Zastosowanie rodo do osób niebędących obywatelami UE

Wydaje się że skoro rodo jest aktem europejskim to chroni obywateli UE a nie z jakichś innych zakątków świata. Czy tak jest rzeczywiście?

Powiedzmy, że polski ado chce rekrutować do pracy osoby z Tunisu. W tym celu zamierza powierzyć zbieranie ich danych i przeprowadzenie rekrutacji firmie z Maroka. Czy ma stosować rodo?

Zakres zastosowania rodo

Z jednej strony mamy art. 2.2.a rodo, który mówi, że rodo nie stosuje się do przetwarzania w ramach działalności nieobjętej zakresem prawa Unii. Z drugiej mamy art. 3.1 rodo który mówi, że jeśli ado/proc ma jednostkę organizacyjną (zwykle, choć nie tylko, siedzibę) w Unii, to rodo ma zastosowanie niezależnie od tego, czy przetwarzanie odbywa się w Unii, jeśli ma związek z działalnością tej jednostki. Dodatkowo mamy motyw 2 i 14, które mówią, że osoby mają być chronione niezależnie od ich miejsca zamieszkania czy obywatelstwa. Przez jednostkę organizacyjną w Unii należy rozumieć jakiekolwiek stabilne struktury, niezależnie od formy prawnej (oddział, przedstawicielstwo). Spółka zależna w Unii jest odrębną osobą prawną, która ma własny status ado/proc i jest jednostką organizacyjną w Unii przez to, że ma siedzibę w państwie członkowskim.

Unia a EOG

W tym miejscu wypada wyjaśnić, że choć rodo używa zwrotu „w Unii” należy przez to rozumieć, że w Europejskim Obszarze Gospodarczym (ang. EEA, European Economic Area), ponieważ rodo zostało włączone do Porozumienia o EOG. Do EOG oprócz państw członkowskich UE należą: Norwegia, Islandia i Liechtenstein. Z tego też względu niezdefiniowany w rodo termin „państwo trzecie” oznacza państwo spoza EOG, nie zaś spoza UE. Przy samej nazwie aktu jest dopisek „Tekst mający znaczenie dla EOG”.

Art. 2 dotyczy materialnego (przedmiotowego) zastosowania rodo, nie zaś kwestii terytorialnych, działalność nieobjęta zakresem prawa Unii, w świetle celu tego przepisu, to taka która stanowi wyłączną kompetencję państw członkowskich (np. bezpieczeństwo narodowe, akty stanu cywilnego). Nie należy więc korzystać z tego przepisu ustalając terytorialny zasięg stosowania rodo.

Z powyższego wynika że rodo nie ma zastosowania jeśli ado/proc ma siedzibę (jednostkę organizacyjną) poza UE i przetwarza dane osoby znajdującej się poza UE (np. FB – jednostka org w USA przetwarza dane obywatela USA, który nie wyjechał do UE).

Przekazanie przetwarzania (danych) do państwa trzeciego

Wracając do przykładu, zanim polski ado powierzy przetwarzanie procesorowi z Maroka, musi podpisać z nim um powierzenia i przeprowadzić audyt procesora. Wydaje się, że dojdzie także do przekazania danych, które nie są aktualnie przetwarzane przez ado ale mają być przetwarzane (zbierane) przez procesora w państwie trzecim i w związku z tym trzeba będzie spełnić warunki transferu danych (art. 44 i n.). W takim wypadku SCC dotyczące przekazywania danych konsumują um powierzenia (motyw 9; Klauzula 2.a).

Artykuł  44 Ogólna zasada przekazywania

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

Wytyczne 05/2021 Relacja art. 3 a Rozdział V

Jeśli exporter przekazuje dane, które nie są przetwarzane, to znaczy że jeszcze ich nie zebrał, bo ta operacja warunkuje i rozpoczyna przetwarzanie danych (pierwsza operacja). Taka interpretacja ma uzasadnienie funkcjonalne, przepisy o transferze poza EOG mają zwiększyć bezpieczeństwo podmiotów danych, ale nie jedynie podmiotów które są w UE tylko do których stosuje się rodo, a rodo stosuje się również do osób spoza UE jeśli ado/proc jest obecny w UE. Istotą przekazania nie jest fizyczne przekroczenie granicy przez dane (przeniesienie nośnika, przesłanie elektroniczne, zapisanie na dysku w państwie trzecim), ale ujawnienie, spowodowanie że organizacja z państwa trzeciego uzyska dostęp (kontrolę) do danych, których przetwarzanie podlega rodo (tak, wytyczne 05/2021 w sprawie wzajemnych relacji pomiędzy art. 3 i Rozdziałem V RODO, uwaga 16 i n.). Powierzając przetwarzanie danych w postaci zbierania exporter (ado) ujawnia (przekazuje) te dane importerowi (proc). Zastosowanie rozdziału V rodo powoduje, że osoby z Tunisu są lepiej chronione w związku z ujawnieniem ich danych procesorowi z Maroka, z punktu widzenia ich bezpieczeństwa obojętne jest czy ado sam zbierze ich dane i wyśle do Maroka czy wyśle do Maroka polecenie zbierania ich danych, a skoro zdarzenia prawne mają identyczne skutki to należy tak interpretować przepis żeby hipoteza normy objęła jedno i drugie.

Przekazanie danych spółce zależnej w UE, która ma spółkę matkę poza EOG

Warto odnotować pewną niekonsekwencję EROD. Otóż w Przykładzie 12 Wytycznych 05/2021 wyrażono stanowisko, że przekazanie danych do spółki córki w Unii, która ma spółkę matkę poza EOG a przy tym podlega prawu państwa spoza EOG, które może skutecznie zażądać dostępu do danych – nie stanowi przekazania do państwa trzeciego. Jeśli EROD słusznie twierdzi, że funkcjonalna wykładnia pojęcia „przekazanie” każe nadawać mu znaczenie umożliwienia dostępu, nawet zdalnego w formie wyświetlenia danych na ekranie komputera, podmiotom spoza EOG, to przecież ujawnienie danych podmiotowi, który w każdej chwili może otrzymać skuteczne żądanie z państwa trzeciego ujawnienia danych, jest równoważne ujawnieniu danych w państwie trzecim, czyli stanowi przekazanie do państwa trzeciego.

Obecność w Unii

Sama kwestia obywatelstwa nie ma znaczenia, o stosowaniu rodo decyduje fakt przebywania w Unii:

  • Albo jest obecna w Unii osoba, której dane dotyczą i wtedy nieobecny ado/proc stosuje rodo jeśli oferuje jej towary/usługi lub monitoruje jej zachowanie w Unii.
  • Albo jest obecny (przez jednostkę org) w Unii ado/proc i wtedy stosuje rodo przetwarzając dane osoby nieobecnej w Unii, bez względu na jej obywatelstwo.
  • Jeśli obywatel Unii nie przebywa w niej, a przetwarzający jego dane ado/proc też w Unii nie jest obecny, to rodo nie ma zastosowania (np. FB – jednostka org w USA przetwarza dane obywatela UE, który przebywa w USA).

EROD – Wytyczne 3/2018 art. 3

Taką interpretację można znaleźć w wytycznych 3/2018 w sprawie terytorialnego zakresu stosowania RODO (art. 3), s. 10:

Przykład 4: Francuskie przedsiębiorstwo opracowało aplikację car-sharing skierowaną wyłącznie do klientów w Maroku, Algierii i Tunezji. Usługa jest dostępna jedynie w tych trzech krajach, ale wszystkie czynności przetwarzania danych są prowadzone przez administratora danych we Francji. Chociaż gromadzenie danych osobowych odbywa się w państwach niebędących członkami UE, dalsze przetwarzanie danych osobowych w tym przypadku odbywa się w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora danych w Unii. W związku z tym, nawet jeśli przetwarzanie dotyczy danych osobowych osób, których dane dotyczą niebędących w UE, przetwarzanie dokonywane przez francuskie przedsiębiorstwo będzie podlegać przepisom RODO, zgodnie z art. 3 ust. 1.

Przepisy

Artykuł  2 Materialny zakres stosowania

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii;

b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

3. Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporządzenie (WE) nr 45/2001. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych zostają dostosowane do zasad i przepisów niniejszego rozporządzenia zgodnie z art. 98.

4. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE, w szczególności dla zasad odpowiedzialności usługodawców będących pośrednikami, o których to zasadach mowa w art. 12-15 tej dyrektywy.

Artykuł  3 Terytorialny zakres stosowania

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

b ) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.

(2) Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych. Niniejsze rozporządzenie ma na celu przyczyniać się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, do postępu społeczno-gospodarczego, do wzmacniania i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi.

(14) Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

(22) Przetwarzanie danych osobowych w kontekście działalności prowadzonej przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii powinno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii. Pojęcie „jednostka organizacyjna” zakłada skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.