RODO: Zakres przedmiotowy i podmiotowy rozporządzenia

Wielu przedsiębiorców nie zdaje sobie nawet sprawy z faktu, iż nowe rozporządzenie dotyczące ochrony danych osobowych (tzw. RODO), które zacznie obowiązywać od maja 2018 roku może nakładać na nich szereg dodatkowych obowiązków. Wielokrotnie przedsiębiorcy nie zadają sobie bowiem nawet pytania, kogo dotyczą nowe przepisy RODO.

Szczególnie przedsiębiorcy z sektora małych i średnich przedsiębiorstw, a także podmioty świadczące usługi na rzecz kontrahentów z zagranicy, w tym w szczególności spoza Unii Europejskiej, często pozostają w błędnym przekonaniu, że nowe przepisy ich nie dotyczą, albowiem są skierowane wyłącznie do dużych spółek i banków, które posiadają rozbudowane bazy danych klientów zapisane na serwerach.

W rzeczywistości wielkość przedsiębiorcy i rodzaj świadczonych przez niego usług nie ma wpływu na fakt, czy nowe rozporządzenie znajdzie zastosowanie czy nie.

Zakres podmiotowy, czyli kogo dotyczą nowe przepisy RODO?

W związku z przetwarzaniem danych osobowych RODO wprowadza pojęcie „administratora” oraz „podmiotu przetwarzającego”, do których znajdą zastosowanie przepisy tego rozporządzenia. Zarówno na administratora, jak i na podmiot przetwarzający nałożono szereg obowiązków w zakresie ochrony danych osobowych.

Przez „administratora” rozumie się osobę fizyczną lub prawną, organ publiczny jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

„Podmiotem przetwarzającym” jest natomiast osoba fizyczna lub prawna organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. 

Oznacza to, że administratorem lub podmiotem przetwarzającym będzie zarówno duża spółka akcyjna, jak i osoba prowadząca jednoosobową działalność gospodarczą pod warunkiem, że będzie ona przetwarzała dane osobowe. 

WAŻNE

Administratorem i podmiotem przetwarzającym dane osobowe może być każdy, nawet przedsiębiorca prowadzący jednoosobową działalność, który zapisuje sobie w wybrany przez siebie sposób dane osobowe m.in. swoich klientów, pracowników i kontrahentów.

O konieczności stosowania RODO u przedsiębiorcy decyduje zatem wyłącznie fakt przetwarzania przez niego danych osobowych (np. zapisywania nazwisk, numerów nip oraz innych informacji niezbędnych do wystawienia faktury), nie zaś wielkość przedsiębiorcy, czy też okoliczność zatrudniania pracowników. 

Przykład

Przedsiębiorca prowadzący jednoosobową działalność gospodarczą nie zatrudnia żadnych pracowników i świadczy swoje usługi wyłącznie na rzecz innych przedsiębiorców, w tym prowadzących jednoosobową działalność. W związku z powyższym przedsiębiorca zapisuje sobie imiona, nazwiska oraz numery NIP swoich kontrahentów, w celu obsługi zamówień klientów oraz wystawiania faktur VAT za świadczone usługi. W takiej sytuacji przedsiębiorca będzie administratorem danych osobowych w rozumieniu RODO i musi stosować przepisy rozporządzenia. 

Zakres materialny, czyli co to jest przetwarzanie?

Poprzez przetwarzanie rozumie się zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie danych osobowych stanowiących część zbioru (uporządkowanego zestawu) danych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany.

Oznacza to, że przetwarzanie danych osobowych może mieć miejsce zarówno w systemie informatycznym, jak i poza nim.

Rozporządzenie nie znajdzie jednak zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze, a także przez państwa członkowskie, jak i właściwe organy do celów zapobiegania przestępczości.

WAŻNE

Za przetwarzanie danych osobowych rozumie się wykorzystywanie elektronicznych baz danych przez telemarketerów, jak i sporządzanie listy danych osobowych klientów w zwykłym notatniku lub na kartce papieru przez przedsiębiorcę.

Zakres terytorialny, czyli gdzie obowiązuje RODO?

Przepisy rozporządzenia znajdują zastosowanie do przetwarzania danych osobowych przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Oznacza to, że jeżeli przedsiębiorca będący administratorem lub podmiotem przetwarzającym posiada jednostkę organizacyjną w Unii (tzn. ma siedzibę lub posiada spółkę córkę w Unii), to jest on zobowiązany do przestrzegania przepisów rozporządzenia, nawet jeżeli osoby, których dane zostały zgromadzone w zbiorze lub samo przetwarzanie ma miejsce poza Unią.

Ponadto przetwarzanie danych osobowych osób, których dane dotyczą, a które przebywają w Unii przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, również podlega przepisom nowego rozporządzenia, jeżeli przetwarzanie wiąże się z oferowaniem towarów lub usług takim osobom w Unii, niezależnie od tego, czy wymaga się od tych osób zapłaty.

Podsumowanie

Nowe przepisy dotyczące ochrony danych osobowych będą obowiązywały wszystkich przedsiębiorców, którzy w związku ze swoją działalnością przetwarzają dane osobowe, bez względu na ich wielkość i obroty oraz niezależnie od formy prowadzonej działalności (czyli również osoby fizyczne prowadzące działalność gospodarczą oraz małe spółki). 

Nie ma przy tym znaczenia, czy będą to dane osobowe klientów, kontrahentów, pracowników, czy potencjalnych klientów przedsiębiorcy ani, czy dane te będą przetwarzane komputerowo, czy mechanicznie.

Ponadto, jeżeli przedsiębiorca będzie miał siedzibę w Unii, to będą go obowiązywały przepisy RODO.

Wdrożenie RODO - najważniejsze kroki

Zachęcam również do zapoznania się ze wpisem wskazującym na najważniejsze działania niezbędne do wprowadzenia RODO. Więcej na ten temat tutaj.