Co reguluje RODO?

10.9.2020

Pokrótce o RODO...

Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO).

W omawianym rozporządzeniu ustanowione zostały przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. RODO chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. Nie ogranicza ono ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

RODO obejmje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Regulacje unijnego rozporządzenia pomogą także osobom przebywającym na terytorium Polski egzekwować ich prawo do ochrony danych osobowych.

Europejczycy będą teraz korzystać z nowych praw. Prawo do jasnych i zrozumiałych informacji sprawi, że przedsiębiorstwa nie będą mogły „chować się” za skomplikowanym językiem prawniczym, aby uzyskać naszą zgodę na przetwarzanie danych. Prawo do przenoszenia danych od jednego dostawcy usług do innego jest kolejnym nowym prawem, które ułatwi zmianę dostawcy usług. Oprócz tego zostały doprecyzowane już istniejące prawa, takie jak prawo do bycia zapomnianym.

Lepsze przepisy o ochronie danych osobowych to także większe bezpieczeństwo w internecie. Połowa europejskich użytkowników internetu martwi się, że ich dane osobowe mogą zostać wykorzystane w sposób nieuprawniony. Jeżeli nasze dane osobowe są w posiadaniu przedsiębiorstwa, które jest narażone na zagrożenie w wyniku cyberataku, przedsiębiorstwo to będzie zobowiązane powiadomić o tym władze oraz użytkowników swoich produktów lub usług w ciągu 72 godzin.

Kolejna ważna nowość w przepisach polega na tym, że każde przekazanie danych za granicę wiąże się z koniecznością zapewnienia ich ochrony. Jeśli jakieś przedsiębiorstwo gromadzi dane w Europie, będzie musiało przestrzegać europejskich norm, nawet jeżeli analizuje je poza jej terytorium. Jest to zasadnicza kwestia w zglobalizowanym i połączonym cyfrowo świecie.

Dzięki ogólnemu rozporządzeniu o ochronie danych możliwy będzie swobodny przepływ danych na całym jednolitym rynku cyfrowym. Ma ono lepiej chronić prywatność Europejczyków i przyczynić się do zwiększenia zaufania i bezpieczeństwa konsumentów, a jednocześnie stworzyć nowe możliwości dla przedsiębiorstw, zwłaszcza tych mniejszych.

Główne elementy nowych przepisów o ochronie danych to:

jednolity zbiór przepisów obowiązujący w całej Europie, gwarantujący przedsiębiorstwom pewność prawa, a obywatelom jednakowy poziom ochrony danych w całej UE;
jednakowe zasady stosowane do wszystkich przedsiębiorstw świadczących usługi na terenie UE, nawet jeżeli mają one siedzibę poza UE;
wzmocnienie istniejących praw obywateli i przyznanie im nowych: wzmocniono prawo do informacji, prawo dostępu oraz prawo do bycia zapomnianym. Nowe prawo do przenoszenia danych umożliwia obywatelom przenoszenie danych z jednego przedsiębiorstwa do innego. Zapewni to przedsiębiorstwom nowe możliwości biznesowe;
wzmocniona ochrona przed naruszeniami w dziedzinie danych: przedsiębiorstwo, którego chronione dane zostały naruszone, co naraziło osoby fizyczne na ryzyko, musi powiadomić o tym organ ochrony danych w ciągu 72 godzin;
skuteczne przepisy i odstraszające grzywny: wszystkie organy ochrony danych będą miały uprawnienia do nakładania grzywien w wysokości do 20 mln euro lub, w przypadku przedsiębiorstw, w wysokości 4% całkowitego rocznego światowego obrotu.

O jakie dane osobowe chodzi?

Według RODO, "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Dane osobowe są to zatem wszelkie informacje odnoszące się do zidentyfikowanej bądź możliwej do zidentyfikowania osobie fizycznej. Osobą zidentyfikowaną jest zaś taka osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób (np. pracownik, którego dane osobowe przetwarza pracodawca, klient sklepu internetowego, który podał swoje dane osobowe do przesłania zamówienia, bądź osoba, która w formularzu kontaktowym wpisała swoje imię, nazwisko i adres e-mail).

Osobą możliwą do zidentyfikowania jest z kolei taka osoba, której tożsamości nie znamy, lecz możemy poznać, korzystając z posiadanych środków (np. potencjalny kontrahent, którego znamy jedynie numer ewidencyjny w CEIDG, czy też nadawca listu poleconego - możliwy do ustalenia wg numeru przesyłki).

Zgodnie z nowymi przepisami, dane osobowe to więc takie dane, które pozwalają - choćby potencjalnie - zidentyfikować osobę fizyczną. Mogą to być informacje takie jak: imię, nazwisko, numer PESEL, płeć, adres e-mail, ale też mniej oczywiste, jak numer IP, dane o lokalizacji, kod genetyczny, poglądy polityczne bądź historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości, są danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej czy cyfrowej. Możliwość uznania informacji za dane osobowe nie zależy ani od wieku danej osoby, ani od jej narodowości.

Co ważne, dane osobowe to informacje o osobach fizycznych. Osoby prawne nie mają danych osobowych. Jednak pracownicy osób prawnych mogą mieć dane osobowe, jak każda inna osoba fizyczna, przy czym informacja „ABC Sp. z o.o.” nie stanowi danych osobowych tego podmiotu, zaś informacja „Janina Nowak, pracownik ABC Sp. z o.o.” może stanowić dane osobowe Janiny Nowak.

Można wskazać 2 grupy danych osobowych:

dane osobowe należące do szczególnych kategorii danych osobowych (tzw. dane wrażliwe) - są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne pozwalające jednoznacznie zidentyfikować osobę fizyczną, czy też dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby;
zwykłe dane osobowe - tzn. dane osobowe, które nie należą do żadnej z ww. kategorii. Zgodnie z RODO, do kategorii danych osobowych zwykłych należą również dane osobowe dotyczące wyroków skazujących.

Jakie czynności normuje RODO?

Omawiane rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. "Zbiór danych" oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany, czy rozproszony funkcjonalnie lub geograficznie.

RODO stosuje się więc generalnie do przetwarzania danych osobowych, a to bardzo ogólne sformułowanie. Na użytek tego rozporządzenia "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Przetwarzaniem danych osobowych są zatem wszelkie operacje wykonywane na danych osobowych, takie jak: zbieranie danych, przechowywanie danych, usuwanie danych, opracowywanie danych czy udostępnianie danych.

RODO normuje wszelkie czynności, które mają za przedmiot dane osobowe, ale też różnego rodzaju usługi, w ramach świadczenia których dochodzi do zbierania danych osobowych. Do przepisów tego rozporządzenia winni więc stosować się przedsiębiorcy zajmujący się przetwarzaniem danych (tj. np. archiwizowaniem danych czy dokumentów, niszczeniem dokumentów, usługami kurierskimi itd.), jak też przedsiębiorcy, którzy przetwarzają dane osobowe tylko przy okazji świadczenia innych usług (jak doradcy podatkowi, biura rachunkowe, sklepy internetowe, zarządcy nieruchomości, pośrednicy ubezpieczeniowi, agenci biur podróży itd.).

RODO nie ma jednak zastosowania do przetwarzania danych osobowych: a) w ramach działalności nieobjętej zakresem prawa Unii; b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE (postanowienia szczególne dotyczące wspólnej polityki zagranicznej i bezpieczeństwa); c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporządzenie (WE) nr 45/2001. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych zostają dostosowane do zasad i przepisów RODO zgodnie z art. 98. RODO pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE o handlu elektronicznym.

Kto musi wdrożyć RODO?

Jeśli chodzi o terytorialny zakres stosowania, to RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

RODO podlega więc każda instytucja oraz każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej.

Może to być działalność w dowolnej formie prawnej, jak np.: jednoosobowa działalność gospodarcza, spółka bądź oddział w UE przedsiębiorstwa posiadającego siedzibę poza Unią (np. oddział w Polsce firmy z Chin podlega przepisom RODO).

Nie jest istotna narodowość czy obywatelstwo osób, których dane osobowe są przetwarzane (np. polski podmiot oferujący swoje usługi obywatelom Białorusi podlega przepisom RODO). Nie ma też znaczenia to, gdzie są przetwarzane dane osobowe (gdzie są się serwery), np. polska spółka korzystająca z usług przetwarzania danych w chmurze także musi stosować RODO).

RODO ma zastosowanie nawet w przypadku, kiedy podmioty spoza UE tylko oferują swoje towary i usług osobom przebywającym na terenie Unii. Mianowicie, unijne rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

Omawiane rozporządzenie ma zastosowanie także do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego UE.

RODO nie znajduje natomiast zastosowania do działalności osobistej bądź domowej. Osoba fizyczna prowadząca działalność gospodarczą musi więc stosować się do RODO w zakresie przetwarzania danych osobowych swoich klientów czy pracowników, lecz nie ma takiego obowiązku w odniesieniu do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyłanych kartek świątecznych czy walentynkowych.

Jeśli jakiś przedsiębiorca bądź instytucja przetwarza dane osobowe, to może to robić jako:

administrator danych - tzn. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

albo

podmiot przetwarzający dane - tzn. osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Administrator danych jest to zatem ten podmiot, który decyduje o celach oraz sposobach przetwarzania danych, czyli decyduje o tym, po co i jak wykorzystuje się dane osobowe (np. pracodawca w stosunku do danych osobowych swoich pracowników, sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów, właściciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowały newsletter).

Administratorem danych jest zawsze określony podmiot prawny (przykładowo spółka akcyjna albo Józef Nowak prowadzący jednoosobową działalność gospodarczą), a nie jego pracownik czy organ (np. nie jest administratorem danych sekretarka, prezes ani dyrektor działu spedycji).

Administrator danych może albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego.

Podmiot przetwarzający dane osobowe nie decyduje o celach ani o środkach przetwarzania danych. Działa on na podstawie umowy z administratorem danych (jak np. samodzielna księgowa przetwarza na zlecenie dane osobowe przekazane jej w tym celu przez obsługiwanych klientów, podmiot utrzymujący na zlecenie swoich klientów konta poczty elektronicznej przetwarza na zlecenie dane osobowe, podmiot zajmujący się profesjonalnie niszczeniem danych osobowych przetwarza w tym zakresie dane osobowe na zlecenie swoich usługobiorców). Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której należy określić zasady przetwarzania danych.

W organizacji przetwarzaniem danych osobowych faktycznie zajmują się konkretne osoby fizyczne – pracownicy bądź współpracownicy administratora czy podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.

Przykład:

RODO ma zastosowanie, gdy prowadzisz małą firmę świadczącą usługi w zakresie szkolnictwa wyższego, działającą online, z siedzibą poza UE. Swoją ofertę kierujesz głównie do uniwersytetów na terenie UE, na których językami wykładowymi są hiszpański i portugalski. Świadczysz nieodpłatne usługi doradcze dotyczące wielu programów uczelni wyższych. Aby korzystać z Twoich materiałów umieszczonych w internecie, studenci muszą posiadać nazwę użytkownika oraz hasło. Twoja firma przyznaje im wspomnianą nazwę oraz hasło po tym, jak wypełnią formularz zgłoszeniowy.

Jeśli nawet firma należca do kategorii małych i średnich przedsiębiorstw przetwarza dane osobowe i musi przestrzegać RODO, to jednak, jeśli przetwarzanie danych nie stanowi głównej działalności firmy, a podejmowane przez nią działania nie stwarzają ryzyka dla osób fizycznych, wówczas niektóre obowiązki określone w RODO nie mają doń zastosowania (np. obowiązek powołania inspektora ochrony danych). Należy wziąć pod uwagę fakt, że „główna działalność” powinna obejmować takie działania administratora lub podmiotu przetwarzającego dane, których nieodłącznym elementem jest przetwarzanie danych.

Przykład:

RODO nie ma zastosowania, gdy jesteś usługodawcą z siedzibą poza UE i świadczysz usługi klientom spoza Unii. Twoi klienci mogą korzystać z usług Twojej firmy podczas swoich podróży do innych krajów, w tym do krajów UE. O ile Twoja firma nie kieruje swojej oferty konkretnie do osób fizycznych w UE, nie podlega ona przepisom RODO.

Konieczne dostosowania przepisów krajowych

Jak wspomniano, w dniu 25 maja 2018 r. zaczną obowiązywać ulepszone unijne przepisy w zakresie ochrony danych. Nowym rozporządzeniem ustanawia się zbiór jednolitych przepisów mających bezpośrednie zastosowanie we wszystkich państwach członkowskich UE, mimo to w pewnych kwestiach konieczne są znaczące dostosowania, takie jak nowelizacje istniejących aktów prawnych przez rządy państw UE, czy też utworzenie Europejskiej Rady Ochrony Danych przez organy ochrony danych. Przygotowania w poszczególnych państwach członkowskich postępują w różnym tempie.

W Polsce przygotowuje się np. nową ustawę o ochronie danych osobowych. Zob.: Projekt ustawy o ochronie danych osobowych, Rewolucja w systemie ochrony danych osobowych.

Organ nadzorczy

Według RODO, "organ nadzorczy" to niezależny organ publiczny ustanowiony przez państwo członkowskie. Unijne rozporządzenie wymaga bowiem, aby każde państwo członkowskie UE zapewniało, by za monitorowanie stosowania tego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii.

W nowych przepisach w Polsce, zamiast GIODO, przewidziano powołanie nowego organu nadzorczego, Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Organ ten przejmie zadania i kompetencje GIODO. Będzie też wykonywał nowe, przyznane mu przez RODO obowiązki.

Pamiętaj, że:

RODO ma zastosowanie do:
- przedsiębiorstw i podmiotów, które przetwarzają dane osobowe w ramach działalności swojego oddziału mającego siedzibę na terenie UE, niezależnie od miejsca przetwarzania danych oraz
- przedsiębiorstw posiadających siedzibę poza UE, które oferują towary/usługi (odpłatnie bądź nieodpłatnie) lub zajmują się monitorowaniem zachowania osób fizycznych w UE.

Podstawa prawna:

rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl