Czy RODO obowiązuje także poza Unią Europejską?
Ten temat może zaciekawić zarówno osoby, które liczą na to, że użycie spółki offshore pomoże im wyswobodzić się z regulacji RODO, jak i osoby, które zastanawiają się, w jaki sposób ich dane osobowe chronione są w przypadku, gdy pozyskuje je podmiot spoza Unii Europejskiej.
Do napisania tego posta natchnęło mnie pytanie jednego z czytelników mojego bloga o spółce LLC w stanie Delaware.
Czy spółka LLC z USA podpada pod przepisy o RODO?
Ciekawe zagadnienie.
Co to jest RODO?
Rozporządzenie o ochronie danych osobowych (RODO) jest prawem Unii Europejskiej dotyczącym ochrony danych, które wymaga od przedsiębiorców oraz organizacji zachowania bezpieczeństwa danych. W założeniu daje jednocześnie ludziom większą kontrolę nad sposobem wykorzystywania ich danych. Sankcje za nieprzestrzeganie przepisów RODO mogą osiągnąć 4% światowych dochodów przedsiębiorstwa lub 20 mln EUR, w zależności od powagi i okoliczności naruszenia.
Czy RODO stosuje się poza Unią Europejską?
W zamierzeniu europejskich legislatorów RODO ma zastosowanie także do przedsiębiorstw spoza UE, ponieważ ma zasięg eksterytorialny. Jak wyjaśniają unijne organy, wynika to z konstrukcji samego rozporządzenia, gdyż nie tyle reguluje ono działalność podmiotów prawa, ile chroni prawa osób, których dane dotyczą. Oczywiście z punktu widzenia przedsiębiorcy wiąże się to z wieloma uciążliwymi obowiązkami.
W praktyce oznacza to, że gromadzenie jakiekolwiek danych osobowych osób z terytorium Unii Europejskiej, wymaga postępowania zgodnego z RODO.
Pobożne życzenia eurokratów?
Być może zastanawiasz się, w jaki sposób Unia Europejska będzie egzekwować prawo na terytorium, nad którym nie ma kontroli, czyli np. terytorium Stanów Zjednoczonych, Gruzji, Seszeli, Belize.
Gdziekolwiek.
Podstawowa zasada współczesnego prawa to zasada terytorialności. Oznacza to, że prawo stosujemy na terytorium danego państwa bądź organizacji międzynarodowej, która je stanowi. Poza nim ono nie obowiązuje. Podstawowa zasada prawa karnego zaś to zasada, w której czyn popełniony zagranicą jest karalny, o ile prawo państwa popełnienia czynu oraz prawo państwa, w którym sprawca jest sądzony są zgodne co do tego, że dany czyn stanowi naruszenie obowiązującego porządku prawnego.
Mętne wyjaśnienia na stronach internetowych Komisji Europejskiej wskazują ,że Unia liczy na to, że zgodnie z art. 50 RODO zagraniczne rządy będą pomagać jej egzekwować przepisy RODO także poza Unią. Znamienny jest jednak wręcz dosłowny cytat ze strony GDPR.eu:
Jak dotąd zasięg UE nie został przetestowany, ale bez wątpienia organy ochrony danych badają swoje możliwości indywidualnie.
Mój komentarz?
Powodzenia Unio. Już widzę, jak amerykańscy, rosyjscy, czy chińscy przedsiębiorcy drżą przed RODO…
Szanowny Panie Mecenasie
Zasięg terytorialny stosowania RODO wskazuje art. 3 RODO. W uproszczeniu, prowadzisz działalność na terenie UE lub przetwarzasz dane obywateli UE podlegasz RODO.
Więc z tą zasadą terytorialności to nie jest tak prosto.
Poza tym zasadą terytorialności ma wyjątki. Patrz międzynarodowe prawo karne – np. zbrodnia ludobójstwa. Lub ściganie przez USA firm które chcą handlować z Iranem. A UE jest jako całość równie silna jak USA.
Więc tak myślę że UE bez problemu będzie ścigać za RODO. Wystarczy groźba zakazu prowadzenia działalności na terenie UE lub zajęcie aktywów.
Ps Japonia już się dostosowała do RODO i podpisała umowę.
Pss UE nakłada już milionowe kary na Google. I wcale nie potrzebuje pomocy USA by je wyegzekwować 🙂
Giganci muszą się dostosować, fakt, ale oczka sieci są duże… szczupak się złapie, ale troć przepłynie spokojnie.
Myślę, że porównanie z siecią i rybami jest dobre. I jest w nim sporo prawdy.
Tylko w miarę jak rośnie świadomość ludzi te oczka sieci są coraz mniejsze.
Poza tym, kto zabroni spełnić obywatelski obowiązek by donieść na nieuczciwą konkurencję, która łamie RODO.
Myślę, że organy, w tym nasz PUODO będą się zajmować takimi sprawami.
A mają narzędzia by robić to skutecznie.