O jurisdicție a internetului: aplicarea teritorială a prevederilor RGPD în contextul platformelor digitale

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

Dar ce înseamnă exercitare efectivă și reală? CEPD aduce lumină acestei sintagme și recomandă a se efectua o analiză concretă cu luarea în considerare a tuturor factorilor relevanți pentru a determina dacă există suficiente elemente pentru a ajunge la concluzia că ne aflăm în situația unei exercitări efective și reale^[21], respectiv că ne aflăm în situația unui sediu. Potrivit CEPD, interpretarea nu ar trebui realizată nici într-un sens prea restrictiv, nici într-un sens prea extins^[22]. CEPD arată că simpla prezența a unui angajat în Uniune nu este suficientă pentru a determina aplicarea RGPD^[23], iar CJUE, în Verein fur Konsumenteninformation^[24], a precizat că „un asemenea sediu nu poate exista ca urmare a simplului fapt că site-ul internet al întreprinderii în cauză este accesibil acolo”^[25]. CEPD explică astfel: „Cu toate acestea, întreprinderile își pot organiza activitatea în numeroase moduri și există diverse modele de afaceri. Fiecare caz trebuie evaluat pe baza elementelor proprii, ținându-se seama de particularitățile sale. Ar fi eronat să se interpreteze hotărârea CJUE într-un sens prea larg și să se ajungă la concluzia că absolut toate sediile care cea mai mică legătură cu activitățile de prelucrare a datelor vor determina aplicarea legislației UE13. În egală măsură, ar fi eronat să se interpreteze hotărârea în linii prea restrictive, aplicând-o exclusiv modelului de afaceri specific operatorilor de motoare de căutare”^[26].
Cu toate acestea, dacă există mai multe elemente relevante care împreună conduc la concluzia că există o activitate efectivă și reală, ne putem afla în situația unui sediu.
De exemplu, în Weltimmo^[27], CJUE a stabilit că o societate cu sediul social în Slovacia, are un sediu în înțelesul legislației privind protecția datelor în Ungaria deoarece a desfășurat o activitate efectivă și reală prin „exploatarea unuia sau a mai multe site-uri internet de anunțuri imobiliare privind bunuri situate în Ungaria, care sunt redactate în limba maghiară”[br_fnoteUP28].
Un alt exemplu este cauza Google Spain^[28], unde CJUE a precizat că ne aflăm în prezența unui sediu atunci când o sucursală sau o filială a Google din Franța este destinată să asigure promovarea și vânzarea spațiilor publicitare^[29] propuse Google și a cărei activitate este orientată către locuitorii acestui stat membru^[30]. Și cu privire la Facebook, CJUE a avut aceeași opinie arătând, în cauza Wirtschaftsakademie Schleswig-Holstein^[31], faptul că „în cazul de față, este cert că Facebook Inc., ca operator care prelucrează date cu caracter personal împreună cu Facebook Ireland, dispune de un sediu stabil în Germania, și anume Facebook Germany, situat la Hamburg, și că această din urmă societate exercită în mod real și efectiv activități în statul membru menționat. În consecință, ea constituie un sediu”^[32].
Cu privire la exemplele de mai sus, în doctrină s-a arătat că interpretarea teleologică a noțiunii de sediu „reprezintă o provocare pentru modelele de afaceri ale multor companii din afara UE, în special SUA, companii care își stabilesc o prezență formală, iar nu una operațională în Irlanda pentru a vinde bunuri sau a furniza servicii în toată Europa, acest model funcționând în ultimii 20 de ani, dar încetând să funcționeze odată cu verdictul în cauza Google Spain”^[33].

***

CEPD recomandă ca analiza pentru a determina dacă ne aflăm sau nu în prezența unui sediu să fie realizată prin prisma jurisprudenței relevante^[34] și oferă, cu titlu de exemplu, doi factori care ar trebui luați în calcul, respectiv relația dintre compania din afara Uniunii și sediul său din Uniune și încasarea de venituri din Uniune.
Cu privire la primul factor, CEPD arată că o relație de dependență^[35] între activitățile de prelucrare din Uniune și cele din afara Uniunii ale companiei (operator sau persoană împuternicită) este un element semnificativ în determinarea sediului în înțelesul RGPD^[36]. Cu privire la cel de al doilea factor, arată că încasarea de venituri în Uniune de către compania din afara UE „în măsura în care această activitate poate fi considerată ca „indisociabil legată” de prelucrarea datelor cu caracter personal în afara Uniunii a persoanelor fizice din UE, poate indica prelucrarea de către un operator sau o persoană împuternicită de un operator din afara UE „în cadrul activităților sediului din UE” și poate fi suficientă pentru a determina aplicarea legislației UE în cazul acestei prelucrări”^[37].
În concluzie, în situațiile în care companiile-mamă din afara Uniunii au filiale, sucursale, agenții, reprezentanțe pe teritoriul Uniunii, în conformitate cu regulile enunțate mai sus, cu jurisprudența CJUE și recomandările CEPD, RGPD se va aplica direct companiei-mamă, iar amenda, în situația unei investigații, se va stabili, în conformitate cu art. 83 din RGPD, la cifra de afaceri totală mondială.
Cu toate acestea, pot exista cazuri în care RGPD se aplică companiilor din afara UE inclusiv în situațiile în care nu au un sediu stabilit în Uniune, așa cum vom arăta în secțiunile următoare.

3. Oferirea de bunuri și servicii

Art. 3 alin. (2) lit. a) prevede că RGPD se aplică organizațiilor care nu au un sediu în Uniune dacă acestea oferă bunuri sau servicii unor persoane vizate din Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți. Cu alte cuvinte, RGPD se aplică și companiilor care oferă servicii și produse gratuite. Mai mult decât atât, acestor companii li se aplică și legislația internă a statelor membre în situațiile în care există prevederi diferite față de RGPD^[38] și trebuie să desemneze, în conformitate cu art. 27 din RGPD, un reprezentant în UE.
Deși în doctrină s-a afirmat că nu este clar dacă RGPD se aplică, în această situație și raporturilor B2B^[39], în opinia noastră, RGPD se va aplica chiar dacă serviciile sunt oferite către persoane juridice deoarece ar fi dificil de imaginat desfășurarea de acte de comerț cu persoanele juridice fără a intra în legătură cu cel puțin o persoană fizică (angajat, reprezentant etc.)^[40] din cadrul companiei ale cărei date trebuie prelucrate pentru a intra în contact (i.e. adresă de e-mail, număr de telefon).

^[21] CEPD, op. cit. supra n. 12, p. 6-7.

^[22] Idem, p. 8.

^[23] Idem, p. 7.

^[24] CJUE, Cauza C-191/15, hot. cit. supra n. 17.

^[25] Idem, pct. 76.

^[26] Grupul de Lucru „Articolul 29” pentru Protecția Datelor, Actualizarea Avizului nr. 8/2010 privind dreptul aplicabil în urma hotărârii Curții de Justiție a Uniunii Europene în cauza Google Spain, adoptat la 16 decembrie 2015, Bruxelles, p. 5.

^[27] CJUE, cauza C-230/14, hot. cit. supra n. 18.

^[28] Idem, pct. 32.

^[29] CJUE, cauza C-131/12, Google Spain și Google, hotărârea din 13 mai 2014, ECLI:EU:C:2014:317.

^[30] „Astfel, în asemenea împrejurări, activitățile operatorului motorului de căutare și cele ale sediului său situat în Uniune sunt indisolubil legate din moment ce activitățile referitoare la spațiile publicitare constituie mijlocul de a asigura rentabilitatea din punct de vedere economic a motorului de căutare în cauză, iar acest motor este, în același timp, mijlocul care permite realizarea acestor activități, întrucât afișarea listei de rezultate este însoțită, pe aceeași pagină, de afișarea publicității legate de termenii de căutare”, idem, pct. 56-57.

^[31] Idem, pct. 60.

^[32] CJUE, cauza C-210/16, hot. cit. supra n. 17.

^[33] Idem, pct. 55.

^[34] P. de Hert, M. Czerniawski, Expanding the European data protection scope beyond territory: Article 3 of the General Data Protection Regulation in its wider context, International Data Privacy Law, 2016, Vol. 6, Nr. 3, p. 234.

^[35] CEPD, op. cit., supra n. 12, p. 5.

^[36] „Activitățile de prelucrare a datelor desfășurate de un operator de date sau de o persoană împuternicită de un operator stabilit(ă) în afara UE pot fi indisociabil legate de activitățile unui sediu local dintr-un stat membru și, prin urmare, pot determina aplicabilitatea legislației UE, chiar dacă sediul local respectiv nu are efectiv niciun rol în prelucrarea datelor în sine. Dacă o analiză de la caz la caz bazată pe fapte arată că există o legătură indisociabilă între prelucrarea datelor cu caracter personal efectuată de un operator sau o persoană împuternicită de un operator din afara UE și activitățile unui sediu din UE, legislația UE se aplică prelucrării efectuate de entitatea din afara UE indiferent dacă sediul din UE are sau nu un rol în prelucrarea datelor în cauză”, idem, p. 8.

^[37] Pentru a înțelege această relație de dependență, CEPD oferă următorul exemplu: „Un site de comerț electronic este operat de o companie cu sediul în China. Activitățile de prelucrare a datelor cu caracter personal efectuate de companie se realizează exclusiv în China. Compania chineză a înființat un birou european la Berlin pentru a organiza și desfășura campanii de prospectare comercială și de marketing pentru piețele UE. În acest caz, se poate considera că activitățile biroului european de la Berlin sunt indisociabil legate de prelucrarea datelor cu caracter personal desfășurată de site-ul chinez de comerț electronic, în măsura în care campania de prospectare comercială și de marketing pentru piețele UE contribuie în special la creșterea profitabilității serviciului oferit de site-ul de comerț electronic. Prelucrarea de către compania chineză a datelor cu caracter personal privind vânzările din UE este într-adevăr legată indisociabil de activitățile realizate de biroul european din Berlin în cadrul campaniei de prospectare comercială și de marketing pentru piața UE. Astfel, se poate considera că prelucrarea de către compania chineză a datelor cu caracter personal privind vânzările din UE se desfășoară în cadrul activităților biroului european, care este un sediu pe teritoriul Uniunii. Prin urmare, această activitate de prelucrare a companiei chineze face obiectul dispozițiilor RGPD în temeiul articolului 3 alineatul (1)”, idem, p. 9.

^[38] CEPD, op. cit., supra n. 12, p. 8-9.

^[39] „Diferențele dintre dispozițiile privind protecția datelor aplicabile în fiecare stat membru sunt deosebit de vizibile în cazul dispozițiilor articolului 8 (care prevede că vârsta la care copiii își pot exprima în mod valabil consimțământul pentru prelucrarea datelor lor de către serviciile societății informaționale poate să fie cuprinsă între 13 și 16 ani), ale articolului 9 (în ceea ce privește prelucrarea categoriilor speciale de date), ale articolului 23 (restricții) sau ale dispozițiile cuprinse în capitolul IX din RGPD (libertatea de exprimare și de informare, accesul public la documente oficiale, numărul de identificare național, contextul ocupării unui loc de muncă, prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, confidențialitatea, bisericile și asociațiile religioase)”, idem, p. 15.

^[40] D. Jerker R. Svantesson în lucrarea C. Kuner, L. A. Bygrave, Ch. Docksey (coord.), The EU General Data Protection Regulation (GDPR). A commentary, Oxford University Press, 2020, p. 91.