Kto musi, a kto nie musi mieć RODO ?

Published by Marek Mróz on

Z tytułowym pytaniem – Kto musi, a kto nie musi mieć RODO ?, spotykamy się dość często w zapytaniach płynących zarówno od firm i instytucji, a także od osób prywatnych. Mimo sporego już upływu czasu od wejścia w życie 25 maja 20218 roku Unijnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.), zwanego popularnie RODO oraz Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Tj. Dz. U. z 2019 r., poz. 1781 z późn. zm.), temat rodzi nadal wiele wątpliwości oraz generuje wiele błędnych interpretacji. Zapraszam do artykułu.

Kogo RODO dotyczy ?

Podstawowa odpowiedź na zadane pytanie jest prosta. Wdrożenie zasad RODO dotyczy instytucji państwowych oraz działalności gospodarczych prowadzonych przez osoby prywatne. Wprost wyjaśnia to art. 4 pkt 7 RODO, w którym wskazano definicję Administratora danych osobowych.

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.”

W zapisie tym jasno wskazano, że Administratorem danych osobowych może być każdy podmiot – od osoby fizycznej prowadzącej działalność, przez spółkę, fundację, stowarzyszenie, szkołę, po organ administracji publicznej. Kluczowe jest tu pojęcie „przetwarzania danych osobowych” – a to oznacza każdą operację wykonywaną na danych, która może obejmować m.in. ich zbieranie, przechowywanie, modyfikowanie, przekazywanie czy usuwanie.

💡 W praktyce oznacza to, że jeżeli prowadzisz firmę i masz dane klientów, kontrahentów czy pracowników – RODO Cię obowiązuje. Nawet jeśli to tylko adres e-mail czy numer telefonu. Wyjątek będą natomiast dane przetwarzane wyłącznie w celach osobistych lub domowych (np. prywatny notes z numerami znajomych.

Podsumowując, RODO stosuje się, gdy:

1. Twoja firma przetwarza dane osobowe i ma siedzibę w UE, bez względu na to, gdzie faktycznie dochodzi do przetwarzania danych.

2. Twoja firma ma siedzibę poza UE, ale przetwarza dane osobowe w związku z oferowaniem towarów lub usług osobom fizycznym w UE lub monitoruje zachowania osób fizycznych w Unii.

Co również istotne, Przedsiębiorstwa spoza Unii przetwarzające dane obywateli UE muszą wyznaczyć swojego przedstawiciela w Unii.

Spotykane często tłumaczenie – ja w mojej firmie nie przetwarzam żadnych danych osobowych – jest niestety błędne. Każda instytucja przetwarza dane, w tym dane osobowe, np. dane klientów, kontrahentów, pracowników

Reasumując RODO dotyczy wszystkich, którzy przetwarzają dane osobowej na terytorium Unii Europejskiej. Nawet mała jednoosobowa działalność może przetwarzać dane osobowe, a co za tym idzie być zobowiązana do wdrożenia przepisów RODO. Nie ma przy tym znaczenia gdzie odbywa się przetwarzanie danych ani gdzie znajdują się serwery. Nie ma znaczenia branża, skala i obszar działalności, ilość zatrudnianych pracowników lub obrót.

Kogo RODO nie dotyczy ?

RODO co do zasady nie dotyczy osób prywatnych, jeżeli przetwarzają dane wyłącznie w celach osobistych lub domowych. Wprost określa to zapis zawarty w preambule 18 RODO – wyjątek domowy.

„Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.”

📌 Przykład – RODO nie obowiązuje, gdy:

  • prowadzisz prywatny notes z numerami znajomych,

  • zapisujesz daty urodzin rodziny w kalendarzu,

  • robisz zdjęcia na prywatnym przyjęciu i przechowujesz je tylko dla siebie.

📌 RODO zaczyna obowiązywać, jeśli:

  • te dane zaczynasz wykorzystywać w związku z działalnością zawodową, handlową lub publiczną,

  • udostępniasz je publicznie (np. prowadzisz komercyjnego bloga z danymi osób, zdjęciami bez ich zgody),

  • prowadzisz grupę, stowarzyszenie czy działalność, gdzie dane są gromadzone i wykorzystywane w sposób zorganizowany.

Mówiąc prościej – jeśli jesteś „Kowalskim” zbierającym dane do prywatnych celów, RODO Cię nie dotyczy. Jeśli robisz to w jakiejkolwiek formie „oficjalnej” – już tak.

Podsumowując, przepisów RODO nie stosuje się, gdy:

1. Osoba, której dane dotyczą, nie żyje.

2. Osoba, której dane dotyczą, jest osobą prawną.

3. Dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane.

Przytoczone zapisy wynikają bezpośrednio z art. 2 RODO, uzupełnionego o motywy preambuły oraz z definicji zawartych w art. 4 RODO.

📌 Osoba, której dane dotyczą, nie żyje:

  • RODO chroni dane „osób fizycznych” (art. 1 ust. 1 i art. 4 pkt 1 – definicja danych osobowych).

  • Motyw 27 preambuły RODO mówi wprost:

    „Niniejsze rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych.”

  • Ochrona danych osób zmarłych może być uregulowana w prawie krajowym (w Polsce m.in. ustawa o ochronie danych osobowych z 2018 r., art. 14–23, wprowadzająca regulacje dla praw pośmiertnych).

📌 Osoba, której dane dotyczą, jest osobą prawną:

  • Definicja danych osobowych z art. 4 pkt 1 RODO:

    „Dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”).

  • Oznacza to, że dane osób prawnych (np. nazwa firmy, NIP spółki, adres siedziby) nie podlegają RODO.

  • Wyjątek: jeśli w danych osoby prawnej zawarte są dane pozwalające zidentyfikować konkretną osobę fizyczną (np. jednoosobowa działalność gospodarcza z imieniem i nazwiskiem w nazwie), wtedy RODO ma zastosowanie.

📌 Dane są przetwarzane w celach niezwiązanych z działalnością handlową, gospodarczą lub zawodową osoby przetwarzającej dane

  • To tzw. „wyjątek domowy” z art. 2 ust. 2 lit. c RODO:

    „Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych (…) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.”

  • Motyw 18 preambuły rozwija:

    „Działalność osobista lub domowa może obejmować korespondencję i przechowywanie adresów oraz działalność w sieciach społecznościowych i w Internecie prowadzoną w ramach takiej działalności.”

Zapraszam również do tematycznych publikacji: Jak właściwie wdrożyć RODO w Twojej firmie dowiesz się z artykułu – Tutaj, a jakich błędów unikać przeczytasz – Tutaj.

Z podstawami prawnymi wdrożenia RODO możesz także zapoznać się w filmie na naszym kanale – TUTAJ.

Zapraszam Cię również do naszego bezpłatnego newslettera – Poradnika Pracodawcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr. Zapisać się do newslettera możesz TUTAJ.

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.

Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,

Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,

Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,

Informatyka Śledcza – kupisz tutaj,

Profesjonalne testy penetracyjne – kupisz tutaj.

Categories: ARTYKUŁY
Tags:

Related Posts

ARTYKUŁY

Inspektor Ochrony Danych – kiedy, po co, jak i dlaczego ?

Inspektor Ochrony Danych (IOD) to osoba, która pomaga organizacji „utrzymać kurs” zgodności z głównymi przepisami o ochronie danych osobowych – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie Czytaj więcej

ARTYKUŁY

999 czy 112? Który numer wybrać?

999 czy 112? To częste pytanie zadawane przez uczestników prowadzonych przez nas szkoleń. Który numer daje szansę na szybszą reakcję służby, kiedy liczy się każda minuta, gdy liczy się czyjeś życie? Ten ważny problem nie Czytaj więcej

ARTYKUŁY

Kogo dotyczy audyt Krajowych Ram Interoperacyjności

Audyt Krajowych Ram Interoperacyjności popularnie określany jako KRI, jest zasadniczym elementem zapewnienia zgodności działalności podmiotów publicznych (i współpracujących z nimi podmiotów prywatnych) z wymogami krajowymi w zakresie interoperacyjności i bezpieczeństwa systemów informatycznych. Ten ważny obszar Czytaj więcej

Zasilane przez  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.