DPIA – Beneficiile evaluării de impact

Scriam într-un articol precedent faptul că și în situațiile în care unii operatori nu sunt obligați să efectueze evaluarea de impact, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Principalele beneficii ale întocmirii DPIA (Data Protection Impact Assessment)

  • ajută organizația să implementeze toate măsurile necesare pentru a asigura respectarea RGPD;
  • reprezintă un mijloc eficient de dovedire a respectării prevederilor RGPD atunci când Autoritatea de supraveghere solicită informații în aceste sens;
  • contribuie la îmbunătățirea transparenței în activitatea de prelucrare a datelor cu caracter personal;
  • se va îmbunătăți modul în care organizația va folosi informațiile confidențiale;
  • în cazul în care DPIA  se va publica, va ajuta organizația să-și consolideze poziția de operator de încredere;
  • prin identificarea din timp a eventualelor probleme, poate aduce avantaje financiare deoarece rezolvarea unei probleme descoperite din timp este mai puțin costisitoare;
  • întocmirea DPIA ajută la creșterea conștientizării organizației asupra importanței confidențialității și a protejării datelor cu caracter personal.

Dacă doriți să aflați mai multe despre RGPD puteți accesa articolele postate pe pagina dedicată protecției datelor sau, dacă aveți întrebări, ni le puteți adresa folosind pagina de contact.

Evaluarea de impact – Recomandări

Chiar dacă reglementarea evaluării de impact nu este detaliată în RGPD, așa cum scriam într-un articol anterior, Grupul de lucru „Articolul 29” explică reglementarea sumară în scopul unei mai bune aplicări a Regulamentului. Pe lângă explicații, mai oferă și recomandări menite a ajuta operatorii să aplice noua reglementare. În cele ce urmează vom sumariza unele dintre recomandările referitoare la evaluarea de impact (DPIA).

Necesitatea revizuirii DPIA

Deși Regulamentul nu prevede expres, Grupul de lucru „Articolul 29” recomandă ca bună practică revizuirea continuă și reevaluarea regulată a DPIA.

Monitorizarea activităților de prelucrare

Se recomandă ca, în practică, operatorii să evalueze continuu riscurile create de activitățile lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Utilitatea DPIA

Chiar dacă unii operatori nu se încadrează în situațiile în care obligativitatea întocmirii DPIA este evidentă, Grupul de Lucru „Articolul 29” recomandă efectuarea acesteia. Motivul acestei recomandări este acela că DPIA este un instrument util operatorilor de date pentru respectarea legislației privind protecția datelor.

Publicitatea DPIA

Printre bunele practici recomandate de Grupul de lucru „Articolul 29” se numără și publicarea DPIA de către operator atunci când membrii publicului sunt afectați de operațiunea de prelucrare, mai ales în cazul în care operatorul este o autoritate publică.

DPIA – Evaluarea impactului asupra protecției datelor: Q & A

În rândurile următoare vă prezentăm răspunsurile la unele dintre cele mai întâlnite întrebări referitoare la evaluarea impactului asupra protecției datelor (DPIA).

Q: Ce este DPIA?

A: DPIA este un proces destinat să:

  • descrie prelucrarea de date cu caracter personal;

  • evalueze necesitatea și proporționalitatea prelucrării;

  • contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate (prin evaluarea riscurilor și stabilirea de măsuri pentru atenuarea lor).

Q: DPIA pentru o singură operațiune de prelucrare sau pentru toate operațiunile?

A: DPIA se poate întocmi doar pentru o singură operațiune de prelucrare sau pentru multiple operațiuni de prelucrare similare și care prezintă riscuri ridicate similare. În general, DPIA se întocmește atunci când operatorul decide să desfășoare un nou proiect sau când intervine o modificare a tehnologiilor folosite în activitatea de prelucrare.

Q: DPIA este obligatorie?

A: În principiu, da. Dacă operațiunea de prelucrare se încadrează într-o excepție arătată mai jos, DPIA este obligatorie în toate cazurile în care o operațiune de prelucrare este „susceptibilă să genereze un risc ridicat”.

Q: Care sunt excepțiile de la întocmirea DPIA?

A: DPIA nu este obligatorie atunci când:

  • prelucrarea nu este „susceptibilă să genereze un risc ridicat”;

  • există DPIA similară sau când ea a fost autorizată anterior lunii mai 2018;

  • există un temei legal al prelucrării.

Q: Ce se înțelege prin „ risc ridicat”

A: O operațiune de prelucrare este susceptibilă să genereze „riscuri ridicate” atunci când:

  • presupune o evaluare sistematică și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

  • se face o prelucrare pe scară largă a unor categorii speciale de date sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

  • se face o monitorizare sistematică pe scară largă a unei zone accesibile publicului.

În practică, Grupul de lucru Articolul 29 recomandă ca operatorii să evalueze în mod continuu riscurile create de activităților lor de prelucrare pentru a identifica momentul în care un tip de prelucrare „ar putea duce la un risc ridicat pentru drepturile și libertățile persoanelor fizice”.

Q: Când se efectuează DPIA?

A: DPIA trebuie realizată „anterior prelucrării” întrucât este un instrument destinat să ajute la luarea deciziilor cu privire la prelucrare.

Q: Pentru operațiunile de prelucrare existente mai este necesară?

A: Doar în situația în care operațiunile de prelucrare existente pot conduce la un risc ridicat pentru drepturile și libertățile persoanelor fizice, și pentru care s-a produs o schimbare a riscurilor, luând în considerare natura, obiectivul, contextul și scopurile prelucrării.

Q: Care sunt caracteristicile minime ale DPIA?

A: DPIA trebuie să conțină informații cu privire la:

  • Descrierea prelucrării preconizate (tipul de operațiuni și scopul prelucrării);

  • Evaluarea necesității și proporționalității;

  • Evaluarea riscurilor pentru drepturile și libertățile persoanelor vizate;

  • Măsurile preconizate pentru abordarea riscurilor;

  • Documentare;

  • Monitorizare și revizuire.

Dacă aveți alte întrebări sau dacă aveți nevoie de lămuriri, vă rugăm să folosiți pagina noastră de contact.

RGPD și certificarea în conformitate cu ISO27001

Ce este ISO / IEC 27001?

Standardul ISO/IEC 27001:2013 este un standard internațional de securitate a informației și constă într-o specificație pentru sistemul de management al securității informației (SMSI).

Structura standardului include:

  1. Domeniul de aplicare a standardului,

  2. Modalitatea în care se efectuează referințe în documente,

  3. Reutilizarea termenilor și definițiilor din ISO/IEC 27000,

  4. Context organizațional și părțile interesate,

  5. Sprijin la nivelul cel mai înalt al conducerii pentru securitatea informației și politica organizației,

  6. Planificarea unui sistem de management al securității informației; evaluarea riscurilor; tratarea riscului,

  7. Sprijinirea unui sistem de management al securității informației,

  8. Realizarea unui sistem de management al securității informației operaționale,

  9. Revizuirea performanței sistemului,

  10. Acțiune corectivă.

Prin ce poate ajuta certificarea ISO27001

Elementele relevante ale standardului ISO27001 care pot ajuta companiile să faciliteze implementarea RGPD sunt următoarele:

  • evaluarea riscurilor;

  • conformitatea;

  • înștiințarea privind încălcarea protecției datelor;

  • managementul datelor cu caracter personal;

  • abordarea privacy by design;

  • protejarea datelor personale în relația cu furnizorii.

Certificarea în conformitate cu ISO / IEC 27001 nu este suficientă

Cu toate că ISO27001 ajută la implementarea RGPD, există unele cerințe ale regulamentului care nu sunt acoperite în mod direct de acest standard, cum ar fi dreptul persoanelor vizate:

  • de a fi informate asupra colectării;

  • la ștergerea datelor;

  • la portabilitatea datelor.

Prin urmare, chiar dacă un operator deține certificarea în conformitate cu ISO / IEC 27001, aceasta nu înseamnă că activitatea sau organizarea acestuia este în conformitate cu prevederile RGPD.

DPO – Independență. Conflict de interese

Am scris pe acest blog despre nivelul de expertiză și calitățile profesionale ale responsabilului cu protecția datelor. Pe lângă aceste aspecte, este foarte important de știut că responsabilul cu protecția datelor trebuie să fie independent și să nu se afle în conflict de interese.

Prevederile legale din RGPD

Astfel, în cuprinsul considerentului nr. 97 se prevede că „Acești responsabili cu protecția datelor, indiferent dacă sunt sau nu angajați ai operatorului, ar trebui să fie în măsură să își îndeplinească atribuțiile și sarcinile în mod independent.”

În ceea ce privește conflictul de interese, articolul nr. 38 alin. (6) precizează că atribuțiile responsabilului cu protecția datelor trebuie să nu genereze un conflict de interese în situația în care acesta îndeplinește și alte sarcini și atribuții în cadrul organizației.

Având în vedere aceste prevederi, se pune următoarea întrebare: cum ne putem da seama că responsabilul cu protecția datelor este independent și deci, nu se află în conflict de interese?

Lămuriri ale Grupului de lucru „Articolul 29”

Regulamentul nu oferă astfel de exemple. Pentru astfel de situații, șa cum ne-am obișnuit, Grupul de lucru „Articolul 29” ne oferă unele indicii precizând că nu sunt candidați potriviți pentru poziția de DPO persoanele cu funcții de conducere superioare, cum ar fi director executiv, director operațional, director financiar, șeful serviciului medical, șeful departamentului de marketing, șef departamentului de resurse umane sau șeful departamentului IT), dar, în același timp, și alte funcții inferioare dacă acestea conduc la posibilitatea de a stabili scopurile și mijloacelor de prelucrare.

Mai mult, se arată că un conflict de interese poate apărea de exemplu, în situația în care un DPO extern este rugat să reprezinte operatorul sau persoana împuternicită de operator în instanță, în cazurile care implică probleme de protecție a datelor.

Practica Autorității pentru Protecția Datelor din Bavaria pentru sectorul privat

Deși ne oferă unele indicii despre cum să procedăm la numirea responsabilului cu protecția datelor, opinia Grupului de lucru „Articolul 29” este orientativă, autoritățile de supraveghere putând avea o opinie mai restrictivă. De exemplu, Autoritatea pentru Protecția Datelor din Bavaria pentru sectorul privat a precizat într-un raport de activitate că membrii departamentului juridic pot, în anumite cazuri, să fie în conflict de interese care să îi descalifice să acționeze ca DPO. Conform celor menționate în raport, în cazul în care consilierul juridic poate reprezenta societatea într-o procedură legală (în special în ceea ce privește acțiunile în justiție împotriva angajaților sau a clienților, care pot include aspecte legate de protecția datelor personale), consilierul juridic este supus unui conflict de interese și, prin urmare, nu este independent.

În practică se pot întâlni o multitudine de situații care pot fi asimilate ca situații de incompatibilitate sau conflict de interese. Rămâne să vedem și punctul de vedere al ANSPDCP atunci când va fi exprimat.

RGPD. Informarea persoanei vizate – principalele puncte de atins

Ca și în legislația actuală din materia protecției datelor personale, prin RGPD s-a prevăzut obligația informării persoanei vizate la momentul preluării consimțământului său cu privire la numeroase aspecte. Însă spre deosebire de prezent, RGPD subliniază o importanță crescută a acestei informări și instituie informații suplimentare de comunicat către cei cărora operatorii le prelucrează datele.

1. Informații despre prelucrarea datelor: scop, temei, perioadă, transfer

Operatorii trebuie să ofere persoanelor vizate detalii cu privire la scopul prelucrării și temeiul prelucrării (dacă acesta nu este consimțământul, dar este de exemplu un contract). Dacă operatorul dorește să folosească datele în alt scop decât cel inițial, el trebuie să informeze persoana vizată și să îi ceară consimțământul, dacă este necesar.

De asemenea, trebuie comunicate informații cu privire la perioada prelucrării și ce se întâmplă cu datele la finalul acesteia, dar și cu privire la logica de prelucrare automată a datelor.

În situația în care datele sunt transferate și unei alte persoane, această informație trebuie adusă la cunoștința persoanei vizate, împreună cu motivul transferului și identitatea destinatarului lor.

2. Drepturile persoanei vizate

Este foarte important ca persoanei vizate să i se comunice drepturile pe care le are conform legislației, iar dintre acestea amintim: dreptul de acces la date, de rectificare a lor, de ștergere a acestora, de a se opune prelucrării, de portabilitate a datelor, de a fi informată cu privire la încălcări ale legii.

Mai multe despre drepturile persoanei vizate vom scrie într-un articol ulterior, dată fiind importanța lor semnificativă,

3. Dreptul de a se opune prelucrării în scop de marketing direct

Regulamentul dă o importanță sporită prelucrării datelor în scop de marketing direct și creării de profiluri legate de marketingul direct, instituind obligația de a informa separat și în mod expres persoana vizată că are dreptul de a se opune la o astfel de prelucrare și creare de profiluri.

Totodată, trebuie informate persoanele vizate despre consecințele prelucrării, în special dacă prelucrarea se bazează pe crearea de profiluri.

4. Dreptul de a formula plângeri și cereri. Datele de identificare ale operatorului și autorității naționale

Persoana vizată trebuie să știe că are dreptul de a formula plângere împotriva modului în care i se prelucrează datele ori împotriva oricărei acțiuni ce încalcă RGPD. Plângerea se poate înainta atât operatorului, cât și autorității naționale.

De asemenea, persoana vizată are dreptul de a formula cereri în exercitarea drepturilor sale prevăzute la punctul 2.

Operatorul trebuie să răspundă oricărei cereri sau plângeri primite de la persoana vizată în maximum o lună, conform RGPD.

Operatorul trebuie să informeze persoana vizată cu privire la datele sale de identificare și de contact, dar și cu privire la datele de identificare și de contact ale autorității naționale – în cazul nostru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Excepții de la obligativitatea informării

RGPD prevede și excepții de la obligativitatea informării persoanelor vizate cu privire la cele de mai sus în următoarele cazuri:

  1. persoanele vizate dețin deja informațiile respective;
  2. înregistrarea sau divulgarea datelor e prevăzută în mod expres de lege;
  3. informarea persoanelor vizate se dovedește imposibilă;
  4. informarea persoanelor vizate ar implica eforturi disproporționate.

Nu lăsați pe ultima sută de metri implementarea măsurilor prevăzute de RGPD, așa că ne puteți contacta aici pentru mai multe detalii.

O nouă victorie împotriva Kruk și un nou punct slab al societății de recuperări creanțe

Anul 2018 a început cum nu se poate mai bine: cu o victorie în instanță.

Astfel, la început de an l-am reprezentat pe unul dintre clienții noștri în fața instanței de judecată într-un proces de contestație la executare silită, executare începută de compania de recuperări creanțe Kruk România (în reprezentarea companiei Secapital S.A.R.L.).

Studiind întâmpinarea formulată de compania de recuperări am observat ceva ciudat, respectiv faptul că semnătura aplicată pe întâmpinare părea a fi nenaturală. Așa am constatat că nu numai că era nenaturală, dar ea nu era reală. Ceea ce părea a fi o semnătură era în fapt aplicarea unei semnături scanate pe ultima pagină a întâmpinării.

Astfel, am invocat în fața instanței de judecată acest aspect, iar aceasta a constatat pe loc faptul ca semnătura era formată din pixeli și nu din cerneală, astfel încât a anulat întâmpinarea ca fiind nesemnată. Ca atare, compania de recuperări a fost decăzută din toate drepturile conferite de lege ce puteau fi exercitate numai prin întâmpinare și anume din dreptul de a mai propune probe sau a mai invoca excepții.

Prin urmare, invităm toți debitorii care se judecă în instanță cu societățile de recuperare creanțe, în special Kruk România, să analizeze aspectul semnăturii aplicate pe documentele emise de acestea, deoarece orice document nesemnat corespunzător este unul nul.

Cunoaștem cu toții că la astfel de societăți se lucrează la foc continuu, pentru ele fiind importantă cantitatea, iar nu calitatea lucrărilor, astfel încât pentru a mai diminua din timpul petrecut cu ele probabil au născocit această variantă, sperând că nu va verifica nimeni.

Și totuși, iată că noi am verificat și suntem mândri să fi câștigat o nouă bătălie împotriva Kruk România.

Vă așteptăm și pe dvs. la noi pentru a discuta despre problemele cu care vă confruntați și pentru a găsi împreună calea spre succes! Ne puteți contacta aici.

 

PFA – Activități interzise

PFA – reglementare generală pentru persoanele fizice

Mulți dintre voi cunosc faptul că desfășurarea activităților economice de către persoanele fizice autorizate (PFA), întreprinderile individuale (II) și întreprinderile familiale (IF) este reglementată de către O.U.G. nr. 44/2008.

Acest act normativ reglementează:

  • accesul la activităţile economice din economia naţională astfel cum sunt prevăzute în Codul CAEN;
  • procedura de înregistrare în registrul comerțului;
  • procedura de autorizare a funcționării;
  • regimul juridic al persoanelor fizice autorizate să desfășoare activități economice, precum şi al întreprinderilor individuale și familiale.

Totuși, există o serie de profesii sau ocupații care nu se pot desfășura în baza O.U.G. nr. 44/2008. Conform art. 1 al ordonanței, aceasta nu se aplică:

  • profesiilor liberale;
  • activităților economice a căror desfășurare este organizată și reglementată prin legi speciale;
  • activităților economice pentru care, prin lege, sunt instituite anumite restricții de desfășurare ori alte interdicții;
  • activităților interzise expres prin lege pentru libera inițiativă.

Activități interzise

În cele ce urmează vom prezenta lista profesiilor sau ocupațiilor a căror desfășurare nu se poate realiza în formele prevăzute de O.U.G. nr. 44/2008:

Pază și protecție

  • agent de pază/gardă de corp;
  • detectiv particular.

Evaluare / audit

  • auditor financiar;
  • evaluator autorizat;
  • expert contabil/criminalist/tehnic judiciar/extrajudiciar.

Medicină / farmacie

  • farmacist;
  • fizio-kinetoterapeut;
  • asistent medical generalist;
  • asistent medical;
  • logoped;
  • moașă;
  • optician-optometrist;
  • medic/dentist/veterinar;
  • practician în medicină complementară/alternativă;
  • psiholog.

Traducere și interpretariat

  • traducător / interpret autorizat de ministerul justiție;
  • interpret limbaj mimico – gestual.

Asistență socială

  • asistent maternal;
  • asistent social.

Arhitectură/construcții

  • arhitect;
  • auditor energetic pentru clădiri;
  • diriginte de șantier;
  • geodez;
  • proiectant drum forestier;
  • specialist în domeniul amenajării teritoriului și urbanismului;
  • instalator autorizat pentru activități de proiectare, execuție și exploatare în domeniul gazelor naturale.

Consultanță juridică/fiscală

  • avocat;
  • notar public;
  • practician în insolvență;
  • mediator;
  • consilier de probațiune;
  • consilier juridic;
  • consilier în proprietate industrială;
  • consultant fiscal;
  • contabil autorizat;
  • executor judecătoresc;
  • sociolog.

Tehnic

  • mecanic de locomotivă;
  • pilot aviația civilă;
  • pompier civil (personal de specialitate cu atribuții în domeniul apărării împotriva incendiilor);
  • scoală de conducători auto;
  • chimist/biochimist în sistemul sanitar;
  • restaurator;
  • conservator;
  • tehnician de proteze și orteze/de proteze auditive/de aparatură medicală.

Dacă aveți neclarități sau doriți mai multe detalii despre înființarea și funcționarea unui PFA, puteți folosi adresa noastră de contact.

RGPD – Cine trebuie să desemneze un responsabil cu protecția datelor? (II – Activitățile principale)

Dintre noțiunile menționate în articolul anterior, cea pe care o vom analiza în acest articol este noțiunea de ”activități principale”.

Activitățile principale

RGPD nu definește activitățile principale în mod expres, însă le găsim menționate în considerentul nr. 97: „În sectorul privat, activitățile principale ale unui operator se referă la activitățile sale de bază, și nu la prelucrarea datelor cu caracter personal drept activități auxiliare.

A.N.S.P.D.C.P. ne informează că „Pentru a stabili activitatea principală desfășurată de un operator sau împuternicit, aceasta trebuie analizată prin raportare la prelucrările de date cu caracter personal efectuate.

Conform Instrucțiunilor Grupului de lucru „Articolul 29” activitățile principale pot fi considerate ca operațiuni cheie necesare pentru îndeplinirea obiectivelor operatorului sau persoanei împuternicite de operator. Din cuprinsul acestora nu pot fi excluse acele activități în care prelucrarea datelor reprezintă o parte indisolubilă a activității operatorului sau persoanei împuternicite de operator.

Astfel, în exemplul oferit de Grupul de lucru „Articolul 29”, prelucrarea datelor privind starea de sănătate (dosarele medicale ale pacienților) ar trebui să fie considerată a fi una dintre activitățile principale în orice spital.

Pentru a ne ajuta să distingem între tipurile de activități și să identificăm mai ușor activitățile principale în sensul RGPD, le putem compara cu activitățile auxiliare, ce sunt definite de către Grupul de lucru „Articolul 29” astfel: funcții de sprijin necesare pentru activitatea de bază sau principală a organizației cum ar fi plata angajaților lor sau deținerea de activități standard de suport IT.

Studiu de caz

Analizând definițiile și informațiile menționate anterior, putem lua ca exemplu un magazin online. Deși activitatea principală prevăzută în actul constitutiv al societății este comerțul cu amănuntul prin intermediul caselor de comenzi sau prin internet, din perspectiva RGPD activitatea principală include și prelucrarea datelor clienților săi care și-au creat un cont pe site-ul magazinului și au achiziționat produsele vândute de acesta. Explicația constă în faptul că operatorul (magazinul online) nu ar putea vinde produsele sale fără a colecta datele personale ale clienților.

RGPD – Domeniul teritorial de aplicare

RGPD se aplică doar operatorilor aflați pe teritoriul UE?

Conform art. 3 din RGPD, regulamentul se aplică prelucrării datelor cu caracter personal:

  • în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii;

  • ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

    • oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată; sau

    • monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii;

  • de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

Concret, RGPD se aplică direct în toate statele membre, chiar și în cazul în care sediul operatorului de date nu se află pe teritoriul UE cu condiția ca bunurile sau serviciile operatorului să fie adresate cetățenilor UE. Prin urmare, nu contează locul unde sunt prelucrate datele cu caracter personal atâta timp cât sunt întrunite cerințele de mai sus.

Interpretări date de Curtea de Justiție a Uniunii Europene (CJUE)

În ceea ce privește sediul, CJUE în cauza C-230/14 (Weltimmo vs. NAIH), a reținut că noțiunea de sediu „înlătură orice abordare formalistă conform căreia o întreprindere ar fi stabilită exclusiv în locul în care este înmatriculată și se extinde la orice activitate reală și efectivă, chiar minimă, exercitată într-o formă de instalare stabilă.”

Organizațiile care dețin birouri de vânzări pe teritoriul UE, prin intermediul cărora efectuează activități de promovare sau de publicitate/marketing care vizează rezidenții din UE, vor trebui să respecte prevederile RGPD având în vedere faptul că, așa cum a declarat CJUE în cauza C-131/12 (Google Spain SL, Google Inc. vs.(AEPD), Mario Costeja González), „o prelucrare a datelor cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului pe teritoriul unui stat membru, în sensul acestei dispoziții, în cazul în care operatorul unui motor de căutare înființează într-un stat membru o sucursală sau o filială destinată promovării și vânzării spațiului publicitar de pe pagina acestui motor, a cărei activitate este orientată către locuitorii acelui stat membru.”

Referitor la situația oferirii de bunuri sau servicii persoanelor vizate situate pe teritoriul UE, simpla accesare a unui site din interiorul UE nu este suficientă pentru a declanșa aplicabilitatea Regulamentului.  În acest sens, a se vedea cauzele conexate C-585/08 și C-144/09.