Kogo nie dotyczy RODO? Wyjątki spod działania ogólnego rozporządzenia o ochronie danych osobowych

RODO, czyli ogólne rozporządzenie o ochronie danych osobowych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679), to akt prawny, który w ostatnich latach zasadniczo zmienił sposób, w jaki podmioty w Unii Europejskiej przetwarzają dane osobowe. Jego zasięg jest niezwykle szeroki – dotyczy zarówno firm, jak i organizacji non-profit, administracji publicznej, a nawet podmiotów spoza UE, o ile oferują usługi mieszkańcom Wspólnoty lub monitorują ich zachowania. Mimo tak uniwersalnego charakteru, RODO nie ma jednak zastosowania we wszystkich przypadkach. Istnieją wyjątki, które jasno wskazują, kiedy rozporządzenie nie obowiązuje.

RODO nie obowiązuje zawsze i wszędzie – co mówi art. 2 ust. 2 RODO?

Zacznijmy od podstaw. RODO ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do niezautomatyzowanego przetwarzania danych osobowych będących częścią zbioru danych lub mających stanowić jego część. Ale zgodnie z art. 2 ust. 2 rozporządzenia, istnieją jasno określone sytuacje, w których RODO nie znajduje zastosowania.

Oto główne wyłączenia:

• Działalność nieobjęta zakresem prawa Unii – chodzi tu o obszary wyłączone z kompetencji UE, jak np. polityka obronna państw członkowskich.
  
• Wspólna polityka zagraniczna i bezpieczeństwa UE – przetwarzanie danych realizowane w tym kontekście przez państwa członkowskie nie podlega RODO.
  
• Czynności o charakterze czysto osobistym lub domowym – jeżeli dana osoba gromadzi i przetwarza dane np. o rodzinie i przyjaciołach wyłącznie w prywatnych celach, rozporządzenie nie ma tu zastosowania.
  
• Działania organów ścigania – w zakresie związanym z zapobieganiem przestępczości, prowadzeniem postępowań przygotowawczych, egzekwowaniem kar oraz ochroną porządku publicznego obowiązuje osobna regulacja.
  

Te wyłączenia mają charakter zamknięty – nie należy ich interpretować rozszerzająco. Innymi słowy: jeśli dana sytuacja nie mieści się precyzyjnie w powyższych kategoriach, RODO prawdopodobnie będzie miało zastosowanie.

Przetwarzanie w UE i poza UE – kogo jednak RODO dotyczy?

Rozporządzenie nie ogranicza się jedynie do terytorium Unii Europejskiej. Wręcz przeciwnie – zgodnie z art. 3 RODO, ma ono zastosowanie również do podmiotów spoza UE, jeśli tylko ich działania dotyczą danych osób przebywających na jej obszarze.

RODO dotyczy więc:

• każdego przetwarzania danych osobowych w UE – nawet jeśli administrator lub podmiot przetwarzający znajduje się poza Wspólnotą,
  
• każdego podmiotu spoza UE, który oferuje towary lub usługi osobom przebywającym w UE (nawet bez odpłatności),
  
• każdego podmiotu spoza UE, który monitoruje zachowania osób na terenie UE (np. poprzez śledzenie cookies, lokalizacji, czy zachowań online).
  

Ponadto, RODO obejmuje także przetwarzanie danych na obszarach zależnych państw członkowskich – np. w terytoriach zamorskich należących do Francji czy Niderlandów.

Znaczenie sposobu przetwarzania – kiedy dane nie podlegają ochronie?

W praktyce bardzo istotne jest nie tylko to, kto przetwarza dane, ale również jak to robi. RODO wyraźnie wskazuje, że jego zakres obejmuje:

• przetwarzanie zautomatyzowane – czyli wszelkie działania przy użyciu systemów informatycznych, np. rejestracja klientów, wysyłka newslettera, analityka strony internetowej,
  
• przetwarzanie niezautomatyzowane – ale tylko wtedy, gdy dane stanowią część uporządkowanego zbioru danych (np. papierowe kartoteki pracownicze).
  

Zatem przetwarzanie niezautomatyzowane i niestanowiące elementu zbioru danych (np. luźne notatki na kartce, bez struktury) nie podlega RODO.

To rozróżnienie ma fundamentalne znaczenie, zwłaszcza dla freelancerów, mikroprzedsiębiorców czy osób pracujących z dokumentami w sposób tradycyjny.

Dane osobowe w celach prywatnych – kiedy nie trzeba stosować RODO?

Jednym z najczęstszych mitów dotyczących RODO jest przekonanie, że obowiązuje ono zawsze, gdy przetwarzane są dane osobowe. Tymczasem RODO nie ma zastosowania do przetwarzania danych przez osoby fizyczne w ramach czynności o charakterze czysto osobistym lub domowym.

To oznacza, że jeżeli prowadzisz listę kontaktów, zapisujesz terminy spotkań ze znajomymi czy robisz zdjęcia na uroczystości rodzinnej, nie musisz martwić się przepisami RODO.

Ale uwaga – wyjątkiem są sytuacje, w których dane te trafiają do internetu lub przetwarzane są z użyciem narzędzi, które same podlegają RODO. Przykładowo:

• jeśli korzystasz z aplikacji chmurowej do przechowywania zdjęć,
• używasz serwisu społecznościowego do udostępniania kontaktów czy lokalizacji,
  

to nawet jeśli twoim zamiarem jest cel osobisty – RODO może się już pojawić po stronie dostawcy tych usług, który udostępnia narzędzia przetwarzania i musi działać zgodnie z rozporządzeniem.

Organy ścigania i bezpieczeństwo publiczne – inna regulacja

Z perspektywy systemu ochrony danych osobowych w UE bardzo istotne jest to, że działania organów ścigania nie są objęte RODO. Wynika to z faktu, że rozporządzenie miało na celu uregulowanie przede wszystkim przetwarzania danych w sektorze prywatnym oraz administracji publicznej o charakterze ogólnym.

Dla organów takich jak policja, prokuratura, sądy czy służby specjalne zastosowanie ma dyrektywa 2016/680, znana jako dyrektywa policyjna, która została implementowana w Polsce ustawą z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości – tzw. ustawa DODO.

DODO reguluje zasady przetwarzania danych m.in. w kontekście prowadzenia postępowań karnych, ujawniania informacji operacyjnych czy ścigania przestępstw. Ma inne cele, inne obowiązki i inny katalog podmiotów niż RODO. Oba akty prawne działają równolegle, ale w zupełnie odmiennych reżimach prawnych.

Znaczenie praktyczne – kto faktycznie musi stosować RODO?

Zdecydowana większość firm, instytucji publicznych, organizacji pozarządowych oraz podmiotów prywatnych, które prowadzą działalność w formie zorganizowanej – musi stosować RODO. Nie ma tu znaczenia wielkość firmy czy skala działalności. Wystarczy, że przetwarzasz dane osobowe – czyli jakiekolwiek informacje pozwalające na identyfikację osoby fizycznej.

Brak wdrożenia RODO to dziś nie tylko naruszenie prawa, ale także realne ryzyko biznesowe:

• kary finansowe sięgające 20 mln euro lub 4% globalnego obrotu,
• utrata reputacji i zaufania klientów,
• trudności w nawiązywaniu współpracy z kontrahentami, którzy sami muszą być zgodni z RODO.
  

W praktyce przestrzeganie RODO staje się niepisanym standardem – tak samo jak ochrona tajemnicy przedsiębiorstwa czy zgodność z przepisami podatkowymi. Dbałość o ochronę danych osobowych jest też coraz częściej postrzegana jako element budowania wiarygodności rynkowej.

Podsumowanie – najważniejsze wnioski

• RODO nie ma zastosowania m.in. do działań o charakterze czysto osobistym, działań organów ścigania, polityki zagranicznej i bezpieczeństwa UE oraz przetwarzania danych poza zakresem prawa UE.
• Przepisy obejmują podmioty z UE i spoza UE, jeżeli przetwarzają dane osób znajdujących się na terenie Unii lub oferują im towary i usługi.
• Znaczenie ma sposób przetwarzania danych – wyłączeniu podlegają tylko niezautomatyzowane czynności niepowiązane z uporządkowanym zbiorem danych.
• Dla organów ścigania obowiązuje osobna regulacja – dyrektywa policyjna i ustawa DODO.
• W praktyce większość podmiotów przetwarzających dane osobowe musi wdrożyć RODO – to obowiązek prawny, ale też rynkowy standard.
  

Jeśli masz wątpliwości, czy Twoja działalność podlega RODO – warto zasięgnąć profesjonalnej porady i compliance prawnego. Pamiętaj, że lepiej zabezpieczyć się zawczasu niż mierzyć się z konsekwencjami braku zgodności z przepisami.