Kto jest zobowiązany do stosowania RODO?

Zastanawiasz się, czy w każdym przypadku zobowiązany jesteś do stosowania RODO? Przetwarzasz dane osobowe cudzoziemców i nie wiesz, czy podlegają one tej samej ochronie, co dane krajowych osób fizycznych? A może masz zarejestrowaną firmę poza Unią Europejską i chciałbyś upewnić się, czy RODO dotyczy również ciebie? Czy też poszykujesz informacji na temat tego, czy RODO obowiązuje w państwach EOG? Z artykułu dowiesz się:

• czy RODO stosuje się do wszystkich danych osobowych,
• jakie podmioty muszą stosować RODO,
• czy są wyjątki od obowiązku wdrożenia RODO,
• czy RODO ma zastosowanie w krajach Europejskiego Obszaru Gospodarczego

Sposób przetwarzania danych a RODO

Ogólne rozporządzenie o ochronie danych (RODO), patrząc na nie z perspektywy sposobu przetwarzania danych osobowych, znajduje zastosowanie do przetwarzania danych osobowych:

• w sposób całkowicie lub częściowo zautomatyzowany oraz
• do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

Z powyższego wynika, że przetwarzanie danych osobowych w sposób inny niż zautomatyzowany, o ile dane te nie stanowią części zbioru danych i nie mają zostać do niego włączone, odbywa się poza reżimem prawnym RODO.

W tym miejscu wyjaśnię, że zbiór danych osobowych to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, czyli istnieje możliwość odnalezienia danych konkretnej osoby fizycznej bez konieczności przeszukiwania całości takiego zestawu (np. dane te ułożone są alfabetycznie albo chronologicznie, bądź kategoriami podmiotów).

Dane osobowe nieuporządkowane, nie posiadające kryterium wyszukiwania nie stanowią zbioru danych osobowych, o ile zatem nie planujesz włączenia ich do takiego zbioru, nie musisz stosować do nich zasad wynikających z RODO.

Podmioty przetwarzające a RODO

Kolejnym kryterium pozwalającym na określenie zakresu stosowania RODO, jest wskazanie rodzajów podmiotów uczestniczących w przetwarzaniu danych osobowych zobowiązanych do jego stosowania. RODO ma zatem zastosowanie do przetwarzania danych osobowych przez:

1. jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od tego, czy przetwarzanie odbywa się w Unii Europejskiej,
2. administratora niemającego jednostki organizacyjnej w Unii Europejskiej, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego (chodzi tu o różnego typu terytoria i obszary zależne, bądź autonomiczne stanowiące formalnie terytorium państwa członkowskiego, jednakże znajdujące się poza Europą),
3. administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii Europejskiej, w odniesieniu do danych osób, których dane dotyczą, przebywających w Unii Europejskiej, jeżeli czynności przetwarzania wiążą się z:

• oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii Europejskiej – niezależnie od tego, czy wymaga się od tych osób zapłaty lub
• monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.

Z powyższego zestawienia wynika, że RODO ma zastosowanie w praktyce do wszystkich podmiotów, które przetwarzają dane osobowe na terytorium Unii Europejskiej, bądź z tego terytorium pochodzących.

Od tej zasady są jednak wyjątki, i tak RODO nie ma zastosowania do przetwarzania danych osobowych:

1. w ramach działalności nieobjętej zakresem prawa Unii Europejskiej,
2. przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE (działania UE na arenie międzynarodowej),
3. przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
4. przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Osoby, których dane dotyczą a RODO

Omawiane rozporządzenie nie czyni w tym zakresie wyjątków. RODO stosowane jest zatem do wszystkich osób przebywających na terytorium Unii Europejskiej niezależnie od ich obywatelstwa, gdy wchodzą w relacje z podmiotami wskazanymi w poprzednim punkcie.

W odniesieniu wszakże do administratorów spoza Unii Europejskiej, przetwarzanie danych osobowych osób przebywających na jej terytorium – niezależnie od ich obywatelstwa – podlegać będzie pod RODO tylko w dwóch, ww. przypadkach, tj.

• oferowania towarów lub usług takim osobom, których dane dotyczą lub
• monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.

Nawet jeżeli posiadasz działalność zarejestrowaną w państwie poza Unią Europejską ale przetwarzasz dane osobowe osób w niej przebywających, w jednym ze ww. celów, to i tak masz obowiązek stosowania do nich RODO.

RODO a EOG

Ogólne rozporządzenie o ochronie danych obowiązuje na terytorium Unii Europejskiej oraz względem danych osobowych pochodzących z tego obszaru. RODO nie ma zatem bezpośredniej mocy obowiązującej w państwach będących członkami Europejskiego Obszaru Gospodarczego (EOG), które nie są jednocześnie członkami Unii Europejskiej (np. Szwajcaria, Norwegia, Islandia). Niemniej, wszystkie te państwa wdrożyły wewnętrzne regulacje odpowiadające wymogom RODO. Poziom ochrony danych osobowych w EOG jest zatem zgodny z założeniami RODO. Na marginesie można jedynie wspomnieć, że w większości krajów EOG nie będących członkami Unii Europejskiej, maksymalna wysokość kar za naruszenie zasad ochrony danych osobowych jest znacznie niższa, aniżeli kary finansowe przewidziane w RODO.

Jeżeli zatem zamierzasz prowadzić działalność gospodarczą w tych państwach lub gromadzić dane osobowe osób w nich przebywających, pamiętaj że podstawę prawną przetwarzania takich danych stanowić będzie nie RODO, a właściwe akty prawne prawa krajowego tego państwa.