Krąg podmiotów zobligowanych do stosowania RODO jest bardzo szeroki. O konieczności stosowania RODO u przedsiębiorcy decyduje wyłącznie fakt przetwarzania przez niego danych osobowych.

Przetwarzaniem danych jest np. pobieranie i gromadzenie danych klientów w  postaci  imienia, nazwiska,  adresu poczty elektronicznej, numeru telefonu, adresu;  zbieranie i przechowywanie danych pracowników i kandydatów do pracy i klientów sklepu internetowego;  operacje z danymi pacjentów w szpitalu oraz  studentów na uczelni;  zbieranie bazy danych  w celu komunikacji z klientami, sprzedaży, reklamowania własnych produktów  i usług lub  wysyłki newsletteru, jak również  utrwalanie, modyfikowanie,  przeglądanie, ujawnianie, udostępnianie, usuwanie lub niszczenie tych danach.

Skoro te informacje są przechowywane w uporządkowany sposób, to w rozumieniu prawa są przetwarzane. W skutek tego powstaje  obowiązek dostosować się do przepisów o ochronie danych osobowych (Patrz artykuł: „Czy mała firma powinna chronić dane osobowe?”)

RODO ma bardzo szeroki zakres zastosowania – obowiązuje nie tylko unijnych przedsiębiorców ale również podmioty zagraniczne. RODO znajduje zastosowanie do przetwarzania danych osobowych przez:

1. administratora lub podmiot przetwarzający posiadających jednostkę organizacyjną na terenie UE, która przetwarza dane w związku z prowadzoną przez nią działalnością, niezależnie od tego, czy przetwarzanie odbywa się w Unii (ust.1 art.3 RODO).

Dla określenia zakresu zastosowania RODO nie ma znaczenia miejsce gdzie znajdują się środki techniczne za pomocą których są przetwarzane dane. Również nie ma znaczenia obywatelstwo osób, których dane osobowe są przetwarzane czy miejsce ich zamieszkania (motyw 14 RODO).  Dla stosowania przepisów RODO wystarczy, że  przetwarzanie danych ma związek z działalnością, którą podmiot  prowadzi w ramach zlokalizowanej w UE jednostki organizacyjnej.

2. administratora lub podmiot przetwarzający, którego jednostka organizacyjna znajduje się poza UE w związku z:

• oferowaniem osobom prywatnym  przebywającym  w Unii towarów lub usług  na terenie UE, niezależnie od tego, czy wymaga się od tych osób zapłaty (ust.2 art. 3 RODO),

Osoby fizyczne podlegają ochronie przysługującej im na mocy danego Rozporządzenia niezależnie od tego, czy oferowanie towarów lub usług pociąga  za sobą płatność.  Zgodnie z motywem 23 preambuły RODO dla stwierdzenia, że towary lub usługi mogą być oferowane na terenie UE, wystarczy posługiwanie się językiem lub walutą powszechnie stosowanymi w co najmniej jednym państwie członkowskim oraz możliwość zamówienia towarów i usług w tym języku lub wzmianka o klientach lub użytkownikach znajdujących się w Unii.

•  monitorowaniem zachowania osób przebywających na terenie UE (ust.2 art. 3 RODO),

W motywie 24 RODO wyjaśniono, że  za monitorowanie zachowania należy uznać obserwowanie osoby fizycznej w internecie oraz wykorzystywanie  zgromadzonych danych do profilowania tej osoby, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

3. jednostka organizacyjna znajduje się poza UE, ale posiada jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.

W motywie 25 RODO jako przykłady wskazane teren misji dyplomatycznej lub placówki konsularnej państwa członkowskiego, w literaturze również  - statki morskie i samoloty.

Podmioty, do których może mieć zastosowanie jedno z powyższych kryteriów powinni rozważyć, czy zobowiązane są do przestrzegania RODO. Przede wszystkim dotyczy to organizacje, które prowadzą  działalność polegającą  na międzynarodowym świadczeniu usług lub sprzedaży towarów oraz   globalne korporacje, działalność których  obejmuje również Europę. Dotyczy to również wszystkich przedsiębiorstw, które posiadają dane obywateli europejskich.

Jeżeli przedsiębiorstwa poza Europą chcą być godne zaufania klienta na rynku europejskim muszą dostosować się do wymogów RODO. Z kolei, efektywne wdrożenie odpowiednich rozwiązań w kwestii ochrony danych może być pozytywnym wyróżnikiem firmy na tle konkurencji.

RODO ma zasięg eksterytorialny, więc podmioty spoza UE, które dotychczas mogły uniknąć stosowania unijnych przepisów dotyczących przetwarzania danych osobowych powinni spełnić wielu nowych obowiązków, np. obowiązki związane z   przekazaniem danych poza Europejski Obszar Gospodarczy (patrz: Transfer danych osobowych poza Europejski Obszar Gospodarczy  i Transfer danych do Wielkiej Brytanii). 

Ponadto na podstawie ust. 1 art. 27 RODO podmioty te mogą być dodatkowo zobowiązane do powołania swojego przedstawiciela w UE. 

Oznacza to, że podmioty zagraniczne, których siedziba i infrastruktura znajdują się poza UE, przetwarzające dane  osób prywatnych przebywających  w Unii  nie mogą ignorować unijnych regulacji prawnych ponieważ  sankcje za naruszenie przepisów RODO tez je dotyczą.

Każdy podmiot więc jest zobowiązany do stałego monitorowania swojej polityki w zakresie ochrony danych i technologii oraz sprawdzania czy są one zgodne z obowiązującymi przepisami.

Olga Sklyarova, specjalista ds. ochrony danych osobowych, audytor JDS Consulting