Nawigacja
RODO > Artyku艂 3. Terytorialny zakres stosowania
Pobierz jako plik PDF

Artyku艂 3 RODO. Terytorialny zakres stosowania

Article 3 GDPR. Territorial scope

1. Niniejsze rozporz膮dzenie ma zastosowanie do przetwarzania danych osobowych w zwi膮zku z dzia艂alno艣ci膮 prowadzon膮 przez jednostk臋 organizacyjn膮 administratora lub podmiotu przetwarzaj膮cego w Unii, niezale偶nie od tego, czy przetwarzanie odbywa si臋 w Unii.

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

Wytyczne & Case Law Motywy

(22) Przetwarzanie danych osobowych w kontek艣cie dzia艂alno艣ci prowadzonej przez jednostk臋 organizacyjn膮 administratora lub podmiotu przetwarzaj膮cego w Unii powinno odbywa膰 si臋 zgodnie z niniejszym rozporz膮dzeniem, niezale偶nie od tego, czy samo przetwarzanie ma miejsce w Unii. Poj臋cie 鈥瀓ednostka organizacyjna鈥 zak艂ada skuteczne i faktyczne prowadzenie dzia艂alno艣ci poprzez stabilne struktury. Forma prawna takich struktur, niezale偶nie od tego, czy chodzi o oddzia艂 czy sp贸艂k臋 zale偶n膮 posiadaj膮c膮 osobowo艣膰 prawn膮, nie jest w tym wzgl臋dzie czynnikiem decyduj膮cym.

(22) Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.

(14) Ochrona zapewniana niniejszym rozporz膮dzeniem powinna mie膰 zastosowanie do os贸b fizycznych 鈥 niezale偶nie od ich obywatelstwa czy miejsca zamieszkania 鈥 w zwi膮zku z przetwarzaniem ich danych osobowych. Niniejsze rozporz膮dzenie nie dotyczy przetwarzania danych osobowych dotycz膮cych os贸b prawnych, w szczeg贸lno艣ci przedsi臋biorstw b臋d膮cych osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

(14) The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.

Powi膮zane teksty

2. Niniejsze rozporz膮dzenie ma zastosowanie do przetwarzania danych osobowych os贸b, kt贸rych dane dotycz膮, przebywaj膮cych w Unii przez administratora lub podmiot przetwarzaj膮cy niemaj膮cych jednostek organizacyjnych w Unii, je偶eli czynno艣ci przetwarzania wi膮偶膮 si臋 z:

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

Powi膮zane teksty

a) oferowaniem towar贸w lub us艂ug takim osobom, kt贸rych dane dotycz膮, w Unii 鈥 niezale偶nie od tego, czy wymaga si臋 od tych os贸b zap艂aty; lub

(a)聽the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

Motywy

(23) Aby osoby fizyczne nie zosta艂y pozbawione ochrony przys艂uguj膮cej im na mocy niniejszego rozporz膮dzenia, przetwarzanie danych osobowych os贸b, kt贸rych dane dotycz膮, znajduj膮cych si臋 w Unii, przez administratora lub podmiot przetwarzaj膮cy, kt贸rzy nie posiadaj膮 jednostki organizacyjnej w Unii, powinno podlega膰 niniejszemu rozporz膮dzeniu, je偶eli czynno艣ci przetwarzania wi膮偶膮 si臋 z oferowaniem takim osobom towar贸w lub us艂ug, niezale偶nie od tego, czy poci膮ga to za sob膮 p艂atno艣膰. Aby stwierdzi膰, czy administrator lub podmiot przetwarzaj膮cy oferuj膮 towary lub us艂ugi znajduj膮cym si臋 w Unii osobom, kt贸rych dane dotycz膮, nale偶y ustali膰, czy jest oczywiste, 偶e administrator lub podmiot przetwarzaj膮cy planuj膮 oferowa膰 us艂ugi osobom, kt贸rych dane dotycz膮, w co najmniej jednym pa艅stwie cz艂onkowskim Unii. O ile do ustalenia takiego zamiaru nie wystarczy sama dost臋pno艣膰 w Unii strony internetowej administratora, podmiotu przetwarzaj膮cego, po艣rednika, adresu poczty elektronicznej lub innych danych kontaktowych ani pos艂ugiwanie si臋 j臋zykiem powszechnie stosowanym w pa艅stwie trzecim, w kt贸rym jednostk臋 organizacyjn膮 ma administrator, o tyle potwierdzeniem oczywisto艣ci faktu, 偶e administrator planuje oferowa膰 w Unii towary lub us艂ugi osobom, kt贸rych dane dotycz膮, mog膮 by膰 czynniki takie, jak pos艂ugiwanie si臋 j臋zykiem lub walut膮 powszechnie stosowanymi w co najmniej jednym pa艅stwie cz艂onkowskim oraz mo偶liwo艣膰 zam贸wienia towar贸w i us艂ug w tym j臋zyku lub wzmianka o klientach lub u偶ytkownikach znajduj膮cych si臋 w Unii.

(23) In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member聽States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member聽States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.

Powi膮zane teksty

b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

(b)聽the monitoring of their behaviour as far as their behaviour takes place within the Union.

Motywy

(24) Przetwarzanie danych osobowych znajduj膮cych si臋 w Unii os贸b, kt贸rych dane dotycz膮, przez administratora lub podmiot przetwarzaj膮cy, kt贸rzy nie maj膮 jednostki organizacyjnej w Unii, powinno podlega膰 niniejszemu rozporz膮dzeniu tak偶e w przypadkach, gdy wi膮偶e si臋 z monitorowaniem zachowania takich os贸b, kt贸rych dane dotycz膮, o ile zachowanie to ma miejsce w Unii. Aby stwierdzi膰, czy czynno艣膰 przetwarzania mo偶na uzna膰 za 鈥瀖onitorowanie zachowania鈥 os贸b, kt贸rych dane dotycz膮, nale偶y ustali膰, czy osoby fizyczne s膮 obserwowane w internecie, w tym tak偶e czy p贸藕niej potencjalnie stosowane s膮 techniki przetwarzania danych polegaj膮ce na profilowaniu osoby fizycznej, w szczeg贸lno艣ci w celu podj臋cia decyzji jej dotycz膮cej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowa艅 i postaw.

(24) The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.

Powi膮zane teksty

3. Niniejsze rozporz膮dzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemaj膮cego jednostki organizacyjnej w Unii, ale posiadaj膮cego jednostk臋 organizacyjn膮 w miejscu, w kt贸rym na mocy prawa mi臋dzynarodowego publicznego ma zastosowanie prawo pa艅stwa cz艂onkowskiego.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member聽State law applies by virtue of public international law.

Motywy

(25) Niniejsze rozporz膮dzenie powinno mie膰 zastosowanie do administratora niemaj膮cego jednostki organizacyjnej w Unii tak偶e w przypadkach, gdy na mocy prawa mi臋dzynarodowego publicznego stosuje si臋 prawo pa艅stwa cz艂onkowskiego, na przyk艂ad na terenie misji dyplomatycznej lub plac贸wki konsularnej pa艅stwa cz艂onkowskiego.

(25) Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State’s diplomatic mission or consular post.

Komentarz eksperta Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) One of the most frequent questions asked is whether a company falls within the scope of the GDPR. It relates, among other things, to the definition of the European regulation鈥檚 territorial scope.

Here you can find a little self-assessment test:

Does the GDPR apply in these cases?

  1. A Russian mobile application processes the geolocation data of Russian and foreign nationals in the EU.
  2. A Belarusian dating site collects contact information from all its users. Americans and Europeans who come to Belarus and want to meet local women can also register on the site.
  3. An Italian chain has opened a new hotel in Kyiv, where both Europeans and citizens of other countries stay. Guests registration is carried out on the Italian site, and data are processed in the head office of the management company in Italy.
  4. An American training platform uses personal data to sell online courses around the world.
  5. EU nationals, who are on vacation in India, came to an Austrian airline’s local office in Mumbai to fly to Bali for a couple of days. For this purpose, their passport information and bank card data were collected, as well as the information that the passengers are vegetarians.
  6. EU users visit the site of a company from Rostov-on-Don 2-3 times a month and order flower deliveries in the city for their loved ones. The site is in Russian. Deliveries are only in Rostov. The currency of payment is the Russian ruble.

If you doubt the answers, go on reading and you will find the detailed analysis in the video lesson at the bottom of this article (in Russian).

Here are three cases, which show when it is necessary to observe the GDPR:

  1. When data are processed in the context of the activities of an establishment in the EU. In other words, if the office is physically located in any of the EU countries and the data are processed in that office, the GDPR applies. Thus, the correct answer to the third question concerning the Italian hotel is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, this paragraph does not apply only to a physical office or a registered legal entity. There are many other unobvious examples of what should be considered as the 鈥渃ontext of the activities of an establishment鈥. We describe them in detail in the video.

  1. When the data subject is in the EU and the processing relates to the supply of goods and services. In this case, 鈥渄ata subject鈥 does not refer only to European citizens, but also to people from other countries who are passing through, traveling, or staying temporary in Europe. At the same time, the goods and services do not necessarily have to be paid for. For example, a free mobile app that you have downloaded.

Therefore, if, for example, a Russian citizen, being in Latvia, has used a Russian mobile application, she or he is protected by the GDPR. So the correct answer to the first question is affirmative, i.e. it is necessary to comply with the GDPR.

By the way, according to this paragraph, the GDPR also applies to other cases, which we have mentioned at the beginning of this article. For instance, in the second case, the Belarusian dating site provides a service to European citizens, as well as the American platform from the fourth case.

In comparison, in the fifth case concerning the purchase of tickets to Bali, the GDPR is not applicable, as these people have left the EU and are buying tickets in the office in India.

Do you know why in the sixth case concerning the flower delivery the GDPR does not apply, although the data of European citizens are processed? The reason is that the exception described in the recitals of the Regulation is based on a specific judicial precedent.

For more details on these recitals and court precedent, please see our video lesson.

  1. When you monitor behaviour within the EU. These situations are rare. And that rule does not apply to any of the cases from this article. More detailed information can be found in the video.

We hope that the information was helpful. Share it with your colleagues and make sure to see our detailed video lesson below in which you will find:

  • A detailed explanation of the diagram 鈥渢he territorial scope of the GDPR鈥;
  • Explanation of articles, recitals, judicial precedents, and clarification by the supervisory authority;
  • Further examples and cases from practice;
  • Detailed case analysis from this article.


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
Motywy

(22) Przetwarzanie danych osobowych w kontek艣cie dzia艂alno艣ci prowadzonej przez jednostk臋 organizacyjn膮 administratora lub podmiotu przetwarzaj膮cego w Unii powinno odbywa膰 si臋 zgodnie z niniejszym rozporz膮dzeniem, niezale偶nie od tego, czy samo przetwarzanie ma miejsce w Unii. Poj臋cie 鈥瀓ednostka organizacyjna鈥 zak艂ada skuteczne i faktyczne prowadzenie dzia艂alno艣ci poprzez stabilne struktury. Forma prawna takich struktur, niezale偶nie od tego, czy chodzi o oddzia艂 czy sp贸艂k臋 zale偶n膮 posiadaj膮c膮 osobowo艣膰 prawn膮, nie jest w tym wzgl臋dzie czynnikiem decyduj膮cym.

(22) Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect.

(23) Aby osoby fizyczne nie zosta艂y pozbawione ochrony przys艂uguj膮cej im na mocy niniejszego rozporz膮dzenia, przetwarzanie danych osobowych os贸b, kt贸rych dane dotycz膮, znajduj膮cych si臋 w Unii, przez administratora lub podmiot przetwarzaj膮cy, kt贸rzy nie posiadaj膮 jednostki organizacyjnej w Unii, powinno podlega膰 niniejszemu rozporz膮dzeniu, je偶eli czynno艣ci przetwarzania wi膮偶膮 si臋 z oferowaniem takim osobom towar贸w lub us艂ug, niezale偶nie od tego, czy poci膮ga to za sob膮 p艂atno艣膰. Aby stwierdzi膰, czy administrator lub podmiot przetwarzaj膮cy oferuj膮 towary lub us艂ugi znajduj膮cym si臋 w Unii osobom, kt贸rych dane dotycz膮, nale偶y ustali膰, czy jest oczywiste, 偶e administrator lub podmiot przetwarzaj膮cy planuj膮 oferowa膰 us艂ugi osobom, kt贸rych dane dotycz膮, w co najmniej jednym pa艅stwie cz艂onkowskim Unii. O ile do ustalenia takiego zamiaru nie wystarczy sama dost臋pno艣膰 w Unii strony internetowej administratora, podmiotu przetwarzaj膮cego, po艣rednika, adresu poczty elektronicznej lub innych danych kontaktowych ani pos艂ugiwanie si臋 j臋zykiem powszechnie stosowanym w pa艅stwie trzecim, w kt贸rym jednostk臋 organizacyjn膮 ma administrator, o tyle potwierdzeniem oczywisto艣ci faktu, 偶e administrator planuje oferowa膰 w Unii towary lub us艂ugi osobom, kt贸rych dane dotycz膮, mog膮 by膰 czynniki takie, jak pos艂ugiwanie si臋 j臋zykiem lub walut膮 powszechnie stosowanymi w co najmniej jednym pa艅stwie cz艂onkowskim oraz mo偶liwo艣膰 zam贸wienia towar贸w i us艂ug w tym j臋zyku lub wzmianka o klientach lub u偶ytkownikach znajduj膮cych si臋 w Unii.

(23) In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member聽States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member聽States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union.

(24) Przetwarzanie danych osobowych znajduj膮cych si臋 w Unii os贸b, kt贸rych dane dotycz膮, przez administratora lub podmiot przetwarzaj膮cy, kt贸rzy nie maj膮 jednostki organizacyjnej w Unii, powinno podlega膰 niniejszemu rozporz膮dzeniu tak偶e w przypadkach, gdy wi膮偶e si臋 z monitorowaniem zachowania takich os贸b, kt贸rych dane dotycz膮, o ile zachowanie to ma miejsce w Unii. Aby stwierdzi膰, czy czynno艣膰 przetwarzania mo偶na uzna膰 za 鈥瀖onitorowanie zachowania鈥 os贸b, kt贸rych dane dotycz膮, nale偶y ustali膰, czy osoby fizyczne s膮 obserwowane w internecie, w tym tak偶e czy p贸藕niej potencjalnie stosowane s膮 techniki przetwarzania danych polegaj膮ce na profilowaniu osoby fizycznej, w szczeg贸lno艣ci w celu podj臋cia decyzji jej dotycz膮cej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowa艅 i postaw.

(24) The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.

(25) Niniejsze rozporz膮dzenie powinno mie膰 zastosowanie do administratora niemaj膮cego jednostki organizacyjnej w Unii tak偶e w przypadkach, gdy na mocy prawa mi臋dzynarodowego publicznego stosuje si臋 prawo pa艅stwa cz艂onkowskiego, na przyk艂ad na terenie misji dyplomatycznej lub plac贸wki konsularnej pa艅stwa cz艂onkowskiego.

(25) Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State’s diplomatic mission or consular post.

Wytyczne & Case Law zostaw komentarz
[js-disqus]