Kogo dotyczy RODO?

Pochylmy się dzisiaj na chwilę nad zagadnieniem kto musi stosować RODO? Czy dotyczy każdego bez wyjątku? Czy trzeba je stosować zawsze, gdy poznasz jakieś dane osobowe? Czy RODO jest wszędzie i zawsze jak powszechnie się uważa?

W powszechnej świadomości RODO dotyczy każdego i każdej sytuacji, gdy w jakiś sposób używane są dane osobowe. Nie jest to jednak prawda.

Jakie czynności z danymi osobowymi obejmuje RODO?

Unijne rozporządzenie używa pojęcia przetwarzania danych. Należy przez nie rozumieć wykonywanie na danych osobowych takich działań jak: przechowywanie, zbieranie, utrwalanie, porządkowanie, wykorzystywanie, usuwanie. W uproszczeniu można przyjąć, że wszelkie działanie jakie jest wykonywanie na danych osobowych to ich przetwarzanie.

Jeśli więc zapisujesz sobie gdzieś kogoś imię nazwisko i telefon, masz pracowników, których umowy trzymasz w szafie itp. to przetwarzasz dane osobowe.

Przepisy RODO nie mają zastosowania do każdego przetwarzania danych, lecz do konkretnych sposobów tj.:

  1. przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany lub
  2. przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Będziesz przetwarzał dane osobowe w sposób chroniony przez RODO jeżeli imiona i nazwiska swoich kontrahentów będziesz zapisywał w arkuszu kalkulacyjnym na komputerze lub ręcznie w zeszycie. Wciąż nie oznacza to jeszcze, że RODO musisz przestrzegać.  

Jeżeli przetwarzasz dane w któryś z powyższych powodów istnieje możliwość, że powinieneś stosować RODO. Rozporządzenie ma zastosowanie m.in.:

– wobec jednostek organizacyjnych administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Z czego wynika, że jeżeli prowadzisz działalność gospodarczą w Unii obowiązuje Cię RODO.

– do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Dopiero jeżeli masz siedzibę w Unii albo Twoi klienci żyją na terenie Unii i działasz zarobkowo lub zawodowo musisz działać w zgodzie z RODO, choć nawet wtedy musisz sprawdzić czy nie dotyczy Ciebie jakieś wyłączenie i RODO bać się nie musisz.

Wyłączenia spod przepisów RODO

Czy każdy kto tak przetwarza dane podlega RODO?
Nie, zależy to jeszcze od tego kto i po co przetwarza dane osobowe. 

Przepisy RODO nie mają zastosowania m.in. w zakresie przetwarzania danych:

–  wykonywanego przez ramach czynności o czysto osobistym lub domowym charakterze np. nie ma problemu. gdy zapiszemy sobie w zeszycie imię nazwisko i numer telefonu hydraulika,

– przez organy ścigania w celu zapobiegania przestępczości,

– w ramach wspólnej polityki bezpieczeństwa i zagranicznej UE.

Słowniczek

Administrator – osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Potocznie jest to każdy pomiot, który przetwarza lub na którego zlecenie przetwarzane są dane osobowe. 

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Jakie dane chroni RODO?

Z poprzedniego artykułu dowiedziałeś się czym jest RODO. Dzisiaj przyjrzymy się jakie dane chroni Rodo oraz jaki jest podział danych osobowych. 

Ochrona, którą mają zapewniać przepisy RODO dotyczy danych osobowych, czyli wszelkich informacji o zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osobie fizycznej. W obrocie często można spotkać się z podziałem danych na zwykłe oraz wrażliwe. Które dane w świetle RODO podlegają szczególnej ochronie ? 

Dane osobowe zwykłe 

Identyfikacja osoby fizycznej odbywa się najczęściej na podstawie imienia i nazwiska, numeru PESEL, numeru NIP, numeru telefonu czy adresu zamieszkania. Wymienione dane to podstawowe informacje na temat osoby fizycznej, którymi posługujemy się bardzo często. Stąd w praktyce dane te określa się mianem danych zwykłych. Samo rozporządzenie nie wprowadza kategorii danych osobowych zwykłych, jednak taki podział można wyprowadzić z brzmienia art. 9 RODO, w którym mowa o przetwarzaniu szczególnych kategorii danych osobowych (potocznie: „danych wrażliwych”). Zwykłe dane osobowe co do zasady można przetwarzać, jeśli zostanie spełniona przynajmniej jedna przesłanka wskazana w art. 6 ust. 1 RODO. Przesłanki te zostaną omówione w jednym z kolejnych artykułów.  

Dane osobowe wrażliwe

Dane osobowe wrażliwe to właśnie dane, o których mowa w art. 9 ust. 1 RODO. Zgodnie z powołanym artykułem, zabronione jest przetwarzanie danych osobowych ujawniających:

🚫 pochodzenie rasowe lub etniczne, 

🚫 poglądy polityczne, 

🚫 przekonania religijne lub światopoglądowe, 

🚫 przynależność do związków zawodowych.

Zabronione jest także przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Zakaz przetwarzania powyższych danych wynika z faktu, że przetwarzanie wyżej wskazanych informacji może stanowić poważną ingerencję w sferę prywatności (a nawet intymności) osób, których dane dotyczą, a nawet pociągać za sobą znacznie większe zagrożenia niż przetwarzanie tzw. danych zwykłych. 

Wyjątki od zakazu przetwarzania danych wrażliwych

Ze względu na szczególny charakter danych wrażliwych, ustawodawca unijny dopuszcza ich przetwarzanie jedynie w wyjątkowych sytuacjach, które zostały wymienione w sposób wyczerpujący w art. 9 ust. 2 litera a) – j). Powyższy zakaz zostanie uchylony gdy wystąpi jedna z sytuacji, o których mowa w powołanym przepisie np.  gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu lub jeśli przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy. Co ciekawe, zakaz przetwarzania danych wrażliwych nie obowiązuje również w przypadku, gdy przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. Chodzi mianowicie o podanie do wiadomości publicznej danych wrażliwych przez samą osobę, której informacje te dotyczą, np. za pośrednictwem Internetu. 

Co musisz wiedzieć o RODO?

Chociaż od rewolucji w zakresie ochrony danych osobowych, czyli wprowadzenia do polskiego porządku prawnego Rozporządzenia o Ochronie Danych Osobowych (RODO) w dniu 25 maja 2018 roku, minęło trochę czasu, temat RODO wciąż wzbudza obawy i jest niezrozumiały. Dodatkowo w niedalekiej przyszłości czeka nas również rewolucja dotycząca bezpieczeństwa naszych danych w sieci, tj. rozporządzenie o e-Prywatności, zwane potocznie RODO II, które dostało już akceptacje części unijnych instytucji. Czy RODO jest bronią w walce o naszą prywatność?

Czym jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (RODO) reguluje zagadnienia dotyczące prywatności i ochrony danych osobowych. Rozporządzenie nałożyło wiele obowiązków na administratorów danych, tj. firmy, strony internetowe, aplikacje, sklepy, które gromadzą nasze dane osobowe. Rozporządzenie zawiera zatem przepisy, które mówią przedsiębiorcom i konsumentom, do czego mają prawo w zakresie prywatnych informacji i jak należy się z nimi obchodzić. Rozporządzenie reguluje przetwarzanie przez osoby fizyczne, przedsiębiorstwa lub organizacje danych osobowych dotyczących osób fizycznych w Unii Europejskiej. Nie obejmuje ono swoim zakresem przetwarzania danych osobowych dotyczących osób zmarłych ani osób prawnych.

Co zmieniło RODO?

Wejście w życie przepisów RODO sprawiło, że od tego momentu na przedsiębiorstwa zostały nałożone liczne obowiązki związane z analizą ryzyka, zabezpieczeniem informacji czy też przejrzystością prowadzonych działań w zakresie gromadzenia danych osobowych. Do podstawowych obowiązków należy obowiązek powołania Inspektora Ochrony Danych w przedsiębiorstwach, w których przetwarzanie danych stanowi podstawę działalności, obowiązek informowania o wycieku danych oraz obowiązek dokumentowania przetwarzania danych osobowych. Przedsiębiorstwa również zobowiązane są do umożliwienia konsumentom korzystania z ich uprawnień takich jak: prawo do dostępu do danych, prawo do przenoszenia danych, prawo do poprawienia danych osobowych, prawo do bycia zapomnianym.

Jakie są konsekwencje za złamanie rozporządzenia?

Przedsiębiorcy, którzy o to nie zadbają o prawidłowe wdrążenie przepisów rozporządzenia, muszą liczyć się z dotkliwymi karami. W rozporządzeniu przewiduje się dwa maksymalne progi grzywien: do 10 mln euro lub 2 % całkowitego rocznego obrotu za niewypełnianie obowiązku informacyjnego, braki w systemach ochrony danych, nieprawidłowe prowadzenie rejestrów itp. oraz do 20 mln euro lub 4 % całkowitego rocznego obrotu za złamanie podstawowych zasad przetwarzania danych, złamanie praw konsumenckich, niedozwolone udostępnianie danych.

Dolegliwą i być może trudną do odwrócenia konsekwencją dla przedsiębiorcy za brak dostosowania procedur do wymogów prawnych jest utrata renomy firmy jak samego zaufania klientów oraz kontrahentów.  

Z następnego artykułu dowiesz jakie dane chroni RODO.

Jeśli potrzebujesz porady prawnej w sprawie dotyczącej ochrony danych osobowych bądź też jesteś zobowiązany do wdrążenia odpowiednich regulacji w swojej firmie, skontaktuj się z nami telefonicznie pod numerem 32 7538230 lub wyślij e-mail na adres kancelariamosor@gmail.com. Możesz również napisać do nas korzystając z formularza w zakładce „kontakt”.