Czy RODO chroni tylko dane osobowe obywateli UE?

Kwestia wydaje się pozornie oczywista. Skoro RODO jest aktem prawnym Unii Europejskiej, to zapewne dotyczy tylko danych osobowych jej obywateli. Uważna jednak lektura tego aktu prawnego prowadzi do wniosku, że w jego treści nigdzie nie pojawia się odniesienie do obywatelstwa UE jako warunku ochrony.

Już w motywie 2 RODO czytamy, że:

Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych nie mogą – niezależnie od obywatelstwa czy miejsca zamieszkania takich osób – naruszać ich podstawowych praw i wolności, w szczególności prawa do ochrony danych osobowych.

Z kolei motyw 14 RODO stanowi, że:

Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych.

Przetwarzanie na terytorium UE

Jeżeli więc do przetwarzania dochodzi w UE, nie ma żadnych podstaw do różnicowania sytuacji osób, których dane dotyczą – RODO podlegają więc także dane obywateli tzw. państw trzecich. Co więcej, RODO w pewnym sensie wymusza swoją właściwość także w przypadku przetwarzania danych, które przeprowadzane jest poza Unią. Zgodnie bowiem z art. 2 rozporządzenia, ma ono zastosowanie do przetwarzania danych, które pozostaje w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie to odbywa się w Unii.

Przetwarzanie poza terytorium UE

Nawet jednak, jeżeli dany podmiot (administrator albo podmiot przetwarzający) nie posiada jednostek organizacyjnych w Unii, to jest obowiązany stosować RODO, jeżeli podejmowane przezeń czynności przetwarzania dotyczą danych osób przebywających w Unii (przepis nie wspomina o warunku obywatelstwa Unii) i wiążą się z oferowaniem towarów lub usług  tym osobom w Unii (nawet jeżeli za te towary lub usługi nie pobiera się wynagrodzenia) lub wiążą się z monitorowaniem zachowania tych osób – o ile do zachowania tego dochodzi w Unii.

Kwestia zakresu obowiązywania RODO nie jest więc tak oczywista, jak by się to mogło wydawać na pierwszy rzut oka i trzeba mieć na uwadze jego regulacje także w przypadku projektowania transakcji bądź procesów biznesowych z udziałem kontrahentów spoza Unii.