17/02/2025
Ogólne rozporządzenie o ochronie danych, znane powszechnie jako RODO, wprowadziło rewolucję w podejściu do ochrony danych osobowych w Unii Europejskiej. Minęło już kilka lat od jego wejścia w życie, a świadomość dotycząca praw i obowiązków związanych z danymi osobowymi znacząco wzrosła. Firmy i organizacje na całym świecie dostosowały swoje procesy, inwestując w szkolenia i zabezpieczenia. Jednak, mimo powszechnej znajomości RODO, wciąż pojawiają się pytania o zakres jego stosowania. Czy RODO obejmuje absolutnie każde przetwarzanie danych osobowych? Jakie są wyjątki?
Kogo dotyczy RODO? Zakres materialny i terytorialny rozporządzenia
Aby zrozumieć, czego RODO nie obejmuje, warto najpierw przypomnieć sobie, kogo i czego RODO dotyczy. Rozporządzenie definiuje zakres swojego zastosowania w artykułach 2 i 3. Zasadniczo, RODO ma zastosowanie do przetwarzania danych osobowych:
- w kontekście działalności jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii Europejskiej, niezależnie od miejsca przetwarzania;
- dotyczących osób przebywających w UE, oferując im towary lub usługi (odpłatnie lub nieodpłatnie);
- dotyczących osób przebywających w UE, monitorując ich zachowanie w UE.
To szerokie ujęcie sprawia, że RODO dotyczy ogromnej większości organizacji przetwarzających dane osobowe w Europie lub dotyczące Europejczyków. Jednak istnieją konkretne wyjątki, które zawężają zakres stosowania RODO. Przyjrzyjmy się im bliżej.
Wyjątki od stosowania RODO – kiedy przepisy nie obowiązują?
Artykuł 2 ust. 2 RODO precyzuje, w jakich sytuacjach rozporządzenie nie ma zastosowania. Te wyjątki można podzielić na kilka kategorii:
Działalność nieobjęta zakresem prawa Unii
RODO nie reguluje przetwarzania danych osobowych w ramach działalności, która nie podlega prawu Unii Europejskiej. Co to oznacza w praktyce? Chodzi tutaj o działania, które są całkowicie poza sferą kompetencji UE, na przykład dotyczące bezpieczeństwa narodowego. Przetwarzanie danych w tym kontekście regulowane jest przez przepisy krajowe państw członkowskich, a nie przez RODO.
Działania w ramach Wspólnej Polityki Zagranicznej i Bezpieczeństwa UE
Kolejny wyjątek dotyczy przetwarzania danych przez państwa członkowskie UE w ramach działań związanych ze Wspólną Polityką Zagraniczną i Bezpieczeństwa (WPZiB) Unii Europejskiej. WPZiB to specyficzny obszar polityki UE, regulowany Traktatem o Unii Europejskiej (TUE), a konkretnie tytułem V rozdział 2 TUE. Działania podejmowane w tym zakresie, ze względu na swój charakter i specyfikę, wyłączone są spod regulacji RODO.
Czynności o czysto osobistym lub domowym charakterze
To jeden z najczęściej spotykanych wyjątków w praktyce. RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Oznacza to, że jeśli przetwarzamy dane osobowe na własny użytek, w celach prywatnych, RODO nas nie obowiązuje. Przykłady takich czynności to:
- prowadzenie prywatnej korespondencji (tradycyjnej i elektronicznej);
- przechowywanie adresów i numerów telefonów znajomych i rodziny w telefonie;
- utrzymywanie kontaktów towarzyskich;
- działalność online w ramach życia prywatnego (np. korzystanie z mediów społecznościowych w celach prywatnych).
Ważne jest, aby podkreślić, że wyjątek ten dotyczy osób fizycznych i czynności o charakterze osobistym lub domowym. Jeśli działalność, nawet prywatna, wykracza poza ten zakres i ma związek z działalnością zawodową lub handlową, RODO może mieć zastosowanie. Co istotne, RODO ma zastosowanie do podmiotów, które udostępniają narzędzia do przetwarzania danych osobowych nawet w celach prywatnych (np. dostawców usług poczty elektronicznej).
Przetwarzanie danych przez właściwe organy w celu zapobiegania i zwalczania przestępczości
RODO nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Ten wyjątek ma na celu umożliwienie organom ścigania skutecznego wykonywania ich zadań.
Warto jednak zaznaczyć, że nie oznacza to braku regulacji w tym obszarze. Przetwarzanie danych osobowych przez organy ścigania reguluje dyrektywa 2016/680, która została wdrożona do polskiego prawa ustawą z dnia 14 grudnia 2018 roku o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, potocznie zwaną ustawą DODO. RODO i DODO to dwa niezależne, ale współistniejące akty prawne, regulujące ochronę danych osobowych w różnych kontekstach.
Sposób przetwarzania danych a RODO – automatyzacja i zbiory danych
Artykuł 2 ust. 1 RODO precyzuje również, że rozporządzenie ma zastosowanie do:
- przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany;
- przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Oznacza to, że RODO obejmuje zarówno przetwarzanie elektroniczne, jak i tradycyjne, papierowe, o ile dane te są zorganizowane w sposób uporządkowany, czyli stanowią zbiór danych. Zbiór danych to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów. Przykładowo, kartoteka klientów w segregatorze alfabetycznym jest zbiorem danych, nawet jeśli nie jest przetwarzana elektronicznie.
Wyjątkiem jest przetwarzanie danych osobowych w sposób niezautomatyzowany, które nie stanowią zbioru danych i nie są przeznaczone do włączenia do zbioru danych. Przykładowo, luźno zebrane notatki z danymi osobowymi, które nie są uporządkowane i nie mają określonej struktury, mogą nie podlegać RODO, o ile nie planuje się ich uporządkowania i włączenia do zbioru danych.
FAQ – Najczęściej zadawane pytania
Czy RODO dotyczy danych osobowych osób prawnych?
Nie, RODO zasadniczo nie dotyczy danych osobowych osób prawnych, w tym przedsiębiorstw. Rozporządzenie chroni dane osobowe osób fizycznych. Wyjątkiem mogą być sytuacje, gdy dane dotyczące osób prawnych są powiązane z danymi osobowymi osób fizycznych (np. dane kontaktowe osób reprezentujących firmę).
Czy muszę stosować RODO, przetwarzając dane osobowe tylko do użytku prywatnego?
Nie, jeśli przetwarzanie danych osobowych ma charakter czysto osobisty lub domowy, RODO nie ma zastosowania. Możesz przechowywać dane kontaktowe znajomych w telefonie, wysyłać kartki świąteczne rodzinie bez obaw o naruszenie RODO.
Czy organy ścigania są zwolnione z RODO?
Tak i nie. RODO nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy w celu zapobiegania i zwalczania przestępczości. Jednak organy te podlegają regulacjom dyrektywy 2016/680 (DODO), która również reguluje ochronę danych osobowych, choć w specyficznym kontekście.
Czy RODO dotyczy firm spoza UE?
Tak, RODO może dotyczyć firm spoza UE, jeśli oferują towary lub usługi osobom przebywającym w UE lub monitorują ich zachowanie w UE. Miejsce siedziby firmy nie jest decydujące, istotne jest, czy przetwarza dane osobowe osób w UE w określonych kontekstach.
Podsumowanie – RODO nie jest wszechobecne, ale obejmuje szeroki zakres
Choć RODO jest rozporządzeniem o szerokim zakresie, istnieją konkretne wyjątki, które ograniczają jego stosowanie. Dotyczą one głównie działalności nieobjętej prawem UE, działań w ramach WPZiB, czynności o charakterze osobistym lub domowym oraz przetwarzania danych przez organy ścigania w określonych celach. Warto pamiętać o tych wyjątkach, aby prawidłowo ocenić, czy w danym przypadku RODO ma zastosowanie. Jednak w większości przypadków, szczególnie w kontekście działalności gospodarczej, przetwarzanie danych osobowych będzie podlegać regulacjom RODO. Świadomość zakresu stosowania RODO jest kluczowa dla zapewnienia zgodności z przepisami i ochrony praw osób, których dane dotyczą.
Jeśli chcesz poznać inne artykuły podobne do RODO: Czego nie obejmuje ochrona danych osobowych?, możesz odwiedzić kategorię Rachunkowość.