I. Cadrul Legal. Regulamentul stabileste la Articolul 1 alin. (3) principiul teritorialitatii aplicabilitatii sale in interiorul UE, astfel libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”
Articolul 3 din Regulament arata situatiile care deroga de la principiul teritorialitatii, astfel:
„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operatorsau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. (2) Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de: a) oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau b) monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii. (3) Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.” Asadar, aplicabilitatea GDPR in afara Uniunii Europene reprezinta o exceptie de la principiul teritorialitatii, exceptie bazata pe ratione loci si ratione materie.
II. Analiza derogarilor de la pincipiul teritorialitatii
Regulametul se aplica indiferent de locul prelucrarii, in cazul in care sediul persoanei imputernicite sau a operatorului sunt in UE. Atentie, nu este necesar ca si Operatorul si Persoana Imputernicita sa fie stabiliti in UE, ci este suficient ca doar unul dintre cei doi sa aiba sediul in UE.
(i) Ce inseamna ,,sediu in UE’’ ?
Regulamentul defineste doar sediul principal, in articlolul 4, punctul 14 [1], fara a defini notiunea de sediu in intelesul articolului 3. Cu toate acestea, punctul 22 din expunerea de motive clarifica faptul ca orice prelucrare a datelor cu caracter personal în cadrul activităţilor unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii.Sediul implică exercitarea efectivă şi reală a unei activităţi în cadrul unor înţelegeri stabile. Forma juridică a unor astfel de înţelegeri, prin intermediul unei sucursale sau al unei filiale cu personalitate juridică, nu este factorul determinant în această privinţă. Curtea de Justitie a Uniunii Europene (interpretand acest text care se regasea in mod identic la punctul 19 din Expunerea de Motive a Directivei 95/46/EC) nu a interpretat in sens restrictiv notiunea de sediu, extinzand intelesul acesteia la orice activitate reala si efectiva- chiar si una minimalista. Mai ales in legatura cu serviciile oferite prin internet prezenta unui singur agent sau angajat al statului non-EU poate fi suficienta pentru a constitui ,,sediu’’. Desi notuiune de sediu e vasta, aceasta are totusi limitari. Astfel, nu se poate considera ca o persoana are sediul in UE doar pentru ca website-ul sau poate fi accesat din UE.
(ii)Ce inseamna ca prelucrarea datelor cu caracter personal are loc in cadrulactivitatilor unui sediu?
Se considera a nu este necesar ca activitatiile in cauza sa fie efectuate prin insusi sediul din UE, ci este suficient sa existe o legatura puternica intre activitatea de prelucrare a datelor si activitatea comerciala. Exista o astfel de legatura, de exemplu, intre o persoana din China care detine un site de vanzari online si un Birou din Berlin care conduce si implementeaza strategia de vanzare pe piata UE. Articolul 3, alin. (1) se aplica indiferent de locul prelucrarii. Locul prelucrarii este, asadar, irelevant pentru determina daca prelucrarea datelor cu caracter personal are loc in cadrul activitatilor unui sediu. De exemplu, o companie franceza a dezvoltat o aplicatie de car-sharring accesibila exclusiv consumatorilor din Monaco, Algeria si Tunisia, dar datele cu caracter personal sunt prelucrate de Operatorul din Franta. Desi colectarea are loc in state non-EU, prelucrarea subsecventa este este facuta in cadrul activitatii unui sediu/Operator din UE.
(iii) Cum se aplica Regulamentul cand Persoana Imputernicita are sediul in UE, iar Operatorul nu are sediul in UE?
Regulamentul cuprinde dispozitii care se aplica separat Operatorului si Persoanei Imputernicite. Persoana Imputernicita din UE nu trebuie considerata sediu al Operatorului non-UE in intelesul art. 3 din Regulament. Existenta unei relatii comerciale intre Operator si Persoana Imputernicita nu trebuie sa atraga in mod necesar aplicarea GDPR amandurora.
Organizatia care prelucreaza date cu caracter personal la cererea si conform instructiuniilor Operatorului va actiona ca Persoana Imputernicita. Daca Persoana Imputernicita are sediul in UE, atunci i se vor aplica dispozitiile din Regulament impuse Persoanelor Imputernicite.
Insa, pentru a stabili ca Regulamentul nu se aplica Operatorului trebuie sa fie verificate ab initio aplicabilitatea literelor a si/sau b, ale alineatului 2, articolul 3. Asadar, serviciile oferite de Operator sa nu fie accesibile persoanelor vizate din UE si/sau sa nu fie monitorizat comportamentul persoanelor vizate in UE.
Persoana Imputernicita care prelucreaza date cu caracter personal pentru un Operator non-EU, va trebui sa respecte urmatoarele obligatii:
-obligatiile impuse Persoanelor Imputernicite de art. 28 (2)-(6)[2] cu exceptia acelora referitoare la asistarea Operatorului in a se conforma propriilor obligatii impuse de GDPR; - Persoana Imputernicită de Operator şi orice persoană care acţionează sub autoritatea Operatorului sau a Persoanei Imputernicite de Operator care are acces la date cu caracter personal nu le prelucrează decât la cererea Operatorului, cu excepţia cazului în care dreptul Uniunii sau dreptul intern îl obligă să facă altfel (art. 29 si art. 32 (4); - sa pastreze o evidenta a activitatiilor de prelucrare in acord cu art. 30 (2); - sa implementeze masuri tehnice si organizatorice adecvate riscului (art. 32); - sa notifice fara intarziere Operatorul cand cunoaste existenta unei brese de securitate (art. 33); - sa numeasca un DPO (art. 37-38); - sa respecte prevederile Capitolului 7 privind transferul de date catre tari terte sau organizatii internationale; - sa se asigure ca activitatiile de prelucrare sunt conforme cu dreptul european si national;
(iv) Cum se aplica Regulamentul cand Operatorul are sediul in UE si Persoana Imputernicita nu are sediul in UE?
In acest caz Operatorul trebuie sa se asigure ca Persoana Imputernicita este tinuta sa respecte prevederile GDPR (a se vedea in acest sens articolul 28 (3) din Regulament), transpunandu-le intr-un act cu forta juridica obligatorie intre cele doua parti si ca aceasta prezinta garantii suficiente ca va implementa masuri adecvate pentru protectia datelor cu caracter personal ale persoanelor vizate.
Asadar, in acest caz, prevederile GDPR se vor aplica Persoanei imputernicite, dar nu ca efect al aplicabilitatii directe al Regulamentului, ci ca efect al contractului incheiat intre Parti.
2. O a doua situatie care atrage aplicabilitatea Regulamentului este data de locul persoanei vizate impreuna cu scopul in care are loc prelucrarea.
In aceasta ipoteza, este indiferent pentru aplicabilitatea Regulamentului unde are sediul Operatorul sau Persoana Imputernicita, tot ce conteaza este ca prelucrarea de date sa vizeze piata UE- persoane vizate care se află în Uniune- si (i) sa fie in legatura cu oferirea de bunuri sau servicii persoanelor vizate din UE sau (ii) prelucrarea sa vizeze monitorizarea comportamentului acestora, daca acest comportament se manifesta in UE.
(i) Ce inseamna persoane vizate care se afla in Uniune? Care este importanta cetateniei in acest context?
Sintagma ,,persoane vizate care se afla in Uniune’’ nu este limitata la cetatenie, rezidenta sau orice alt tip de statut legal. In acest sens este si punctul 14 din expunerea de motive care arata ca protecţia conferită de prezentul regulament ar trebui să vizeze persoanele fizice, indiferent de cetăţenia sau de locul de reşedinţă al acestora, în ceea ce priveşte prelucrarea datelor cu caracter personal ale acestora.
Conditia aflarii pe teritoriul UE trebuie indeplinita la momentul la care factorul care atrage aplicarea Regulamentului are loc- momentul oferirii de bunuri sau servicii, sau momentul monitorizarii comportamentului.
De exemplu, daca o tara non-UE a dezvoltat o aplicatie de harti pentru turtisti si prin aplicatie sunt prelucrate date cu caracter personal, precum locatia, pentru a oferi consumatorilor reclame relevante prentru locurile vizitate, iar aplicatia e disponibila in mai multe state, dintre care unul UE- sa zicem Roma, cetateanul non-UE, turist in Roma, folosind aplicatia va fi protejat de Regulament.
Asadar, simpla prelucrare de date cu caracter personal ale persoanelor aflate pe teritoriul UE, nu este suficienta, aceasta trebuie sa se faca in legatura cu oferirea de bunuri sau servicii, ori in legatura cu monitorizarea comportamentului.
(i) Ce presupune conditia ca activitățile de prelucrare sa fie legate de oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată?
Sintagma ,,a oferi bunuri sau servicii’’ a fost definita in dreptul comunitar [3] si analizata in jurisprudenta europeana. Ceea ce este important din punct de vedere al aplicarii acestui articol este ca bunurile si serviciile oferite sa fie intentionat adresate persoanelor din state UE, indiferent daca se solicita sau nu o plata.
Punctul 23 din Expunerea de Motive a Regulamentului clarifica faptul ca pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenţionează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune.
In continuare punctul 23 ofera si cateva indicii pentru a determina intentia, astfel, simplul fapt că există acces la un site al operatorului, al persoanei împuternicite de operator sau al unui intermediar în Uniune, că este disponibilă o adresă de e-mail şi alte date de contact sau că este utilizată o limbă folosită în general în ţara terţă în care operatorul îşi are sediul este insuficient pentru a confirma o astfel de intenţie.
Factori precum utilizarea unei limbi sau a unei monede utilizate în general în unul sau mai multe state membre cu posibilitatea de a comanda bunuri şi servicii în respectiva limbă sau menţionarea unor clienţi sau utilizatori care se află pe teritoriul Uniunii pot conduce la concluzia că operatorul intenţionează să ofere bunuri sau servicii unor persoane vizate în Uniune.
In cauza Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (Cauzele Unite C-585/08 and C-144/09)2, Curtea de Justitie a Uniunii Europene a stabilit, intre altele, ca urmatorii factori pot fi luati in considerare pentru a stabili daca bunurile sau serviciile sunt oferite persoanelor de pe teritoriul UE:
-Uniunea Europeana sau numele unui stat membru sunt precizate in legatura cu disponibilitatea bunurilor sau serviciilor; - Operatorul sau Persoana Imputernicita au contractat un motor de cautare care asigura accesul persoanelor din UE prin campanii de marketing si publicitate; -natura internationala a bunurilor sau serviciilor (de ex. servicii de turism); -un numar de telefon sau o adresa dedicata care pot fi accesate din UE; -folosirea unui nume de domeniu, cu alta prescurtare decat a tarii non-EU care ofera serviciile sau unul neutru (de exemplu: .ro, .de, .eu); -folosirea altei limbi sau a altei monede decat cea utilizata in mod obisnuit in tara terta.
(iii) Ce presupune conditia ca activitatiile de prelucrare sa fie legate de monitorizarea comportamentului lor (n.n. a persoanelor vizate) dacă acesta se manifestă în cadrul Uniunii?
Pentru ca Regulamentul GDPR sa fie aplicabil este necesar ca doua conditii sa fie indeplinite cumulativ: comportamentul monitorizat sa fie al unei persoane vizate care se afla in Uniune (cu luarea in considerare a celor precizate la punctul 2 (i) atunci cand am analizat ce inseamna persoana vizata care se afla in UE) si activitatea de monitorizare sa vizeze teritoriul unui stat UE.
Punctul 24 din Expunerea de motive arata ca pentru a se determina dacă o activitate de prelucrare poate fi considerată ca "monitorizare a comportamentului" persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferinţele personale, comportamentele şiatitudinile acesteia.
Desi punctul 24 face trimitere doar la ,,internet’’, Comitetul European pentru Protectia Datelor considera ca ar trebui avute in vedere orice alte tipuri de retele si tehnologii [4].
Desi in acest articol nu se vorbeste clar de existenta unei intentiei de a monitoriza, este limpede ca aceasta trebuie sa existe, deoarece cuvantul a ,,monitoriza’’ implica un anumit scop al Operatorului.
3. A treia ipoteza este legata de aplicabilitatea Regulamentului ca urmare a aplicarii dreptului intern/dreptului unui stat membru in virtutea principiilor de drept international public ,,prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public’’.
La punctul 25 din Regulament se arata ca in cazul in care dreptul unui stat membru se aplica in temeiul dreptului international public, prezentul regulament ar trebui sa se aplice, de asemenea, unui operator care nu este stabilit in Uniune, ci, de exemplu, într-o misiune diplomatica sau intr-un oficiu consular al unui stat membru.
Definitiile si statutele misiunilor diplomatice si a oficiilor conusulare sunt reglementate in dreptul international in Conventia de la Viena privire la relaţiile diplomatice din 1961 si Conventia de la Viena cu privire la relaţiile consulare din 1963.
Asadar, misiunea diplomatica sau oficiul consular al unui stat membru, ca Operator de date sau Persoana Imputernicita va fi supus(a) tuturor dispozițiilor relevante ale GDPR, inclusiv atunci când este vorba despre activitati de prelucrare a datelor cu caracter personal ale persoanelor vizate.
Concluzie. Aceasta analiza s-a dorit a fi un studiu asupra situatiilor in care Regulametul GDPR se aplica dincolo de limitele principiului teritorialitatii. Studiul de fata nu constituie o opinie legala, nu se doreste a fi exhaustiv si nu obliga cu nimic autorii. Pentru indrumari cu privire la situatii specifice din activitatea dvs. puteti lua legatura cu Av. Georgiana Enea la adresa [email protected].
[1] sediu principal înseamnă: (a) în cazul unui operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acestuia în Uniune, cu excepţia cazului în care deciziile privind scopurile şi mijloacele de prelucrare a datelor cu caracter personal se iau într-un alt sediu al operatorului din Uniune, sediu care are competenţa de a dispune punerea în aplicare a acestor decizii, caz în care sediul care a luat deciziile respective este considerat a fi sediul principal; (b) în cazul unei persoane împuternicite de operator cu sedii în cel puţin două state membre, locul în care se află administraţia centrală a acesteia în Uniune, sau, în cazul în care persoana împuternicită de operator nu are o administraţie centrală în Uniune, sediul din Uniune al persoanei împuternicite de operator în care au loc activităţile principale de prelucrare, în contextul activităţilor unui sediu al persoanei împuternicite de operator, în măsura în care aceasta este supusă unor obligaţii specifice în temeiul prezentului regulament;
[2] Art. 28, (2) Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizaţie scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizaţii generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea legate de interesul public; b) se asigură că persoanele autorizate să prelucreze datele cu caracter personal s-au angajat să respecte confidenţialitatea sau au o obligaţie statutară adecvată de confidenţialitate; c) adoptă toate măsurile necesare în conformitate cu articolul 32; d) respectă condiţiile menţionate la alineatele (2) şi (4) privind recrutarea unei alte persoane împuternicite de operator; g) la alegerea operatorului, şterge sau returnează operatorului toate datele cu caracter personal după încetarea furnizării serviciilor legate de prelucrare şi elimină copiile existente, cu excepţia cazului în care dreptul Uniunii sau dreptul intern impune stocarea datelor cu caracter personal; h) pune la dispoziţia operatorului toate informaţiile necesare pentru a demonstra respectarea obligaţiilor prevăzute la prezentul articol, permite desfăşurarea auditurilor, inclusiv a inspecţiilor, efectuate de operator sau alt auditor mandatat şi contribuie la acestea. În ceea ce priveşte primul paragraf litera (h), persoana împuternicită de operator informează imediat operatorul în cazul în care, în opinia sa, o instrucţiune încalcă prezentul regulament sau alte dispoziţii din dreptul intern sau din dreptul Uniunii referitoare la protecţia datelor. (4) În cazul în care o persoană împuternicită de un operator recrutează o altă persoană împuternicită pentru efectuarea de activităţi de prelucrare specifice în numele operatorului, aceleaşi obligaţii privind protecţia datelor prevăzute în contractul sau în alt act juridic încheiat între operator şi persoana împuternicită de operator, astfel cum se prevede la alineatul (3), revin celei de a doua persoane împuternicite, prin intermediul unui contract sau al unui alt act juridic, în temeiul dreptului Uniunii sau al dreptului intern, în special furnizarea de garanţii suficiente pentru punerea în aplicare a unor măsuri tehnice şi organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerinţele prezentului regulament. În cazul în care această a doua persoană împuternicită nu îşi respectă obligaţiile privind protecţia datelor, persoana împuternicită iniţială rămâne pe deplin răspunzătoare faţă de operator în ceea ce priveşte îndeplinirea obligaţiilor acestei a doua persoane împuternicite. (5)Aderarea persoanei împuternicite de operator la un cod de conduită aprobat, menţionat la articolul 40, sau la un mecanism de certificare aprobat, menţionat la articolul 42, poate fi utilizată ca element prin care să se demonstreze existenţa garanţiilor suficiente menţionate la alineatele (1) şi (4) din prezentul articol. (6) Fără a aduce atingere unui contract individual încheiat între operator şi persoana împuternicită de operator, contractul sau celălalt act juridic menţionat la alineatele (3) şi (4) din prezentul articol se poate baza, integral sau parţial, pe clauze contractuale standard menţionate la alineatele (7) şi (8) din prezentul articol, inclusiv atunci când fac parte dintr-o certificare acordată operatorului sau persoanei împuternicite de operator în temeiul articolelor 42 şi 43 sau înlocuirea altor persoane împuternicite de operator, oferind astfel posibilitatea operatorului de a formula obiecţii faţă de aceste modificări. (3) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract sau alt act juridic în temeiul dreptului Uniunii sau al dreptului intern care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul şi care stabileşte obiectul şi durata prelucrării, natura şi scopul prelucrării, tipul de date cu caracter personal şi categoriile de persoane vizate şi obligaţiile şi drepturile operatorului. Respectivul contract sau act juridic prevede în special că persoană împuternicită de operator: a)prelucrează datele cu caracter personal numai pe baza unor instrucţiuni documentate din partea operatorului, inclusiv în ceea ce priveşte transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, cu excepţia cazului în care această obligaţie îi revine persoanei împuternicite în temeiul dreptului Uniunii sau al dreptului intern care i se aplică; în acest caz, notifică această obligaţie juridică operatorului înainte de prelucrare, cu excepţia cazului în care dreptul respectiv interzice o astfel de notificare din motive importante.
[3] A se vedea art. 1, alin. (1) din Directiva (EU) 2015/1535.