Kwestia wydaje się pozornie oczywista. Skoro RODO jest aktem prawnym Unii Europejskiej, to zapewne dotyczy tylko danych osobowych jej obywateli. Uważna jednak lektura tego aktu prawnego prowadzi do wniosku, że w jego treści nigdzie nie pojawia się odniesienie do obywatelstwa UE jako warunku ochrony.
Już w motywie 2 RODO czytamy, że:
Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych.
Z kolei motyw 14 RODO stanowi, że:
Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych.
Przetwarzanie na terytorium UE
Jeżeli więc do przetwarzania dochodzi w UE, nie ma żadnych podstaw do różnicowania sytuacji osób, których dane dotyczą – RODO podlegają więc także dane obywateli tzw. państw trzecich. Co więcej, RODO w pewnym sensie wymusza swoją właściwość także w przypadku przetwarzania danych, które przeprowadzane jest poza Unią. Zgodnie bowiem z art. 2 rozporządzenia, ma ono zastosowanie do przetwarzania danych, które pozostaje w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie to odbywa się w Unii.
Przetwarzanie poza terytorium UE
Nawet jednak, jeżeli dany podmiot (administrator albo podmiot przetwarzający) nie posiada jednostek organizacyjnych w Unii, to jest obowiązany stosować RODO, jeżeli podejmowane przezeń czynności przetwarzania dotyczą danych osób przebywających w Unii (przepis nie wspomina o warunku obywatelstwa Unii) i wiążą się z oferowaniem towarów lub usług tym osobom w Unii (nawet jeżeli za te towary lub usługi nie pobiera się wynagrodzenia) lub wiążą się z monitorowaniem zachowania tych osób – o ile do zachowania tego dochodzi w Unii.
Kwestia zakresu obowiązywania RODO nie jest więc tak oczywista, jak by się to mogło wydawać na pierwszy rzut oka i trzeba mieć na uwadze jego regulacje także w przypadku projektowania transakcji bądź procesów biznesowych z udziałem kontrahentów spoza Unii.
