RODO 3: podstawa prawna i praktyka w praktyce prawnej

Artykuł 3 Ogólnego Rozporządzenia o Ochronie Danych (RODO) to jeden z najważniejszych i zarazem najbardziej skomplikowanych przepisów europejskiego prawa o ochronie danych osobowych. Określa on terytorialny zakres stosowania rozporządzenia, wprowadzając rewolucyjną zasadę ekstraterytorialności. Dzięki temu mechanizmowi unijne standardy ochrony prywatności rozciągają się na podmioty, które nie posiadają fizycznej obecności w Unii Europejskiej, o ile ich działalność ukierunkowana jest na unijnych konsumentów lub polega na monitorowaniu ich zachowań. W praktyce prawnej właściwa interpretacja tego przepisu decyduje o tym, czy dany podmiot podlega rygorystycznym genom prawnym, czy też pozostaje poza jurysdykcją europejskich organów nadzorczych.

Istota i cel terytorialnego zakresu stosowania RODO

Głównym celem wprowadzenia art. 3 RODO było zapewnienie spójnej i skutecznej ochrony osób fizycznych w Unii Europejskiej, niezależnie od tego, gdzie znajduje się siedziba podmiotu przetwarzającego ich dane. W dobie globalizacji i gospodarki cyfrowej tradycyjne kryteria terytorialne oparte na fizycznej lokalizacji serwerów czy siedziby rejestrowej przedsiębiorstwa okazały się niewystarczające. Duże korporacje technologiczne mogły z łatwością unikać odpowiedzialności prawnej, rejestrując działalność w rajach podatkowych lub krajach o liberalnym podejściu do ochrony prywatności.

Wprowadzając art. 3 RODO, ustawodawca unijny zdecydował się na dwutorowe podejście. Z jednej strony utrzymano kryterium jednostki organizacyjnej (art. 3 ust. 1 RODO), które wiąże stosowanie rozporządzenia z działalnością prowadzoną przez podmiot mający siedzibę w Unii. Z drugiej strony wprowadzono kryterium rynku docelowego (art. 3 ust. 2 RODO), które rozszerza stosowanie przepisów na podmioty spoza Unii, jeśli oferują one towary lub usługi osobom w Unii lub monitorują ich zachowanie. To nowatorskie podejście sprawia, że RODO stało się globalnym standardem, wymuszającym dostosowanie procedur przez podmioty na całym świecie.

Kryterium jednostki organizacyjnej (art. 3 ust. 1 RODO)

Zgodnie z art. 3 ust. 1 RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Aby prawidłowo zastosować ten przepis, należy przeanalizować dwa kluczowe elementy: pojęcie „jednostki organizacyjnej” oraz pojęcie „przetwarzania w związku z działalnością” tej jednostki.

Szerokie rozumienie jednostki organizacyjnej

Pojęcie „jednostki organizacyjnej” (ang. establishment) nie powinno być interpretowane wyłącznie przez pryzmat formalnoprawnych struktur, takich jak spółka zależna czy oddział zarejestrowany w rejestrach handlowych. Zgodnie z utrwalonym orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (TSUE), kryterium to ma charakter elastyczny i funkcjonalny. Jednostka organizacyjna istnieje wszędzie tam, gdzie dochodzi do rzeczywistego i efektywnego prowadzenia działalności za pomocą stabilnych struktur.

W praktyce oznacza to, że nawet obecność jednego pracownika, przedstawiciela handlowego lub agenta działającego na rzecz zagranicznego podmiotu w Unii Europejskiej może zostać uznana za posiadanie jednostki organizacyjnej. Kluczowa jest stabilność tych struktur oraz stopień powiązania z działalnością gospodarczą prowadzoną przez podmiot dominujący. Jeśli zagraniczna firma posiada w Polsce biuro coworkingowe, z którego regularnie korzystają jej konsultanci, istnieje wysokie prawdopodobieństwo, że polski organ nadzorczy uzna to za jednostkę organizacyjną w rozumieniu art. 3 ust. 1 RODO.

Związek przetwarzania z działalnością jednostki

Samo posiadanie jednostki organizacyjnej w Unii nie oznacza automatycznie, że każde przetwarzanie danych przez zagraniczny podmiot podlega RODO. Przepis wymaga, aby przetwarzanie odbywało się „w związku z działalnością” tej jednostki. TSUE w swoich wyrokach wskazał, że związek ten nie musi być bezpośredni. Wystarczy, że działalność jednostki organizacyjnej w Unii jest nierozerwalnie związana z przetwarzaniem danych osobowych dokonywanym przez podmiot spoza Unii.

Klasycznym przykładem jest sytuacja, w której spółka matka z USA przetwarza dane użytkowników, a jej unijna spółka córka zajmuje się wyłącznie działalnością marketingową i sprzedażą powierzchni reklamowych skierowaną do europejskich odbiorców. Choć samo przetwarzanie danych technicznie odbywa się na serwerach w USA, to działalność marketingowa unijnej spółki jest nierozerwalnie związana z tym przetwarzaniem, ponieważ generuje ona przychody umożliwiające funkcjonowanie całej platformy. W takim scenariuszu RODO znajdzie pełne zastosowanie.

Kryterium rynku docelowego (art. 3 ust. 2 RODO)

Artykuł 3 ust. 2 RODO stanowi fundament ekstraterytorialności rozporządzenia. Dotyczy on sytuacji, w której administrator lub podmiot przetwarzający nie posiadają żadnej jednostki organizacyjnej w Unii Europejskiej, lecz ich działania są skierowane do osób fizycznych przebywających na terytorium Unii. Przepis ten wyróżnia dwie niezależne przesłanki: oferowanie towarów lub usług oraz monitorowanie zachowania.

Oferowanie towarów lub usług (art. 3 ust. 2 lit. a RODO)

Pierwsza przesłanka dotyczy sytuacji, w której przetwarzanie wiąże się z oferowaniem towarów lub usług osobom, których dane dotyczą, w Unii. Co istotne, nie ma znaczenia, czy od tych osób wymagana jest płatność. Usługi darmowe, takie jak bezpłatne aplikacje mobilne, konta e-mail czy portale społecznościowe, również podlegają tej regulacji.

Aby ustalić, czy dany podmiot „oferuje” towary lub usługi, należy zbadać, czy wykazuje on zamiar prowadzenia działalności skierowanej do odbiorców w jednym lub kilku państwach członkowskich Unii. Europejska Rada Ochrony Danych (EROD) w swoich wytycznych wskazuje, że sam fakt dostępności strony internetowej lub adresu e-mail w Unii jest niewystarczający. Konieczne jest wykazanie wyraźnego ukierunkowania działalności. Do czynników świadczących o takim ukierunkowaniu należą:

  • Używanie języka jednego z państw członkowskich (innego niż język kraju siedziby przedsiębiorcy),
  • Umożliwienie płatności w walutach stosowanych w Unii (np. EUR, PLN),
  • Używanie krajowych domen internetowych (np. .pl, .de, .fr),
  • Wskazywanie tras dojazdowych z państw członkowskich do fizycznego miejsca świadczenia usług,
  • Wymienianie opinii klientów zamieszkałych w Unii Europejskiej,
  • Oferowanie międzynarodowej dostawy towarów obejmującej terytorium Unii.

Wymęg wykazania zamiaru (kryterium intencjonalne)

Samo wejście na stronę internetową przez użytkownika z Unii Europejskiej nie przesądza o tym, że podmiot z państwa trzeciego podlega przepisom RODO. Kluczowym elementem, który badają organy nadzorcze oraz sądy, jest intencjonalność działania administratora. Należy dowieść, że administrator zamierzał oferować usługi lub towary osobom w Unii. W praktyce prawnej analizuje się całokształt okoliczności sprawy. Przykładowo, jeśli kanadyjski sklep internetowy sprzedaje lokalne pamiątki i wysyła je wyłącznie na terytorium Ameryki Północnej, to fakt, że polski turysta przegląda tę stronę będąc w Warszawie, nie powoduje objęcia tego sklepu przepisami RODO. Jeśli jednak ten sam sklep wprowadza opcję wysyłki do krajów europejskich, akceptuje płatności w euro i umożliwia kontakt w języku niemieckim, intencja skierowania oferty na rynek unijny staje się oczywista.

Monitorowanie zachowania (art. 3 ust. 2 lit. b RODO)

Druga przesłanka dotyczy monitorowania zachowania osób, których dane dotyczą, o ile zachowanie to ma miejsce w Unii. Kluczowym elementem jest tutaj śledzenie aktywności osób fizycznych w internecie oraz późniejsze profilowanie tych danych w celu podejmowania decyzji lub analizy ich preferencji, postaw i zachowań.

Przykłady działań, które kwalifikują się jako monitorowanie zachowania w rozumieniu art. 3 ust. 2 lit. b RODO, obejmują:

  • Stosowanie plików cookies (ciasteczek) oraz innych technologii śledzących (np. pikseli reklamowych) do śledzenia ruchu użytkowników na stronach internetowych,
  • Targetowanie reklam behawioralnych na podstawie historii przeglądania,
  • Śledzenie lokalizacji użytkowników za pomocą aplikacji mobilnych w czasie rzeczywistym,
  • Monitorowanie parametrów życiowych i aktywności fizycznej za pomocą urządzeń typu wearable (np. inteligentnych zegarków) użytkowanych na terytorium Unii,
  • Analiza zachowań zakupowych w celach lojalnościowych i personalizacji oferty.

Obowiązek wyznaczenia przedstawiciela (art. 27 RODO)

W przypadku, gdy podmiot spoza Unii Europejskiej podlega przepisom RODO na mocy art. 3 ust. 2, ciąży na nim dodatkowy, niezwykle istotny obowiązek prawny. Zgodnie z art. 27 RODO, taki administrator lub podmiot przetwarzający ma obowiązek wyznaczyć na piśmie swojego przedstawiciela w Unii Europejskiej.

Przedstawiciel pełni rolę punktu kontaktowego dla europejskich organów nadzorczych oraz osób, których dane dotyczą. To do niego kierowany jest każdy wniosek, zapytanie czy skarga związana z przetwarzaniem danych. Przedstawiciel musi mieć siedzibę w jednym z państw członkowskich, w których przebywają osoby, których dane są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane.

Należy pamiętać, że wyznaczenie przedstawiciela nie zwalnia samego administratora z odpowiedzialności prawnej. Przedstawiciel może jednak współodpowiadać za naruszenia przepisów, co sprawia, że znalezienie podmiotu chętnego do pełnienia tej roli wymaga precyzyjnych ustaleń umownych i odpowiedniego wynagrodzenia.

Wyjątki od obowiązku wyznaczenia przedstawiciela

Obowiązek ten nie ma charakteru bezwzględnego. Artykuł 27 ust. 2 RODO przewiduje zwolnienie z tego wymogu, jeśli przetwarzanie spełnia łącznie następujące warunki:

  1. Ma charakter sporadyczny,
  2. Nie obejmuje przetwarzania na dużą skalę szczególnych kategorii danych osobowych (np. danych o zdrowiu, poglądach politycznych) ani danych dotyczących wyroków skazujących i naruszeń prawa,
  3. Jest mało prawdopodobne, by powodowało ryzyko dla praw lub wolności osób fizycznych, biorąc pod uwagę charakter, kontekst, zakres i cele przetwarzania.

W praktyce wykazanie sporadyczności oraz braku ryzyka bywa niezwykle trudne, dlatego większość zagranicznych firm aktywnie działających na rynku unijnym decyduje się na wyznaczenie przedstawiciela, aby uniknąć zarzutu naruszenia procedur.

Rola organu nadzorczego, wniosek i terminy procesowe

W Polsce organem nadzorczym odpowiedzialnym za monitorowanie stosowania przepisów RODO jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). W przypadku naruszenia przepisów przez podmiot zagraniczny podlegający pod art. 3 RODO, osoba, której dane dotyczą, ma prawo złożyć formalny wniosek (skargę) do organu nadzorczego.

Procedura ta wiąże się z określonymi wymogami formalnymi i terminami:

  • Wniosek: Skarga powinna zawierać dokładne dane skarżącego, opis naruszenia oraz wskazanie podmiotu, któremu zarzuca się uchybienie. W przypadku podmiotów spoza UE, skargę można skierować również za pośrednictwem ich wyznaczonego przedstawiciela.
  • Termin: Organ nadzorczy ma obowiązek poinformować skarżącego o postępach i efektach rozpatrywania skargi w terminie trzech miesięcy od jej wniesienia. Jeśli sprawa jest skomplikowana i wymaga współpracy międzynarodowej w ramach mechanizmu spójności, termin ten może ulec wydłużeniu, o czym organ musi powiadomić stronę.
  • Współpraca międzynarodowa: W przypadku podmiotów stosujących art. 3 ust. 2 RODO, europejskie organy nadzorcze ściśle współpracują ze sobą. Brak fizycznej obecności firmy w UE nie uniemożliwia nałożenia kary. Organy mogą m.in. nakazać dostawcom usług hostingowych lub płatniczych zablokowanie współpracy z podmitotem naruszającym prawo.

Jak sformułować wniosek do organu nadzorczego

W sytuacji, gdy podmiot spoza Unii narusza prawa obywateli UE (np. nie realizuje prawa do bycia zapomnianym lub bezprawnie profiluje dane), osoba poszkodowana może złożyć formalny wniosek do właściwego organu nadzorczego. Wniosek musi spełniać wymogi formalne określone w Kodeksie postępowania administracyjnego oraz ustawie o ochronie danych osobowych. Powinien zawierać dokładne dane wnioskodawcy, wskazanie podmiotu naruszającego (wraz z danymi jego przedstawiciela w UE, jeśli został wyznaczony) oraz szczegółowy opis stanu faktycznego. Organ po otrzymaniu kompletnego wniosku wszczyna postępowanie administracyjne. Należy pamiętać, że organ ma określony termin na załatwienie sprawy, jednak w sprawach o charakterze transgranicznym, wymagających współpracy z innymi europejskimi organami, termin ten może ulec wydłużeniu ze względu na konieczność przeprowadzenia procedury spójności.

Praktyczny przykład zastosowania art. 3 RODO

Aby lepiej zobrazować działanie omawianych przepisów w praktyce prawnej, przeanalizujmy następujący przypadek:

Stan faktyczny: Amerykańska spółka 'SaaS-Cloud Inc.' z siedzibą w Delaware stworzyła innowacyjną platformę do zarządzania projektami dla architektów. Spółka nie posiada żadnego biura, serwera ani pracownika na terenie Unii Europejskiej. Jednakże, jej strona internetowa została przetłumaczona na język polski i niemiecki, ceny subskrypcji podawane są w złotówkach (PLN) oraz euro (EUR), a w sekcji kontaktowej widnieje numer telefonu z polskim kierunkowym (+48) obsługiwany przez zewnętrzną infolinię. Dodatkowo platforma wykorzystuje zaawansowane skrypty analityczne śledzące zachowanie użytkowników w celu optymalizacji interfejsu.

Ocena prawna: W opisanym przypadku spółka 'SaaS-Cloud Inc.' podlega przepisom RODO na mocy art. 3 ust. 2 lit. a oraz lit. b. Świadczą o tym jasne czynniki ukierunkowania działalności na rynek unijny (język, waluta, lokalny numer telefonu) oraz fakt monitorowania zachowań użytkowników za pomocą skryptów śledzących. W konsekwencji, spółka ma obowiązek:

  • Dostosować swoją politykę prywatności do wymogów art. 13 i 14 RODO,
  • Wdrożyć mechanizmy pozyskiwania zgód na pliki cookies zgodne z unijnymi standardami,
  • Wyznaczyć przedstawiciela w Unii Europejskiej (np. w Polsce lub Niemczech) i poinformować o tym w polityce prywatności,
  • Prowadzić rejestr czynności przetwarzania danych osobowych.

Niezastosowanie się do tych obowiązków naraża spółkę na postępowanie przed polskim organem nadzorczym (PUODO) i potencjalne kary finansowe.

Najczęstsze błędy i ryzyka w praktyce prawnej

Wielu przedsiębiorców oraz niedoświadczonych doradców prawnych popełnia kardynalne błędy przy interpretacji terytorialnego zakresu stosowania RODO. Do najczęstszych z nich należą:

  1. Błędne przekonanie o bezkarności poza UE: Przekonanie, że brak fizycznej siedziby w Europie całkowicie wyłącza jurysdykcję unijnych organów. Jak wykazano wyżej, kryterium rynku docelowego skutecznie niweluje tę barierę.
  2. Mylenie dostępności z oferowaniem: Uznawanie, że każda strona internetowa dostępna w Europie podlega RODO. Bez wyraźnych czynników ukierunkowania (np. waluta, język), sama techniczna dostępność witryny nie rodzi obowiązków z art. 3 ust. 2 RODO.
  3. Zaniedbanie obowiązku powołania przedstawiciela: Wiele firm wdraża polityki prywatności zgodne z RODO, ale całkowicie zapomina o konieczności wyznaczenia przedstawiciela z art. 27 RODO, co samo w sobie stanowi rażące naruszenie przepisów.
  4. Nieuzględnianie roli podmiotów przetwarzających (procesorów): Myślenie, że RODO dotyczy tylko administratorów. Jeśli unijny procesor świadczy usługi na rzecz zagranicznego administratora, ich relacje umowne i procesy przetwarzania muszą być zgodne z RODO, co pośrednio wymusza na zagranicznym podmiocie dostosowanie się do standardów europejskich.

Podsumowanie i rekomendacje dla praktyków

Artykuł 3 RODO to potężne narzędzie prawne, które skutecznie chroni prywatność obywateli Unii Europejskiej w globalnej sieci. Dla prawników i doradców biznesowych kluczowe jest precyzyjne identyfikowanie punktów styku zagranicznych klientów z rynkiem unijnym. Każda analiza prawna dotycząca wdrożenia procedur ochrony danych powinna rozpoczynać się od rzetelnego audytu terytorialnego.

W przypadku stwierdzenia, że działalność klienta podlega pod art. 3 ust. 2 RODO, niezbędne jest niezwłoczne podjęcie kroków w celu wyznaczenia przedstawiciela w UE oraz dostosowania systemów informatycznych i dokumentacji do wymogów rozporządzenia. Pozwoli to zminimalizować ryzyko interwencji ze strony organów nadzorczych oraz zbudować zaufanie wśród europejskich konsumentów, dla których wysoki standard ochrony danych osobowych staje się kluczowym czynnikiem wyboru dostawcy usług.