Kogo dotyczy RODO

Ogólne rozporządzenie o ochronie danych osobowych

RODO – czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych – to unijny akt prawny, którego przepisy zaczną obowiązywać w Polsce od 25 maja 2018 roku. Rozporządzenie reguluje kwestie przetwarzania i przepływu danych osobowych, znacząco wzmacniając ochronę danych osobowych osób fizycznych. Jednocześnie zmienia ono całą filozofię postępowania z tym rodzajem informacji.

W niniejszym wpisie wyjaśnimy kogo dotyczą zmiany wprowadzane przez RODO.

Zakres przedmiotowy RODO – czyli czego dotyczy Rozporządzenie

Ogólne Rozporządzenie o Ochronie Danych Osobowych dotyczy wszystkich podmiotów, które przetwarzają dane osobowe: niezależnie od tego czy odbywa się to w sposób zautomatyzowany, częściowo zautomatyzowany bądź inny niż zautomatyzowany. Znaczenia nie ma również forma nośników danych: ochronie podlegają zarówno dane przetwarzane w systemach informatycznych, jak i te przechowywane na bardziej namacalnych nośnikach (notesy, wydruki z komputera itp.).

Wyjęte z pod obowiązków narzucanych przez RODO zostało tylko kilka specyficznych przypadków, czyli:

– działalność nieobjęta prawem Unii Europejskiej;

– państwa członkowskie wykonujące działania z zakresu tytułu V rozdział 2 Traktatu o Funkcjonowaniu Unii Europejskiej;

– osoby fizyczne wykorzystujące dane osobowe w czysto osobistym charakterze;

– organy państwowe zajmujące się zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, wykrywaniem i ściganiem czynów zabronionych lub wykonywania kar (czyli służby działające w celu ochrony przed zagrożeniami dla bezpieczeństwa publicznego i prewencji przed takimi zagrożeniami).

Zakres terytorialny RODO – czyli gdzie ono obowiązuje

Co ciekawe, terytorialny zakres zastosowania RODO nie ogranicza się wyłącznie do terenu UE. Jeśli jednostka organizacyjna administratora danych (podmiotu decydującego o celu przetwarzania danych) lub procesora (podmiotu któremu przetwarzanie zostało powierzone przez administratora) prowadzi działalność na terenie Unii, a samo przetwarzanie odbywa się poza jej terenem wówczas również takie podmioty obowiązują zapisy Rozporządzenia.

Zapisy RODO stosuje się także w przypadku gdy przetwarza się dane osób przebywających na terenie Unii, mimo iż podmioty przetwarzające te dane nie mają jednostek działających na terenie UE (dotyczy to oferowania tym osobom towarów lub usług oraz monitorowania ich zachowania na terenie Unii).

Przepisami RODO objęte są również te podmioty, które posiadają jednostkę organizacyjną poza terenem Unii, w miejscu gdzie zastosowanie ma prawo państwa członkowskiego.

Mówiąc prościej…

RODO dotyczy zatem wszystkich podmiotów przetwarzających dane osobowe (z wyjątkiem wspomnianych wyżej wyłączeń), które działają na terenie Unii Europejskiej bądź których działalność wiąże się z Unią Europejską.

Rodzi się zatem następujące pytanie – jakie podmioty przetwarzają dane osobowe?

Dane osobowe, w myśl RODO, przetwarza niemal każda organizacja, gdyż Rozporządzenie przyjmuje bardzo szeroką ich definicję. Zgodnie z ustępem pierwszym art. 4 dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Jak więc widzimy, rozumienie danych osobowych zgodnie z interesującym nas aktem prawnym jest szersze niż to funkcjonujące obecnie w polskim systemie prawnym.

Przepisami RODO objęte będą zatem m.in.:

Jednostki samorządu terytorialnego

Jednostki samorządu terytorialnego (gmina, powiat, województwo) przetwarzają ogromne ilości danych osobowych, głównie w celu świadczenia usług publicznych. (m.in. zaopatrzenie w wodę, usuwanie ścieków komunalnych, działalność w zakresie telekomunikacji).

Firmy zatrudniające pracowników

Każde przedsiębiorstwo, które zatrudnia pracowników siłą rzeczy przetwarza ich dane osobowe. Firma gromadzi dane takie jak np. imię i nazwisko, data urodzenia, adres zamieszkania (adres do korespondencji). Zatem każda firma, gdzie zatrudniani są ludzie, podlega bezpośrednio pod zapisy RODO.

Firmy gromadzące dane klientów 

Jeśli firma to jednoosobowa działalność, należy zwrócić uwagę czy nie przetwarza ona danych swoich klientów bądź kontrahentów. Jeśli tak – również i ją obowiązują zapisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych. Do tego grona zaliczają się również małe sklepy internetowe, gdzie klient aby dokonać transakcji musi wprowadzić swoje dane (niezależnie czy odbywa się to jednorazowo w trakcie dokonywania transakcji, czy wymagane jest od niego posiadanie własnego konta).

Szkoły i przedszkola

Instytucje i firmy świadczące usługi w zakresie edukacji, to kolejna grupa podmiotów, których działanie bez przetwarzania danych osobowych jawi się jako niemożliwe. Zatem i tego typu podmioty powinny zainteresować się regulacjami RODO.

Kościoły i związki wyznaniowe

Kościoły i związki wyznaniowe, to dość specyficzna grupa podmiotów przetwarzających dane dotyczące osób fizycznych. Niemniej, europejskie Rozporządzenie odnosi się także do nich: art. 91 Rozporządzenia nakazuje dostosowanie zasad przetwarzania danych przez Kościoły i związki wyznaniowe do zasad zawartych w RODO.

Szpitale, grupowe praktyki lekarskie, gabinety rehabilitacyjne

Podmioty świadczące usługi medyczne również podlegają RODO. Co więcej, ich świadczenie niemożliwe jest bez przetwarzania danych o charakterze szczególnie wrażliwym (dotyczących stanu zdrowia, przebytych chorób itp.). W związku z czym podmioty takie należą do jednej z tych kategorii organizacji objętych rozporządzeniem, które do kwestii ochrony danych osobowych powinny podejść w sposób najbardziej rzetelny oraz podjąć silne i sprawdzone rozwiązania w celu ochrony przetwarzanych informacji.

Organizacje społeczne

Organizacje zawodowe, samorządowe, spółdzielcze, czy stowarzyszenia – czyli organizacje określane mianem społecznych, to kolejne podmioty gromadzące dane osobowe (dane te dotyczą głównie ich członków). Dlatego też i tego typu organizacje powinny wdrożyć u siebie zasady przetwarzania i ochrony danych, adekwatne do zapisów RODO oraz konkretnych wymagań zdeterminowanych przez specyfikę organizacji i charakter środowiska, w jakim funkcjonuje.

Podsumowanie

Jak wynika z wyżej zarysowanego zakresu obowiązywania Rozporządzenia – trudno znaleźć organizację, której zapisy RODO nie dotyczą. Oczywiście charakter odpowiedzialności przewidywanej przez nowe prawo nie jest jednakowy dla każdego podmiotu. Zależy on od wielu czynników. Niemniej filozofia tych zmian prawnych oraz główne zasady wyznaczające ramy RODO są dość uniwersalne i odnoszą się do wszystkich podmiotów przetwarzających dane osobowe. Tym zagadnieniem zajmiemy się jednak w następnym wpisie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

16 + 18 =