LexDigital

Kogo nie dotyczy RODO?

Dziś, po ponad pięciu latach obowiązywania RODO, możemy powiedzieć, że niewątpliwie ustandaryzowało ono podejście do ochrony danych osobowych we wszystkich państwach Unii Europejskiej.

Kogo nie dotyczy RODO?

Większość organizacji liczących się na rynku międzynarodowym w ciągu ostatnich pięciu lat zadbała o wdrożenie RODO i przeszkolenie swoich pracowników w zakresie ochrony danych osobowych. Organizacje, które mają na względzie ochronę danych osobowych, podejmując współpracę z nowymi podmiotami, sprawdzają, czy potencjalny kontrahent wdrożył odpowiednie środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzanych danych.

Po pięciu latach obowiązywania rozporządzenia trudno znaleźć osobę, która nie słyszała o RODO, każdy z nas bowiem spotkał się, chociażby z informacją na temat przetwarzania jego danych osobowych przez administratorów danych osobowych tj. z obowiązkiem informacyjnym czy ze zgodą na przetwarzanie danych osobowych. Czy każdy z nas byłyby w stanie odpowiedzieć — kogo dotyczy RODO?

Dziś przychodzimy z informacjami na ten temat. Z tego artykułu dowiesz się:

- kogo RODO dotyczy? A jakie podmioty nie są zobowiązane do stosowania wymogów rozporządzenia?

- czy sposób przetwarzania danych osobowych ma wpływ na konieczność stosowania wymogów rozporządzenia?

- czy przetwarzając dane osobowe do użytku prywatnego, trzeba stosować RODO?

- czy organy ścigania muszą przestrzegać wymogów rozporządzenia?

Materialny oraz terytorialny zakres stosowania RODO określają odpowiednio artykuł 2 oraz artykuł 3 rozporządzenia.

Zgodnie z treścią artykułu 2 ust. 2, RODO NIE ma zastosowania do przetwarzania danych osobowych:

  • a) w ramach działalności nieobjętej zakresem prawa Unii;  
  • b) przez państwa członkowskie Unii Europejskiej w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE; 
  • c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;  
  • d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.  
ue, map

Zgodnie z artykułem 3 RODO ma zastosowanie:

  1. Do przetwarzania danych osobowych w związku z działalnością  prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.  
  2. Do przetwarzania danych osobowych osób, których dane dotyczą,  przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych  w Unii, jeżeli czynności przetwarzania wiążą się z:  

    a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się  od tych osób zapłaty; lub  

    b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.  

  3. Do przetwarzania danych osobowych przez administratora niemającego  jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego (chodzi tu o różnego typu terytoria i obszary zależne, bądź autonomiczne stanowiące formalnie terytorium państwa członkowskiego, jednakże znajdujące się poza Europą).  

Zakres stosowania RODO określono także w jego motywach.

Motyw 14

Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Motyw 16

Niniejsze rozporządzenie nie ma zastosowania do kwestii ochrony podstawowych praw i wolności ani do swobodnego przepływu danych osobowych w związku z działalnością nieobjętą zakresem prawa Unii, taką jak działalność dotycząca bezpieczeństwa narodowego. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez państwa członkowskie w związku z działaniami związanymi ze wspólną polityką zagraniczną i bezpieczeństwa Unii.

Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Niniejsze rozporządzenie ma jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

gdpr, who, when, where

Kogo dotyczy RODO? A jakie podmioty nie są zobowiązane do stosowania wymogów rozporządzenia?

Z treści art. 3 wynika, że ogólne rozporządzenie o ochronie danych osobowych ma zastosowanie w praktyce do wszystkich podmiotów, które przetwarzają dane osobowe na terytorium Unii Europejskiej, bądź z tego terytorium pochodzących.

Należy pamiętać, że cele i sposoby przetwarzania danych osobowych mogą być różne. Według przepisów RODO przetwarzanie to nie tylko procesowanie, czy przesyłanie danych osób, termin przetwarzanie dotyczy również przechowywania danych osobowych.

Natomiast w odniesieniu do administratorów spoza Unii Europejskiej, przetwarzanie danych osobowych osób przebywających na jej terytorium – niezależnie od ich obywatelstwa – podlegać będzie pod RODO tylko w dwóch poniższych przypadkach, tj.

  • oferowania towarów lub usług takim osobom, których dane dotyczą lub
  • monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.

Co to oznacza? Nawet jeżeli podmiot (administrator danych osobowych) posiada działalność zarejestrowaną w państwie poza Unią Europejską, ale przetwarza dane osobowe osób w niej przebywających, w jednym ze ww. celów, to i tak posiada obowiązek stosowania do nich wymogów rozporządzenia.

Należy pamiętać, że obowiązuje, nawet jeśli samo przetwarzanie ma miejsce poza Unią.

Czy sposób przetwarzania danych osobowych ma wpływ na konieczność stosowania wymogów rozporządzenia?

Artykuł 2 ust. 1 RODO mówi:

Rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych, lub mających stanowić część zbioru danych.

Analizując powyższy zapis, warto wrócić na chwilę do definicji przetwarzania danych osobowych oraz zbioru danych. Zgodnie z art. 4 ust. 2 RODO, “przetwarzanie” to operacje lub zestaw operacji wykonywanych na danych osobowych, lub zestawach danych osobowych w sposób zautomatyzowany, lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. 

Natomiast „zbiór danychoznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów,  niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub  geograficznie (art. 4 ust 6 RODO).

Ochrona danych osobowych dotyczy zatem każdego przetwarzania danych. Najprościej będzie ująć to w następujący sposób: podmiot przetwarza dane osobowe = musi stosować RODO.

Jedynym wyjątkiem od powyższego wymogu będzie sytuacja przetwarzania danych osobowych w sposób inny niż zautomatyzowany, o ile dane te nie będą stanowiły części zbioru danych i nie będą do niego włączone. Wówczas przetwarzanie takie odbywać się będzie poza wymogami RODO.

Dane osobowe nieuporządkowane, nieposiadające kryterium wyszukiwania nie stanowią zbioru danych osobowych. O ile administrator danych nie planuje włączenia ich do takiego zbioru, nie musi stosować do nich zasad wynikających z RODO.

gdpr, private


Czy przetwarzając dane osobowe do użytku prywatnego, trzeba stosować RODO?

Zgodnie z treścią art. 2 ust. 2 RODO nie ma zastosowania do przetwarzania przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Co to oznacza? Jeśli przetwarzasz dane w celach prywatnych np. w telefonie, laptopie, tablecie, zbierasz prywatne dokumenty itp., to oczywiście nie musisz wdrażać wymagań RODO, które obowiązują administratorów danych. Pamiętaj jednak, że przetwarzanie musi mieć charakter osobisty lub domowy.

Nie więc potrzeby wysyłać obowiązku informacyjnego do rodziny i znajomych, których numery masz zapisane na swojej liście kontaktów. Nie musisz też mieć zgody na przetwarzanie danych osobowych, żeby wysyłać kartki świąteczne do swoich znajomych i rodziny.

organy ścigania

Czy organy ścigania muszą przestrzegać wymogów rozporządzenia?

Rozporządzenie o ochronie danych nie ma zastosowania do przetwarzania danych osobowych m.in. przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Nie oznacza to jednak luki prawnej, ponieważ system ochrony danych adresowany do organów ściągania reguluje dyrektywa 2016/680, która do polskiego porządku prawnego została zaimplementowana ustawą z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (zwaną ustawą DODO).

rodo, dodo

Zarówno RODO, jak i DODO stanowią niezależne od siebie podstawy prawne przetwarzania danych kierowane do innego kręgu podmiotów przetwarzających. Należy mieć na uwadze, że oba akty się przenikają, a podmioty odpowiedzialne za ściganie i zwalczanie przestępczości zobowiązane są również do przestrzegania wymogów RODO.

Podstawowe różnice pomiędzy RODO a DODO można pogrupować w następujących kategoriach:

  1. podstawy prawne przetwarzania danych osobowych,
  2. wymogi posiadania i prowadzenia dokumentacji,
  3. prawa osób, których dane dotyczą,
  4. obowiązek informacyjny, oraz
  5. konieczność wyznaczenia Inspektora Ochrony Danych.
summary


PODSUMOWANIE

Przedsiębiorco, wyjątków stosowania RODO jest naprawdę niewiele, więc najpewniej znajdujesz się w grupie podmiotów, które są zobowiązane do przestrzegania wymogów RODO w odniesieniu do swoich klientów, kontrahentów, pracowników.

Należy mieć na uwadze, że po pięciu latach obowiązywania RODO, świadomość Administratorów znacznie wzrosła w zakresie obowiązków, takich jak zapewnienie środków bezpieczeństwa przetwarzanych danych na etapie planowania nowych projektów i procesów (privacy by design). Organizacje dostrzegają, że ochrona danych osobowych, podobnie jak ochrona tajemnicy przedsiębiorstwa, stanowi wartość ekonomiczną.

Kampanie marketingowe oparte na danych osobowych i informacjach są fundamentem dla istnienia na wymagającym rynku. RODO pokazało, jak ważne jest odpowiednie zabezpieczenie i zarządzanie bazami danych oraz procesami przetwarzania danych osobowych, które wraz z rozwojem nowych technologii wpływają na wartość przedsiębiorstwa lub organizacji.

Jeśli jednak przetwarzasz dane osobowe, ale nie podjąłeś jeszcze działań związanych z wdrożeniem wymagań RODO, to zapraszamy do kontaktu. W Twojej firmie jest potrzebny inspektor ochrony danych osobowych? Napisz do nas - pomożemy Ci przetwarzać dane osobowe zgodnie z RODO! 

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk