Po ponad trzech latach stosowania RODO na dobre zadomowiło się w naszej rzeczywistości. Znalezienie organizacji, która nigdy nie zetknęła się z jego przepisami staje się coraz trudniejsze. Czy jednak każdy wie, kogo dotyczą przepisy RODO?
Kiedy RODO ma zastosowanie?
RODO powinno być stosowane wszędzie tam, gdzie mamy do czynienia z przetwarzaniem danych osobowych. Nie ma przy tym znaczenia to, w jaki sposób te dane są przetwarzane. Ideą stojącą za RODO jest uporządkowanie i poukładanie procesów przetwarzania danych osobowych.
| Art. 2 ust. 1 RODO Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. |
Czy moja organizacja przetwarza dane osobowe?
Żeby móc prawidłowo zinterpretować powyższy przepis, musisz znać przede wszystkim dwa terminy: dane osobowe i przetwarzanie danych osobowych. Pojęcia te definiowaliśmy już na naszym blogu.
W tym miejscu zaznaczę, że dane osobowe i przetwarzanie danych to terminy bardzo szeroko interpretowane. W praktyce trudno wyobrazić sobie organizację, która funkcjonuje na rynku nie przetwarzając danych osobowych. Jeśli nie prowadzisz akcji marketingowych i swoim klientom wystawiasz jedynie paragony, to i tak zapewne przetwarzasz dane osobowe pracowników. A jeśli nawet nikogo nie zatrudniasz, to prawdopodobnie dysponujesz danymi osobowymi pracowników Twoich kontrahentów. W dzisiejszych czasach trudno sobie wyobrazić biznes (i nie tylko biznes), bez danych osobowych.
Czy w praktyce oznacza to, że również małe jednoosobowe firmy (np. zakład stolarski, szewski czy rzemieślniczy), powinny wdrożyć RODO? Tak, nawet tego typu organizacje, muszą liczyć się z przepisami RODO. Dobrą wiadomością będzie to, że wdrożenie RODO będzie tam niezwykle proste.
Twórcy Rozporządzenia myśleli o wyłączeniu najmniejszych jednostek spod przepisów RODO. Tak się jednak nie stało. Słusznie w mojej opinii założono, że jeśli np. zakład fryzjerski będzie korzystał z mediów społecznościowych do promowania swoich usług, to trudno wyłączyć go spod odpowiedzialności za przetwarzanie danych osobowych.
Pamiętaj o tym, że nawet jeśli Twoja organizacja nie prowadzi działań marketingowych i działa w sektorze b2b, to na pewno przetwarza jakieś dane osobowe. Choćby zatrudnianych przez siebie osób.
W jakich firmach wdrożenie RODO ma szczególne znaczenie?
RODO musi być stosowane wszędzie tam, gdzie przetwarzane są dane osobowe. Jednak w praktyce, bardziej złożone wdrożenia będą potrzebne tylko w niektórych sytuacjach.
Przedstawiam trzy zmienne, które będą miały wpływ na to jak proste lub złożone będzie Twoje wdrożenie Rozporządzenia.
1) Ilość przetwarzanych danych osobowych (rekordy i osoby)
Może Ci się wydawać, że przetwarzanie danych osobowych 500 osób nie jest czymś nadzwyczajnym. Jeśli jednak o każdej z tych 500 osób przetwarzasz bardzo dużo różnych informacji (np. po 500 kategorii na osobę), to ilość rekordów wyniesie już 250 tys. (czyli całkiem sporo). Liczy się zatem ilość osób, których dane dotyczą oraz ilość informacji, które o tych osobach posiadasz.
2) Wrażliwość przetwarzanych informacji
Ważna jest także sensytywność informacji, które przetwarzasz. Jeśli są to tylko dane podstawowe, to będzie prościej. Jeśli przetwarzasz także szczególne kategorie danych (np. informacje o stanie zdrowia), to wdrożenie będzie bardziej wymagające.
3) Ryzyko procesów wykonywanych na danych osobowych
Duże znaczenie ma także to jakie procesy wykonujesz na danych osobowych. Przetwarzanie danych kontaktowych kontrahentów, jest na pewno znacznie mniej ryzykowne niż profilowanie potencjalnych klientów dla celów marketingu bezpośredniego.
Im więcej szczególnych kategorii danych, czy przetwarzań w ryzykownych procesach, tym bardziej potrzebujesz dobrze zrealizowanego wdrożenia RODO.
Kto nie musi stosować przepisów RODO?
Przetwarzanie danych osobowych w celach prywatnych
Jest jednak kilka wyjątków, kiedy RODO się nie stosuje. Najważniejszym z nich jest przetwarzanie danych osobowych w ramach czynności o czysto osobistym lub domowym charakterze, czyli bez związku z działalnością zawodową lub handlową.
| Przykłady praktyczne Przepisy RODO nie znajdą zastosowania do przetwarzania danych osobowych w związku z przechowywaniem korespondencji prywatnej czy gromadzeniem adresów. Prowadzenie prywatnego profilu w mediach społecznościowych również nie wymaga od Ciebie wypełnienia obowiązków przewidzianych w Rozporządzeniu, np. wykonania oceny ryzyka czy dopełniania obowiązków informacyjnych |
To, że Ty nie stosujesz przepisów RODO w omawianym zakresie oczywiście nie znaczy, że inne osoby mogą nadużywać Twoich praw. RODO znajdzie zastosowanie dla podmiotów, które udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności, czyli np. administratorów portalu społecznościowego z którego usług korzystasz.
Pełen wykaz wyłączeń ze stosowania RODO
| Art. 2 ust. 2 RODO Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. |
Powyżej inne sytuacje, kiedy RODO nie stosuje się. W praktyce najważniejsze jest to, że jeśli przetwarzasz dane osobowe w związku ze swoją działalnością biznesową (lub inną np. charytatywną czy publiczną), to musisz liczyć się, że w tym zakresie przepisy Rozporządzenia znajdą zastosowanie.
Dzięki temu, że RODO jest elastycznym aktem prawnym, to jego wdrożenie w niektórych przypadkach będzie bardzo proste i intuicyjne. W innych za to, może być skomplikowane i wymagające skoordynowanych działań wielu osób.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Na jakim obszarze obowiązuje RODO?
Rozporządzenie korzysta z unijnych zasad legislacyjnych, tj. ma zasięg ogólny, wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. RODO ma zastosowanie również w Islandii, Norwegii i Liechtensteinie, tj. trzech państwach Europejskiego Obszaru Gospodarczego, które nie są członkami UE.
Obrazując to prostym przykładem, jeśli wybierzesz się na urlop do Włoch czy Norwegii, to nie musisz znać włoskiej lub norweskiej ustawy o ochronie danych osobowych. Zarówno Włosi, jak i Norwegowie korzystają dokładnie z tych samych przepisów, co Polacy. Numery paragrafów i treść przepisów są dokładnie takie same.
Czy to znaczy, że nie ma już żadnych odrębności w ramach UE (a nawet szerzej w EOG)? Nie do końca. Samo RODO pozwala na uregulowanie pewnych obszarów przez państwa członkowskie. Na przykład, państwo członkowskie może nakazać obligatoryjne powołanie IOD w konkretnych sytuacjach. Nawet jeśli taki obowiązek nie wynika z samego RODO. Nie zmienia to faktu, że odrębności będą bardzo niewielkie.
Czy RODO obowiązuje wyłącznie na obszarze EOG?
Co ważne, zakres zastosowania przepisów RODO wykracza poza granice EOG.
Co prawda tutaj podstawowym kryterium jest prowadzenie działalności w Unii Europejskiej, ale RODO obowiązuje również wobec danych osobowych pochodzących z tego obszaru. I tak, jego przepisy mają zastosowanie zawsze, gdy:
- dane osobowe są przetwarzane w związku z działalnością prowadzoną w Unii Europejskiej – niezależnie od tego, czy przetwarzanie odbywa się w UE,
- dane osobowe osób przebywających w UE przetwarzane są przez podmioty niemające jednostek organizacyjnych w UE, a przetwarzanie to wiąże się z oferowaniem towarów lub usług takim osobom, których dane dotyczą lub też monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w UE.
Jeżeli jesteś polskim przedsiębiorcą oferującym swoje usługi jedynie amerykańskim konsumentom i w swojej działalności przetwarzasz wyłącznie dane osób spoza kontynentu europejskiego, to i tak obowiązują Cię przepisy Rozporządzenia. Z drugiej strony, amerykański przedsiębiorca prowadzący sklep internetowy, w którym oferuje swoje produkty obywatelom UE, będzie również zobowiązany do stosowania RODO.
Podsumowanie
Przepisy RODO obowiązują wszystkich przedsiębiorców, którzy w związku ze swoją działalnością przetwarzają dane osobowe. Nie ma tu znaczenia ich wielkość czy forma prowadzonej działalności. Bez znaczenia pozostaje również to, kogo dane osobowe są przetwarzane oraz w jaki sposób. Rozporządzenie może znaleźć zastosowanie nawet do podmiotów spoza UE, jeżeli dokonywane przez nie przetwarzanie spełnia określone warunki.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.