Kogo dotyczy RODO?

Niepubliczne podmioty zobowiązane do przestrzegania regulacji z zakresu ochrony danych osobowych

Zgodnie z art. 3 ust. 1 u.o.d.o. ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, zaś w myśl art. 3 ust. 2 u.o.d.o. – niepublicznymi podmiotami zobowiązanymi do przestrzegania regulacji z zakresu ochrony danych osobowych są:

1) niepubliczne podmioty wykonujące zadania publiczne;

2) osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych

– które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Wyjątki które zwalniają od obowiązku stosowania RODO

Na gruncie RODO nie ma analogicznego katalogu podmiotów, które są zobowiązane do przestrzegania przepisów rozporządzenia, co oznacza, że najważniejszym kryterium staje się okoliczność, czy jednostka X przetwarza dane osobowe i czy w związku z tym przetwarzaniem mamy do czynienia z jakimkolwiek wyłączeniem. Wyjątki dotyczące stosowania RODO zostały ujęte w art. 2 ust. 2 RODO:

„Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii [np. obronność, bezpieczeństwo narodowe, integralność państwa — przyp. M.W.];

b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE [wspólna polityka zagraniczna i bezpieczeństwa — przyp. M.W.];

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.

Jak widać, wyjątków, które zwalniają od obowiązku stosowania RODO, jest bardzo, bardzo niewiele — w życiu codziennym najszersze zastosowanie będzie miał zapewne wyjątek przewidziany w lit. c, tj. przetwarzanie danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Jak wskazuje D. Lubasz, „O naturze i kwalifikacji danych stanów faktycznych jako objętych zakresem pojęć osobistego lub domowego charakteru przetwarzania decyduje perspektywa przetwarzającego, a wśród przykładów należy wymienić: prywatne spisy telefonów, znajomych, urodzin, w tym w połączeniu np. z zainteresowaniami, sposobem spędzania wolnego czasu, informacje na temat miejsc noclegowych gromadzone przez korzystającego itp. (…) Czynności o charakterze osobistym czy domowym (ang. personal or household activity, niem. persönliche oder familiäre Tätigkeiten) dotyczą zatem generalnie aspektów aktywności związanych z prowadzeniem gospodarstwa domowego, spędzaniem urlopu, w tym pamiątek z niego, np. zdjęć czy filmów, konsumpcji czy uprawiania sportu. Również domowy monitoring będzie mógł być objęty komentowanym wyłączeniem, jednakże jedynie wówczas, jeśli zostaną spełnione kryteria sformułowane przez Trybunał Sprawiedliwości w powołanym już wyroku w sprawie C-212/13 František Ryneš v. Úřad pro ochranu osobních údajů, które również na gruncie rozporządzenia 2016/679 zachowują aktualność” (D. Lubasz, Komentarz do art. 2 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, WKP 2018).

Przetwarzanie danych osobowych obywateli Unii Europejskiej

Wszystkie podmioty — publiczne i prywatne — które przetwarzają dane osobowe obywateli Unii Europejskiej i które nie korzystają z wymienionych wyłączeń, są zobowiązane stosować się od dnia 25 maja 2018 r. do wymogów wskazanych w RODO. W związku z powyższym dotyczą one zarówno wielkich korporacji, jak i niewielkich przedsiębiorstw zatrudniających kilka osób; właścicieli sklepów internetowych, dostawców energii, dostawców usług telekomunikacyjnych, szkół, przedszkoli, szpitali, lekarzy, fizjoterapeutów, urzędów, domów kultury, a nawet tych, którzy prowadzą strony internetowe i tworzą listy odbiorców newslettera (bo trudno podciągnąć taką aktywność pod cele osobiste i domowe). Sporządzenie zamkniętego katalogu podmiotów obowiązanych przestrzegać przepisów RODO jest absolutnie niemożliwe, dlatego na pytanie, kogo dotyczy rozporządzenie, trzeba odpowiedzieć: praktycznie wszystkich, którzy mają do czynienia z cudzymi danymi osobowymi.

Administrator danych osobowych

Ktoś, kto przetwarza takie dane, w świetle RODO staje się administratorem:

„»Administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych” (art. 4 pkt 7 zd. pierwsze RODO). Jak widać, definicja jest bardzo szeroka i elastyczna, w związku z czym można nią objąć wiele podmiotów. Praktyczną konsekwencją uznania za administratora jest to, że taki administrator musi zapoznać się z przepisami RODO i zacząć je stosować, co przynajmniej w pierwszych miesiącach obowiązywania nowych zasad nie będzie łatwe, ponieważ rozporządzenie wprowadza sporo nowości.

Poprzedni materiał

Następny materiał