RGPD se aplică doar operatorilor aflați pe teritoriul UE?

Conform art. 3 din RGPD, regulamentul se aplică prelucrării datelor cu caracter personal:

• în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii;

• ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

  • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau

  • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;

• de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

Concret, RGPD se aplică direct în toate statele membre, chiar și în cazul în care sediul operatorului de date nu se află pe teritoriul UE cu condiția ca bunurile sau serviciile operatorului să fie adresate cetățenilor UE. Prin urmare, nu contează locul unde sunt prelucrate datele cu caracter personal atâta timp cât sunt întrunite cerințele de mai sus.

Interpretări date de Curtea de Justiție a Uniunii Europene (CJUE)

În ceea ce privește sediul, CJUE în cauza C-230/14 (Weltimmo vs. NAIH), a reținut că noțiunea de sediu „înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată și se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într-o formă de instalare stabilă.”

Organizațiile care dețin birouri de vânzări pe teritoriul UE, prin intermediul cărora efectuează activități de promovare sau de publicitate/marketing care vizează rezidenții din UE, vor trebui să respecte prevederile RGPD având în vedere faptul că, așa cum a declarat CJUE în cauza C-131/12 (Google Spain SL, Google Inc. vs.(AEPD), Mario Costeja González), „o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într-un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru.”

Referitor la situația oferirii de bunuri sau servicii persoanelor vizate situate pe teritoriul UE, simpla accesare a unui site din interiorul UE nu este suficientă pentru a declanșa aplicabilitatea Regulamentului.  În acest sens, a se vedea cauzele conexate C-585/08 și C-144/09.