i analizy zdrowia; CCTV; badania rynku i innych badań behawioralnych w oparciu o poszczególne profile; monitorowania lub regularnego składania sprawozdań na temat stanu zdrowia danej osoby fizycznej.
Podsumowując, przetwarzanie danych w związku z monitorowaniem zachowań, do którego może znaleźć zastosowanie RODO, może mieć miejsce, jeśli prowadzone jest przez administratora, który nie posiada jednostki organizacyjnej w Unii Europejskiej, i jednocześnie:
Ad 4: Zastosowanie RODO z uwagi na fakt przetwarzania danych osobowych prowadzonego przez administratora niemającego jednostki organizacyjnej w UE, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego
RODO znajdzie również zastosowanie do stosunkowo rzadkich sytuacji, w których:
Z punktu widzenia prywatnego obrotu ww. przesłanka zastosowania RODO ma niewielkie znaczenie praktyczne, ponieważ dotyczy głównie m.in. ambasad, konsulatów, statków morskich czy też samolotów (patrz np. M. Czerniawski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018, art. 3):