RODO – kto ma obowiązek jego stosowania
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) wejdzie w życie z dniem 25 maja 2018 r. Zmiany, jakie na jego mocy zostaną wprowadzone, są szeroko komentowane i budzą wiele emocji. Warto przy tym zwrócić uwagę, kogo będą, a kogo nie będą dotyczyć obowiązki wynikające z RODO.
RODO ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Wspomniane dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Z kolei przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Natomiast zbiór danych oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
A zatem zautomatyzowane, choćby nawet częściowo, przetwarzanie danych osobowych podlega pod RODO niezależnie od tego, czy dane są przetwarzane w ramach zbioru danych. Natomiast w przypadku przetwarzania niezautomatyzowanego RODO ma zastosowanie jedynie do przetwarzania danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Zgodnie natomiast z zawartymi w wprost w rozporządzeniu wyłączeniami RODO nie ma zastosowania do przetwarzania danych osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE (wskazane w wyłączeniu przepisy dotyczą wspólnej polityki zagranicznej i bezpieczeństwa);
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (przykładem mogą być takie formy podtrzymywania więzi społecznych jak np. przechowywanie danych znajomych w książkach teleadresowych czy kontakty towarzyskie na portalach społecznościowych);
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.