Unijne rozporządzenie o ochronie danych osobowych (RODO), które jest stosowane od 25 maja 2018 roku, jest najważniejszym aktem prawnym dotyczącym ochrony danych osobowych, obowiązującym na terenie UE. Nic więc dziwnego, że wielu przedsiębiorców zadaje sobie pytanie czy jest zobowiązane stosować się do niego?
Przepisy RODO obejmują swoim zakresem wszelkie podmioty, które w ramach działalności dokonują przetwarzania danych. Definicja przetwarzania danych jest na gruncie rozporządzenia tak szeroka, że niemal każda operacja dokonywana na dowolnym zestawie informacji o osobach fizycznych będzie zawierała się w jej zakresie. Warto jednak pamiętać, że istnieją pewne wyłączenia od tych przepisów.
Jakie podmioty muszą stosować RODO?
Jak zaznaczono we wstępie, do przestrzegania przepisów RODO zobligowane są wszystkie podmioty zajmujące się przetwarzaniem danych osobowych w ramach swojej działalności – zarówno publiczne, jak i prywatne. W związku z powyższym do przestrzegania przepisów rozporządzenia zobowiązany jest każdy przedsiębiorca działający na terenie UE, który przetwarza dane osobowe, bez względu na formę prawną prowadzonej działalności, o ile zastosowania nie mają przepisy wprost przewidujące wyłączenie spod tego obowiązku. Rygorom określonym w RODO nie podlega przetwarzanie danych w celach osobistych – np. przechowywanie numerów telefonów znajomych.
Należy zwrócić uwagę na fakt, że rozporządzenie to dotyczy ochrony danych osobowych. W związku z tym nie podlegają mu podmioty, które nie przetwarzają takich informacji.
Czy przetwarzam dane osobowe?
Dane osobowe są to zgodnie z art. 4 ust 1 RODO: “informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Informacje, które zawsze należy uznać za dane osobowe to:
- imię i nazwisko,
- PESEL,
- numer i seria dowodu tożsamości.
- Adres e-mail (np. w formule imię.nazwisko@firma.pl)
Oznacza to, że podmiot, który w swojej działalności biznesowej przetwarza tego typu dane, zawsze musi spełniać wymagania stawiane przez RODO. Wystarczy, że firma posiada jednego pracownika/zleceniobiorcę, jednego subskrybenta newsletter-a czy też jednego klienta/kontrahenta, który jest osobą fizyczną.
Istnieje też grupa informacji, które mogą być uznane za dane osobowe w zależności od sytuacji. Należą do nich: wygląd zewnętrzny, waga, wzrost, wiek, adres IP czy status majątkowy. Podmiot, który przetwarza takie informacje, musi stosować wymogi określone przepisami RODO tylko w tych sytuacjach, gdy dane te umożliwiają identyfikację osoby fizycznej, albowiem tylko wtedy mogą zostać uznane za „osobowe” i wymagać stosowania przepisów unijnego rozporządzenia.
Natomiast do informacji, których nigdy nie uznaje się za dane osobowe, zalicza się:
- informacje zagregowane (np.: dane statystyczne),
- dane zanonimizowane (nie ma możliwości identyfikacji osób, których dotyczą),
- informacje o osobach zmarłych (zmarli nie są dysponentami danych osobowych),
- informacje dotyczące osób prawnych.
Oznacza to, że przetwarzając tylko te dane, jesteśmy zwolnieni z przestrzegania wymogów rozporządzenia. Należy jednak pamiętać, że przetwarzanie tego typu informacji może być regulowane przez inne przepisy, zarówno na poziomie ustawodawstwa krajowego, jak i unijnego. RODO stanowi tylko minimalny standard ochrony danych osobowych dla całej Unii Europejskiej.
Kto nie podlega reżimowi RODO?
Rozporządzenie wprowadza pewne wyłączenia, albowiem zgodnie z art. 2 ust. 1 RODO nie dotyczy czynności:
- nieobjętych zakresem prawa Unii;
- podjętych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres wspólnej polityki zagranicznej i bezpieczeństwa UE;
- podjętych przez osobę fizyczną w ramach działań o czysto osobistym lub domowym charakterze;
- podjętych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.
Warto również pamiętać, że rozporządzenie ma zastosowanie tylko do osób fizycznych. W związku z tym przepisy RODO nie chronią informacji dotyczących osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej (ale ich pracowników już tak).
Gdzie obowiązuje RODO?
Choć nie jest to wyrażone bezpośrednio, rozporządzenie w art. 3 wprowadza zasadę eksterytorialności. Stanowi on bowiem, że „rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.”
Oznacza to, miejsce przetwarzania danych z punktu widzenia przepisów RODO jest nieistotne – kryterium decydującym jest skutek tego przetwarzania. W związku z tym do przestrzegania rozporządzania zobowiązane są nie tylko podmioty zarejestrowane na terenie UE. Dotyczy ono także jednostek organizacyjnych działających poza Unią, jeżeli przetwarzają one dane osób fizycznych przebywających na terenie Unii. Przetwarzanie to w szczególności powinno wiązać się z:
- „oferowaniem towarów lub usług takim osobom, których dane dotyczą” (odpłatnie lub nieodpłatnie) lub
- „monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii”.
Podsumowanie
Reasumując, należy stwierdzić, że krąg podmiotów zobligowanych do stosowania RODO jest bardzo szeroki. Rozporządzenie muszą stosować zarówno podmioty publiczne, jak i prywatne. Można dzięki temu wskazać, że RODO dotyczy każdej organizacji, która przetwarza dane osobowe- praktycznie wszystkich firm. Ponadto dzięki zasadzie eksterytorialności do jego przestrzegania zobowiązane są podmioty, które przetwarzają dane osobowe poza UE. Warto jednak pamiętać, że RODO chroni tylko dane osób fizycznych i to tylko wtedy, gdy możliwa jest identyfikacja osób, których dotyczą (pod warunkiem, że przetwarzanie tych danych nie ma czysto osobistego charakteru).
