Specyfiką wszelkiego typu działalności prowadzonej w Internecie jest konieczność uwzględnienia pewnego rodzaju "wszechświatowości" Internetu. Dana strona może z powodzeniem funkcjonować na serwerze w zupełnie innym kraju niż ten, na którego terenie jest dostępna. Specyfiką przepisów prawa jest natomiast ich terytorialność, czyli zasadniczo ich stosowanie jest ograniczone do terytorium danego państwa. W przypadku polskiej ustawy o ochronie danych osobowych przepisy przewidują, że ustawę tę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Państwo trzecie w rozumieniu tego przepisu to państwo nienależące do Europejskiego Obszary Gospodarczego (kraje Unii Europejskiej oraz Norwegia i Islandia).

Ogólną zasadą jest zatem, że przepisy polskiego prawa w zakresie ochrony danych osobowych nie będą miały zastosowania do podmiotów mających swoją siedzibę w innym kraju Europejskiego Obszaru Gospodarczego - zgodnie z zasadą harmonizacji przepisów o ochronie danych osobowych przepisy tych krajów są zbliżone i zastosowanie będą miały przepisy tego kraju. Nie będą one też miały co do zasady zastosowania wobec podmiotów z siedzibą np. w USA, które nie przetwarzają danych osobowych przy użyciu środków technicznych, np. serwerów, umiejscowionych na terytorium Polski.

Zbliżone przepisy

Analogiczne reguły wprowadzają postanowienia ustawy o świadczeniu usług drogą elektroniczną (również określające zasady dotyczące ochrony danych osobowych), które ustalają zasadę kraju pochodzenia jako kraju, którego prawo powinno mieć zastosowanie. Wskazują one, że świadczenie usług drogą elektroniczną podlega prawu państwa członkowskiego Unii Europejskiej oraz Europejskiego Porozumienia o Wolnym Handlu (EFTA) - strony umowy o Europejskim Obszarze Gospodarczym, na którego terytorium usługodawca ma miejsce zamieszkania lub siedzibę.

W praktyce zatem usługodawca z siedzibą np. we Francji będzie co do zasady podlegał w opisanym powyżej zakresie regulacjom prawa francuskiego, a nie polskiego. Trudno tu jednak mówić w pełni o "odwrotnej dyskryminacji" względem lokalnych usługodawców w sytuacji, gdy przepisy dotyczące zarówno świadczenia usług drogą elektroniczną, jak i o ochronie danych osobowych co do zasady powinny być bardzo zbliżone w poszczególnych krajach Unii Europejskiej.