Kiedy musisz stosować RODO?

Jeżeli dane, które wpływają do twojej firmy są danymi osobowymi, a to, co z nimi robisz – stanowi ich przetwarzanie, to wiedz, że Prezes Urzędu Ochrony Danych Osobowych może się tobą zainteresować. W większości takich przypadków będzie miało bowiem zastosowanie słynne RODO^[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W większości, ale nie we wszystkich. Dlatego warto szczegółowo przeanalizować zakres zastosowania tego rozporządzenia.

Kluczowe znaczenie w tym kontekście ma art. 2 ust. 1 i 2 RODO:

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:
   1. w ramach działalności nieobjętej zakresem prawa Unii;
   2. przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;
   3. przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
   4. przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Powyższe przepisy w pierwszej kolejności wskazują kiedy RODO ma zastosowanie (zasada), a następnie opisują cztery sytuacje, w których RODO jednak nie ma zastosowania (wyjątki).

Kiedy RODO ma zastosowanie?

RODO należy stosować do wszystkich przypadków zautomatyzowanego przetwarzania danych osobowych. Choć w RODO nie ma definicji zautomatyzowanego przetwarzania, nietrudno wskazać sytuacje, w których mamy do czynienia z takim rodzajem przetwarzania – chodzi o jakiekolwiek operacje na danych osobowych bez udziału człowieka (choćby częściowo). Każdy przedsiębiorca powinien przyjąć, że jeżeli dane osobowe są wprowadzane do systemu informatycznego (np. są podawane przez użytkowników na stronie internetowej lub dane zebrane w formie papierowej są następnie wprowadzane do komputera), stanowi to zautomatyzowane przetwarzanie, do którego RODO ma pełne zastosowanie.

Jednak to nie wszystko. Nie zawsze przetwarzanie danych w sposób niezautomatyzowany, będzie wyłączone spod zakresu RODO. Istotne jest jeszcze to czy przetwarzane dane osobowe stanowią część zbioru osobowego lub zostaną w przyszłości do takiego zbioru włączone.

W przeciwieństwie do „zautomatyzowanego przetwarzania” RODO zawiera definicję „zbioru danych”. Zgodnie z art. 4 p. 6) RODO „zbiór danych” oznacza „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”. W ocenie czy mamy do czynienia ze zbiorem danych osobowych kluczowe są trzy elementy powyższej definicji:

1. zestaw danych osobowych;
2. uporządkowanie;
3. dostępność według określonych kryteriów.

Aby można było mówić o zbiorze danych osobowych powyższe przesłanki muszą wystąpić jednocześnie.

Określenie „zestaw danych osobowych” sugeruje, że w zbiorze danych musi być więcej niż jedna informacja. Nie można tego jednak mylić z liczbą osób, których dane dotyczą. Nawet jeżeli administrator dysponuje danymi odnoszącymi się do jednej osoby, ale dane te zawierają więcej niż jedną informację, będą one stanowiły zbiór danych osobowych.

Natomiast przez „uporządkowanie” i „dostępność” należy rozumieć sortowanie i filtrowanie danych osobowych zawartych w zestawie (np. według pierwszej litery nazwiska). Choć teoretycznie można zrobić rozróżnienie pomiędzy uporządkowaniem a dostępnością według określonych kryteriów samych danych osobowych i nośników, na których zapisano dane osobowe (np. formularze wypełnione przez klientów posortowane według daty wypełnienia), jednak nie radzę tego robić. Dla bezpieczeństwa lepiej jest przyjąć, że w każdym przypadku mamy do czynienia z zestawem danych osobowych uporządkowanym i dostępnym według określonych kryteriów – a więc ze zbiorem danych osobowych, do którego należy stosować przepisy RODO.

Wydaje się, że przymiotów zbioru danych nie powinno mieć użycie danych osobowych w ramach jakiegoś dłuższego tekstu – np. książki, artykułu prasowego czy nawet umowy. Takie podejście potwierdził Generalny Inspektor Ochrony Danych Osobowych, jeszcze przed wejściem w życie RODO, uznając na swojej stronie internetowej, że „publikacje w prasie i książkach, zwierające dane osobowe w formie nieuporządkowanej nie stanowią przetwarzania danych osobowych w zbiorze, a więc nie podlegają przepisom ustawy o ochronie danych osobowych” (https://archiwum.giodo.gov.pl/320/id_art/978/j/pl). Poprzednia wersja ustawy o ochronie danych osobowych, w odniesieniu do zakresu zastosowania, miała bardzo podobną konstrukcję, dlatego wytyczne te można uznać za miarodajne także w obecnym stanie prawnym. Niemniej jednak, do kwestii tej należy podchodzić bardzo ostrożnie – wystarczy, że tekst zawierający dane został zapisany na komputerze lub przesłany pocztą elektroniczną i już RODO będzie miało zastosowanie na podstawie przesłanki o przetwarzaniu danych w sposób zautomatyzowany.

Nawet jeżeli dane nie zostają włączone do zbioru danych osobowych, niekoniecznie musi to wyłączać zastosowanie RODO. Bardzo ważny jest fragment art. 2 ust. 1 RODO mówiący o przetwarzaniu danych mających stanowić część zbioru danych. Jeśli z jakichś powodów nie dojdzie do włączenia danych do zbioru danych osobowych, ale dane te miały zostać do niego włączone, RODO ma w takiej sytuacji zastosowanie. Potwierdził to Sądu Najwyższy w postanowieniu z 11 grudnia 2000 r. (sygn. II KKN 438/00), wydanym jeszcze w czasach przed RODO (ale – jak wspomniałem powyżej – w tym zakresie podobieństwa RODO i obowiązującej wtedy ustawy o ochronie danych osobowych, są bardzo duże).  W postanowieniu tym Sąd Najwyższy orzekł, iż „dane osobowe korzystają z ochrony przewidzianej ustawą o ochronie danych osobowych już wówczas, jeżeli tylko mogą znaleźć się w zbiorze, bez względu na to, czy się w nim ostatecznie znalazły”, a także że „nie może bowiem być pozbawiona w ogóle ochrony prawnej płynącej z ustawy w odniesieniu swych danych osoba, której dane – mimo że zbierane, czyli przetwarzane w rozumieniu tej ustawy – nie znalazły się w zbiorze, i to tylko dlatego, że nie weszły one do zbioru”. Sprawa dotyczyła odpowiedzialności karnej administratora danych osobowych osób biorących udział w loterii „Graj w zielone” za udostępnienie tych danych osobom do nieupoważnionym. Oskarżony bronił się twierdząc, że „sposób przechowywania zgłoszeń promocyjnych w trakcie całej promocji, jak i po jej zakończeniu, nie pozwala na uznanie, iż tworzyły one zbiór w rozumieniu ustawy”. Sąd przyjął bardzo szeroką interpretację tego, co należy rozumieć przez dane mające stanowić część zbioru danych osobowych i nie podzielił argumentu oskarżonego. Nieustannie zalecam podobne, ostrożne, podejście wszystkim administratorom – w przypadku danych osobowych zawsze lepiej zrobić za dużo niż za mało.

A kiedy nie?

W art. 2 ust. 2 RODO wskazano cztery sytuacje, w których RODO nie ma zastosowania, nawet jeżeli dochodzi do przetwarzania danych osobowych w sposób zautomatyzowany lub w zbiorze danych osobowych. Nie wszystko w tym zakresie jest do końca jasne (np. kwestia ram działalności nieobjętej zakresem prawa Unii Europejskiej), ale nie ma sensu się na tym koncentrować. To są specyficzne przypadki, w głównej mierze odnoszące się do organów państwa. Przedsiębiorcy działający na terytorium Polski (lub Unii Europejskiej) niemalże na pewno nie mogą skorzystać z tych wyjątków.

Krótkiego wyjaśnienia wymaga tylko p. c mówiący o przetwarzaniu danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Aby można było skorzystać z tego zwolnienia muszą być spełnione dwa warunki. Po pierwsze, podmiot przetwarzający dane musi być osobą fizyczną. Wyłączenie to nie dotyczy osób prawnych i innych jednostek organizacyjnych. Po drugie, dane osobowe muszą być przetwarzane wyłącznie w celach osobistych lub domowych. Co należy rozumieć pod tymi pojęciami? Nie można podać jednej, uniwersalnej definicji – każdy przypadek powinien być oceniany indywidualnie. Punktem wyjścia takiej oceny powinno być określenie czy przetwarzanie danych jest w jakikolwiek sposób związane z osiąganiem jakichkolwiek korzyści majątkowych (w tym przede wszystkim z działalnością zarobkową). Jeżeli tak, prawie na pewno przesłanka celu osobistego lub domowego nie będzie spełniona. Jako przykład przetwarzania danych w ramach czynności o czysto osobistym charakterze można podać dane znajomych lub rodziny w kontaktach na telefonie.

Dwa szalenie ważne pytania

Z powyższych rozważań wynika, że każdy przedsiębiorca powinien sobie zadać dwa szalenie ważne pytania:

1. Czy dane osobowe w jego firmie są przetwarzane w sposób zautomatyzowany?
2. Czy dane osobowe przetwarzane w jego firmie stanowią lub mogą stanowić część zbioru danych osobowych?

Pozytywna odpowiedź na jedno z tych pytań sprawia, że przedsiębiorca już w momencie zbierania danych osobowych staje się ich administratorem w rozumieniu RODO i zobowiązany jest do przestrzegania wszystkich zasad określonych w tym akcie prawnym.

W zdecydowanej większości przypadków RODO będzie miało zastosowanie. Ciężko mi wyobrazić sobie sytuację, w której przedsiębiorca nie musiałby stosować RODO do swoich działań w związku z danymi innych osób. Wydaje mi się, że jednak są możliwe takie sytuacje – przynajmniej w teorii. Jako przykład mogę wskazać znalezienie w internecie numeru telefonu do przedstawiciela jakiejś firmy i zadzwonienie do niego z telefonu stacjonarnego. Jeżeli będzie to robił człowiek, a nie jakiś skrypt, z całą pewnością nie będzie to stanowiło automatycznego przetwarzania. Dane rozmówcy nie będą także włączane do żadnego zbioru danych. Nie bez przyczyny napisałem, że połączenie będzie wykonywane z telefonu stacjonarnego. W telefonach komórkowych (w telefonach stacjonarnych niekiedy też) jest lista ostatnich połączeń i zawarte w niej numery można już traktować w kategoriach zbioru danych osobowych.