Kogo dotyczy RODO?

Jowita Kania-Stachura06 lutego 20182 komentarze

Szanowni Państwo!

Dzisiaj wracamy do spraw fundamentalnych. Na pytanie kogo dotyczy RODO odpowie Państwu Piotr Potocki, któremu oddaję głos :-).

Od czasu, kiedy prowadzimy w kancelarii bloga, dostajemy wiele wiadomości od czytelników, w których powtarza się pytanie „czy to całe RODO mnie w ogóle dotyczy”? Jak więc mawiał pewien poseł, a niegdyś prokurator – „niniejszym spieszę donieść”, że z dużym prawdopodobieństwem tak!!!

Nie ma bowiem znaczenia, czy ktoś jest tylko mikro przedsiębiorcą i wykonuje działalność, która pozornie w ogóle nie jest związana z bezpieczeństwem danych osobowych, czy też jest spółką informatyczną zajmująca się metaanalizą danych, obowiązki wynikające z RODO mogą ciążyć na każdym podmiocie gospodarczym, jednakże w różnym stopniu.

Ideą przyświecającą twórcom Rozporządzenia było założenie, że pewien – chociażby minimalny standard ochrony danych osobowych – musi spełniać każdy, kto te dane w jakikolwiek sposób przetwarza. Oczywiście, na podmioty duże i masowo wykorzystujące dane nałożono inne obowiązki, niż na niewielkiego administratora, którym może być mała spółka, albo jednoosobowy przedsiębiorca. Jednak decydujące o tym, czy kogoś dotyczy RODO, jest to, czy w związku z prowadzoną działalnością gospodarczą przetwarza dane osobowe osób fizycznych.

Zgodnie z art. 2 ust. 1 RODO, przedmiotowe Rozporządzenie ma zastosowanie w sytuacji przetwarzania danych:
1) w sposób zautomatyzowany, nawet wówczas, kiedy dane osobowe nie stanowią zbioru danych. Oznacza to, że już samo posiadanie w firmie nawet jednej kamery, która rejestruje obraz, powoduje konieczność dostosowania się do postanowień RODO;

2) w sposób częściowo zautomatyzowany, nawet wówczas, kiedy dane osobowe nie stanowią zbioru danych. Przykładem takiego przetwarzania jest już samo posiadanie na komputerze listy klientów, kontrahentów, współpracowników – składającej się z imienia, nazwiska i nazwy firmy – niezależnie od tego, czy dane te zostały zebrane w sposób zautomatyzowany, czy nie;

3) w sposób niezautomatyzowany (manualny), kiedy dane osobowe stanowią część zbioru. Wynika z tego, że pracodawca posiadający ułożone alfabetycznie akta osobowe pracowników również będzie musiał zastosować się do obowiązków wynikających z RODO;

4) w sposób niezautomatyzowany (manualny), kiedy dane osobowe tylko potencjalnie mogą stanowić zbiór danych. Przykładem takiej sytuacji jest już posiadanie danych osobowych, jeszcze nieułożonych, które jednak można potencjalnie pogrupować według jakiegoś kryterium.

Biorąc pod uwagę powyższe, należy stwierdzić, że o ile nie dochodzi do przetwarzania danych „przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”, to każdy inny rodzaj przetwarzania powinien odbywać się z uwzględnieniem odpowiednich standardów wyznaczonych przez RODO.

Co więcej, wydaje się, że ustawodawca unijny rozszerzył zakres przedmiotowy działań, które podlegają pod regulacje RODO. Na gruncie obecnej ustawy istniały wątpliwości, czy ochrona przysługuje danym przetwarzanym manualnie, które nie stanowiły żadnego zbioru. W przyszłości takie wątpliwości znikną, ponieważ już teraz wiemy, że tak będzie.

Ponadto należy dodać, że przetwarzaniem jest zgodnie z art. 4 pkt 2 RODO „każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. Można wiec przyjąć, że niemal każda operacja dokonywana na danych osobowych będzie ich przetwarzaniem i co za tym idzie będzie implikowała dodatkowe zobowiązania administratora.

Podsumowując, ciężar obowiązku dostosowania standardów postępowania z danymi osobowymi do wymagań RODO został nałożony na bardzo liczną grupę podmiotów prowadzących działalność gospodarczą, w tym na spółki informatyczne, sklepy internetowe, banki, deweloperów, agencje pracy, czy pośredników sprzedaży nieruchomości. Ponadto zalecane jest, aby każdy przedsiębiorca przed dniem 25 maja 2018 r. przeprowadził własny audyt wewnętrzny i sprawdził, czy posiada jakieś dane osobowe osób fizycznych i czy z tego powodu RODO nie nakłada na niego dodatkowych obowiązków.

{ 2 komentarze… przeczytaj je poniżej albo dodaj swój }

Karolina Zbyt Luty 8, 2018 o 00:56

Szanowni Państwo, rozumiem duże podmioty … a ja prowadzę małą firmę na Podlasiu, jest to DGosp., zatrudniam 3 osoby. W mediach raz mówią, że mnie RODO nie dotyczy, a raz że dotyczy. Szczerze mówiąc – nic nie rozumiem i nic nie wiem. Czy moja firma również podlega pod te przepisy?

Karolina

Odpowiedz

Jowita Kania-Stachura Luty 8, 2018 o 11:22

Szanowna Pani Karolino!
Jeśli przetwarza Pani dane osobowe osób fizycznych to w pewnym zakresie RODO będzie Pani dotyczyło. Szczegółowe obowiązki zależeć będą od tego jakie dane Pani przetwarza i w jakim zakresie. Może się jednak okazać, że nie taki diabeł straszny jak go malują, a cała dokumentacja to dwie kartki papieru, które z łatwością przygotuje Pani sama. Proszę pytać jeśli coś Panią nurtuje. Będziemy starali się wszystko stopniowo wyjaśniać w naszych wpisach.
Pozdrawiam
Jowita Kania-Stachura

Odpowiedz

Dodaj komentarz

Poprzedni wpis: