RODO – kogo dotyczy?

Tuż po Świętach, wyjątkowo w środę, przedstawiamy Państwu kolejny wpis w naszym cyklu. Dziś zastanowimy się kogo w praktyce będą dotyczyć nowe regulacje oraz na które działania związane z przetwarzaniem danych RODO będzie miało wpływ.

 

RODO – idea szerokiej regulacji

Już w początkowych motywach Rozporządzenia unijny ustawodawca wskazał, że głównym celem przyjęcia nowej regulacji dotyczącej danych osobowych jest zapewnienie spójnego stopnia ochrony osób fizycznych w całej Unii oraz zapobieganie rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym. Z jednej strony zatem na szali ustawodawca unijny położył pewność prawa i przejrzystość, którą chce zagwarantować w ramach wspólnego unijnego rynku wszystkim przedsiębiorcom bez względu na ich wielkość. Z drugiej – konieczność zapewnienia bezpieczeństwa danych osób fizycznych poprzez wprowadzenie ujednoliconych standardów w zakresie prawnie egzekwowalnych praw, obowiązków i zadań administratorów danych.

Dane osobowe stały się już jakiś czas temu cennym towarem, który funkcjonuje w obrocie gospodarczym. Nie dziwi zatem fakt, że unijny ustawodawca postanowił wprowadzić efektywne narzędzia zmierzające z jednej strony do jednolitego uregulowania zasad obrotu tym towarem, z drugiej zaś do zabezpieczenia interesów podmiotów, które są nośnikami tego dobra, czyli osób fizycznych.

 

RODO – kogo dotyczy?

Nowe przepisy mają regulować przetwarzanie danych osobowych:

  • które, odbywa się w sposób całkowicie lub częściowo zautomatyzowany (w ramach systemu informatycznego – np. dane przetwarzane w programach kadrowo-płacowych), a także
  • przetwarzanie w sposób inny niż zautomatyzowany danych, które stanowią część zbioru danych (np. teczka akt pracowniczych), lub
  • danych, które mają (obiektywnie mogą) stanowić część zbioru danych (np. CV kandydata do pracy).

 

Nowa regulacja dotyczyć będzie zatem co do zasady wszystkich, którzy dane przetwarzają w celach innych niż te o czysto osobistym lub domowym charakterze, zarówno osób fizycznych, jak i przedsiębiorców, bez względu na wielkość podmiotu. Wobec niektórych kategorii przedsiębiorców – m.in. zatrudniających mniej niż 250 pracowników – unijny ustawodawca przewidział nieco złagodzony formalizm, o czym będziemy mówić szerzej w kolejnych wpisach z cyklu RODO poniedziałki. Warto w tym kontekście śledzić doniesienia płynące z Ministerstwa Cyfryzacji, które zapowiedziało, że pracuje nad projektem nowej ustawy, mającej na celu złagodzenie części wymogów w stosunku do tych przedsiębiorców.

Wyłączenie w zakresie czynności przetwarzania o czysto osobistym lub domowym charakterze dotyczy tylko osób fizycznych. W tym kontekście przez czynności o charakterze osobistym należy rozumieć te, które są ściśle związane z życiem prywatnym osoby przetwarzającej oraz nie naruszają w sposób dotkliwy sfery prywatnej osoby, której dane dotyczą (np. lista kontaktów zapisana w prywatnym telefonie). Czynności o charakterze domowym to zaś te związane ze sferą stosunków rodzinnych i przyjacielskich, dokonywane w ramach życia prywatnego (np. lista gości na przyjęcie weselne). Z omawianego  wyłączenia nie będą mogli skorzystać jednak operatorzy środków i systemów, które umożliwiają takie przetwarzanie w celach osobistych i domowych, zwłaszcza jeśli systemy działają z wykorzystaniem Internetu (a więc operatorzy np. chmur lub kalendarzy, na których użytkownicy przechowują dane osobowe na użytek osobisty).

Ustawodawca przewidział w artykule 2 dalsze wyłączenia, które w praktyce sprowadzać się będą najczęściej do przetwarzania danych przez organy państwowe w ramach działań z zakresu szeroko pojętego bezpieczeństwa publicznego. Wyłączenia te nie będą więc obejmowały co do zasady przedsiębiorców.

 

RODO – ochrona niezależnie od miejsca przetwarzania

Konieczność zapewnienia skutecznych mechanizmów zabezpieczających interesy osób fizycznych przebywających na terenie Unii Europejskiej sprawiła, że unijny ustawodawca zdecydował się na rozszerzenie skuteczności Rozporządzenia także wobec podmiotów przetwarzających dane Europejczyków niezależnie od tego, czy takie przetwarzanie odbywa się w Unii. Rozporządzenie będzie tym samym skuteczne wobec czynności przetwarzania dokonywanych przez administratora lub podmiot przetwarzający niemających swoich jednostek organizacyjnych w Unii, jeżeli czynności te wiążą się:

  • z oferowaniem towarów i usług osobom fizycznym przebywającym na terenie UE, przy czym bez znaczenia pozostaje kwestia odpłatności towarów i usług (np. sklep internetowy z siedzibą w USA oferujący dostawy do Polski), lub
  • z monitorowaniem zachowań tych osób podejmowanych na obszarze UE (np. anglojęzyczny internetowy portal informacyjny prowadzony przez podmiot z Indii instalujący pliki cookies w przeglądarce użytkownika z Polski).

Obowiązywanie Rozporządzenia rozciąga się również na administratorów posiadających siedzibę poza terytorium Unii. RODO znajdzie zastosowanie także do administratorów posiadających jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego zastosowanie ma prawo któregokolwiek z państw członkowskich (np. Reunion).

 

Wyjątki w zakresie stosowania wprowadzane przez przepisy krajowe

RODO przewiduje kilka sytuacji, w których przepisy krajowe w poszczególnych państwa członkowskich mogą wpłynąć na zakres stosowania Rozporządzenia.

Między innymi będzie to mogło mieć miejsce w przypadkach służących bezpieczeństwu narodowemu; obronie; zapobieganiu przestępczości; ochronie niezależności sądów; ochronie osoby, której dane dotyczą – wówczas przepisy krajowe, o ile odpowiadają prawom i obowiązkom przewidzianym w przepisach art. 12-22 RODO, mogą ograniczać zakres praw i obowiązków m.in. w zakresie spełniania przez administratorów obowiązków informacyjnych, prawa dostępu do danych, prawa do sprostowania i usuwania danych.

Przepisy krajowe mogą modyfikować zasady dotyczące przetwarzania danych w związku z wolnością wypowiedzi i informacji, w tym przetwarzania dla potrzeb dziennikarskich lub dla celów wypowiedzi akademickich, artystycznych czy literackich.

Przygotowany przez Ministerstwo Cyfryzacji projekt ustawy wprowadzającej nową ustawę o ochronie danych osobowych przewiduje szereg zmian w przepisach kilkudziesięciu ustaw szczególnych. Jest to przejawem uprawnienia do wprowadzenia do porządków krajowych przepisów mających zapewnić ochronę praw i wolności w przypadku przetwarzania danych pracowników w związku z zatrudnieniem.

RODO upoważnia ustawodawców krajowych do modyfikowania zakresu stosowania Rozporządzenia w niewielkim, ale istotnym zakresie. Tym samym, do czasu przyjęcia polskich ustaw wdrażających nowe unijne regulacje trudno przewidzieć, jaki dokładny zakres bezpośredniego stosowania będzie miało Rozporządzenie. Niemniej, to czego nie będzie w stanie polski ustawodawca zmodyfikować i co powinniśmy już dziś przyjąć za pewnik to fakt, że szeroko określony w artykułach 2 i 3 RODO zakres materialny i terytorialny stosowania Rozporządzenia sprawi, że będzie ono skuteczne wobec większości polskich przedsiębiorców (choć chciałoby się napisać: wszystkich).

 

Autor: Paulina Maślak-Stępnikowska