Kto powinien stosować

PRZEPISY RODO?

Od momentu, kiedy w opinii publicznej głośnym stał się temat RODO pojawiało się wiele kontrowersji z tym związanych. Wysyp RODO absurdów nastąpił wraz z wejściem w życie rozporządzenia w maju 2018 r. Niektórzy chcieli się na RODO dorobić oferując sprzedaż wyspecjalizowanych szaf na dokumenty przystosowanych do rzekomych unormowań wynikających z RODO. Co sprytniejsi usiłowali uniknąć mandatu na podstawie zdjęcia z fotoradaru powołując się na prawo do bycia zapomnianym przez administratora danych osobowych. Jedna z miejskich legend głosi nawet, że gdzieś w Polce był administrator cmentarza, który w obawie przed srogimi karami za nieprzestrzeganie przepisów o ochronie danych osobowych zdecydował się zamknąć cmentarz.

Dlatego tym artykułem chcielibyśmy raz na zawsze wyjaśnić fundamentalną kwestię, a mianowicie kogo obowiązują przepisy wynikające z RODO.

W pierwszej kolejności należy wskazać, że podmiotami, które zobowiązane są na mocy rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tak brzmi pełna nazwa aktu, który wszyscy znają pod skrótowcem RODO) są:

  1. jednostka organizacyjna administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się w Unii Europejskiej,
  2. administrator niemający jednostki organizacyjnej w Unii Europejskiej, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego (chodzi tu o różnego typu terytoria i obszary zależne, bądź autonomiczne stanowiące formalnie terytorium państwa członkowskiego, jednakże znajdujące się poza Europą),
  3. administrator lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii Europejskiej, w odniesieniu do danych osób, których dane dotyczą, przebywających w Unii Europejskiej, jeżeli czynności przetwarzania wiążą się z:
  • oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii Europejskiej – niezależnie od tego, czy wymaga się od tych osób zapłaty lub
  • monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.

Jakich danych dotyczy reżim RODO?

Ochronie podlegają dane osobowe przetwarzane w sposób całkowicie lub częściowo zautomatyzowany. W przeciwnym przypadku, jeżeli dane osobowe są przetwarzana w sposób inny niż zautomatyzowany, RODO znajduje zastosowanie do ochrony danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Wnioskować z tego należy, że w sytuacji, gdy dane osobowe nie są przetwarzane w sposób automatyzowany, a ponadto nie stanowią i w najbliższej przyszłości nie mają stanowić elementu jakiegoś zbioru to wówczas nie podlegają ochronie na podstawie rozporządzenia RODO.

Wyjaśnić w tym miejscu należy, że za zbiór danych uważa się usystematyzowany zestaw danych, które są dostępne według określonych kryteriów, bez względu na to, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Jako przykłady zbiorów danych osobowych można wskazać rejestr pacjentów przychodni czy ewidencję podatników. Kryterium uporządkowania może być różne, alfabetyczne, chronologiczne czy też zgodnie z jakimkolwiek innym miernikiem. A contrario zbiór danych osobowych, który nie umożliwia wyszukania osób przy użyciu określonego prawidła, bez konieczności przeglądania wszystkich pozycji po kolei, wyłączony jest spod zasad określonych w RODO.

Istnieje także kilka kategorii podmiotów, które pomimo przetwarzania danych osobowych nie są zobowiązane do stosowania regulacji RODO, do tej grupy zaliczają się:

  1. jednostki, które przetwarzają dane osobowe w ramach działalności nieobjętej zakresem prawa Unii Europejskiej,
  2. państwa członkowskie w ramach wykonywania czynności wchodzących w zakres aktywności Unii Europejskiej w działaniach międzynarodowych,
  3. osoby fizyczne w ramach czynności o czysto osobistym lub domowym charakterze;
  4. właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Czyje dane chroni RODO?

W odróżnieniu od poprzednich regulacji przetwarzane dane osobowe podlegają ochronie na mocy aktualnego rozporządzenia, jeżeli dotyczą osoby przebywającej na terenie Unii Europejskiej. Bez znaczenia w tym zakresie pozostaje jakiego państwa obywatelstwo posiada dana osoba.

Natomiast z perspektywy administratorów danych osobowych spoza obszaru Unii Europejskiej ich działalność dotycząca przetwarzania danych osobowych powinna zostać dostosowana do przepisów RODO w sytuacji, gdy:

  1. oferują towary lub usługi takim osobom, których dane dotyczą lub
  2. monitorują ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.

W związku z powyższym niezależnie od położenia siedziby firmy lub instytucji przetwarzającej dane osobowe, w ww. przypadkach będzie ona zobligowana do stosowania norm RODO w związku z przetwarzaniem danych osobowych osób znajdujących się na terenie Unii Europejskiej.

Co ciekawe RODO zostało wprowadzone na terenie Unii Europejskiej, zatem nie znajduje zastosowania do krajów będących członkami Europejskiego Obszaru Gospodarczego. Pomimo to wszystkie państwa nie będące państwami członkowskimi Unii Europejskiej, ale wchodzące w szeregi członków Europejskiego Obszaru Gospodarczego, dostosowały swoje wewnątrzpaństwowe rozwiązania dotyczące ochrony danych osobowych do norm RODO.

W świetle powyższych informacji podkreślić należy, że w przypadku prowadzenia działalności gospodarczej, bez względu na jej formę prawną, jeśli w ramach czynności związanych z prowadzeniem działalności zbierane są dane osobowe, to już na tym etapie mamy do czynienia z przetwarzaniem danych osobowych. Pamiętać zatem trzeba, że działania w tym zakresie podlegają dyscyplinie narzuconej przez RODO.

W ramach ciekawostki zdradzić możemy, że z raportu dotyczącego naruszeń danych osobowych pt. Data BreachSurvey opracowanego przez kancelarię DLA Piper wynika, że dotychczas Prezes Urzędu Ochrony Danych Osobowych nałożył na administratorów danych osobowych kary za następujące nieprawidłowości związane z przetwarzanie danych:

  1. naruszenie zasad ogólnych RODO, tj. zasady zgodności z prawem i zasady poufności (naruszenie art. 5 ust. 1 lit. a) oraz f)),
  2. brak zawarcia umów powierzenia przetwarzania danych (naruszenie art. 28 ust. 3).
  3. naruszenie zasady ograniczenia przechowywania oraz obowiązku wdrożenia odpowiednich polityk dotyczących przetwarzania danych osobowych, w tym dot. retencji (art. 5 ust. 1 lit. e) w zw. z art. 5 ust. 2 oraz art. 24),
  4. naruszenie zasady integralności i poufności oraz obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osób fizycznych w związku z przechowywaniem nagrań (art. 5 ust. 1 lit. f) w zw. z art. 5 ust. 2 oraz art. 32),
  5. naruszenie zasady rozliczalności i ograniczonego przetwarzania oraz nieprawidłowości w rejestrze czynności przetwarzania danych dot. braku wskazania odbiorców danych oraz niewskazanie dla tych czynności przetwarzania planowanego terminu usunięcia danych (art. 5 ust. 2 oraz art. 30 ust. 1 lit. d) oraz f)).

Z powyższego wywnioskować można, że Urząd Ochrony Danych Osobowych prężnie działa i faktycznie weryfikuje metodologie przetwarzania danych osobowych we właściwych podmiotach.

Dlatego Drogi Przedsiębiorco, jeżeli jeszcze nie zadbałeś o wdrożenie RODO w Twojej firmie lub nie jesteś pewien co do prawidłowości stosowanych przez Ciebie rozwiązań dotyczących ochrony danych osobowych najwyższy czas podjąć właściwe kroki!

 

Potrzebujesz pomocy z przygotowaniem dokumentacji? Chcesz przeszkolić swoich pracowników? Zastanawiasz się nad audytem? Skontaktuj się z biurem Kancelarii w celu umówienia terminu bezpłatnej konsultacji, podczas której Adwokat Marta Czarna dopasuje najlepszy dla Twojego biznesu plan działania. Możesz to zrobić telefonicznie pod numerem 888 849 735, mailowo kancelaria@adwokatczarna.pl lub za pośrednictwem elektronicznego terminarza.

Recommend
  • Facebook
  • Twitter
  • LinkedIN
Share
Tagged in
Leave a reply

You must be logged in to post a comment.