RODO – strach ma wielkie oczy?

RODO – strach ma wielkie oczy?

Na niniejszym blogu nie mogło zabraknąć najpopularniejszego tematu ostatnich miesięcy – RODO. O RODO mówią obecnie wszyscy i wszędzie – w telewizji, w prasie, na portalach społecznościowych. Większość informacji utrzymana jest w konwencji grozy – „zbliża się RODO, przedsiębiorcy strzeżcie się”. Czy faktycznie jest się czego bać, co nowego wprowadza RODO do polskiego porządku prawnego i kogo będzie dotyczyć?

Czym jest RODO?

RODO to skrót od Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. RODO już obowiązuje, ale zacznie być stosowane od dnia 25 maja 2018 r. i zastąpi obowiązującą dotychczas w Polsce ustawę o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Jednocześnie zostanie uchwalona nowa ustawa o ochronie danych osobowych, jednakże dotyczyć ona będzie bardziej kwestii proceduralnych i ustroju nowego organu nadzorczego, gdyż merytoryczne przepisy o ochronie danych osobowych znajdują się przede wszystkim w RODO. Teoretycznie RODO utrzymuje dotychczasowe zasady ochrony danych osobowych, jednocześnie je uszczegóławiając, zwiększając zakres uprawnień osób fizycznych i wprowadzając wysokie kary za naruszenia. Jednakże w literaturze prawniczej mówi się wręcz o rewolucji w zakresie ochrony danych osobowych. Moim zdaniem jest to określenie nieco na wyrost, ale trzeba przyznać, że niektóre z wprowadzonych przez RODO rozwiązań są dość oryginalne.

Co nowego?

Jeszcze raz zaznaczę, o czym wspominałem powyżej, że w Polsce od dnia 30 kwietnia 1998 r. (data wejścia w życie) stosowana była (i wciąż jeszcze jest) ustawa o ochronie danych osobowych (w perspektywie nadejścia RODO nazywana często „starą ustawą o ochronie danych osobowych”). Nie jest zatem tak – wbrew przekonaniu wielu osób – że dopiero RODO wprowadza w Polsce ochronę danych osobowych. Co ciekawe, dużo regulacji wprowadzanych przez RODO obowiązywało już na gruncie owej starej ustawy (np. kwestia legalności przetwarzania danych osobowych, obowiązki informacyjne). Błędne przeświadczenie o tym, że dopiero RODO wprowadza jakieś regulacje w zakresie ochrony danych osobowych, wynika z prozaicznej przyczyny – wprowadzeniu RODO towarzyszy ogromny szum medialny i dopiero teraz wiele osób zdało sobie sprawę, że regulacje dotyczące ochrony danych osobowych obowiązują również ich. Tak czy inaczej RODO wprowadza faktycznie pewne nowe rozwiązania, na które warto zwrócić uwagę.
Zaczynając nieco od końca, wskazać przede wszystkim trzeba, że RODO za naruszenie przepisów dotyczących ochrony danych osobowych przewiduje bardzo surowe kary finansowe. Dotychczas często wskazywano, że główną bolączką obowiązujących przepisów o ochronie danych osobowych są znikome konsekwencje za ich nieprzestrzeganie. Teraz ma się to zmienić. Wprawdzie przewidziane w RODO administracyjne kary pieniężne mają być dostosowywane do okoliczności każdego indywidualnego przypadku, ale górne limity takich kar robią wrażenie. Wynoszą one:
– do 10.000.000 EUR, a w przypadku przedsiębiorstwa –do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,
lub
– do 20.000.000 EUR, a w przypadku przedsiębiorstwa –do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
To, który z ww. limitów znajdzie zastosowanie w danej sprawie, zależeć będzie od tego, jakie przepisy RODO zostaną naruszone. Ów niezwykle surowy system kar jest z pewnością jedną z podstawowych cech znamionujących analizowane rozporządzenie.
Kolejnym charakterystycznym atrybutem RODO jest „zasada rozliczalności”. Oznacza ona, że to podmiot zobowiązany do stosowania RODO musi wykazać, że realizuje przewidziane w tym akcie powinności. Jest to zadanie niełatwe, gdyż obowiązki przewidziane w RODO zostały rozproszone po całym dokumencie, a nadto przepisy określające owe obowiązki sprawiają trudności w interpretacji. Ten problem w skonkretyzowaniu obowiązków, które spoczywają na przedsiębiorcy, czy innym podmiocie zobowiązanym do stosowania RODO, związany jest z zasadą, która tak naprawdę stanowi fundament RODO i która jest uzasadnioną przyczyną obaw wielu osób – mianowicie to podmiot zobowiązany do stosowania RODO musi samodzielnie sprecyzować jaki zakres obowiązków na nim ciąży i jakie rozwiązania powinien wdrożyć, aby przetwarzane przez niego dane osobowe były bezpieczne. To jest właśnie sedno nowej regulacji i jednocześnie największa trudność w jej stosowaniu. Podmiot przetwarzający dane osobowe musi dokonać oceny ryzyk związanych z przetwarzaniem danych osobowych i dostosować sposoby ochrony danych osobowych do owych ryzyk. Jednocześnie musi wykazać, że procesy te przeprowadził prawidłowo i dane osobowe są należycie chronione (ww. zasada rozliczalności).

Kto jest zobowiązany do stosowania RODO?

Dokonując w niniejszym artykule skrótowej charakterystyki RODO, należy wyjaśnić jeszcze jedną problematyczną kwestię, a mianowicie – kto jest zobowiązany do stosowania RODO. Tematyka niniejszego bloga zobowiązuje do wyjaśnienia tej kwestii, gdyż wiele wątpliwości powstaje właśnie w odniesieniu do podmiotów działających w branży IT, w szczególności prowadzących różnego rodzaju strony internetowe, w tym fora, blogi, itp.
Obowiązki przewidziane w RODO zostały co do zasady nałożone na każdego, kto przetwarza dane osobowe. RODO w tym zakresie wyróżnia dwa podstawowe rodzaje podmiotów: administratora oraz podmiot przetwarzający.
Zgodnie z art. 4 pkt 7 RODO:

„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

Z kolei zgodnie z art. 4 pkt 8 RODO:

„podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Wyjątki w zakresie zastosowania RODO przewiduje art. 2 ust. 2 RODO, przy czym praktyczne znaczenie ma jedynie wyjątek przewidziany w art. 2 ust. 2 lit. c):

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

Z kolei „dane osobowe”, zgodnie z definicją zawartą w RODO (art. 4 pkt 1), to:

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Gwoli wyjaśnienia – za dane osobowe uważa się również adresy IP, adresy e-mail.
Czy zatem – w świetle powyższego – osoba prowadząca czysto hobbystycznego bloga/forum musi przystosować swoją działalność do RODO? Odpowiedź na to pytanie nie jest łatwa i jednoznaczna. Wiele internetowych poradników dla blogerów, czy twórców stron internetowych, zamieszcza wpisy, zgodnie z którymi podmioty prowadzące nawet takie czysto hobbystyczne strony zobowiązane będą do stosowania RODO. Przetwarzając choćby adresy e-mail użytkowników naszej strony, przetwarzamy bowiem dane osobowe, a zatem podpadamy pod zakres stosowania RODO. Jednocześnie – w przekonaniu autorów tych poradników – nie ma żadnych podstaw do wyłączenia takiej działalności spod działania rozporządzenia. Ja jednak opowiadam się za drugim stanowiskiem, zgodnie z którym prowadzenie bloga/strony internetowej, niepowiązanej choćby pośrednio z działalnością zawodową lub handlową, stanowi czynność o czysto osobistym charakterze i przez to jest zwolnione od stosowania RODO.
Analizując tę kwestię wypada zauważyć, że również w „starej ustawie o ochronie danych osobowych” znalazło się podobne wyłączenie z zakresu stosowania tych przepisów. Zgodnie bowiem z art. 3a ust. 1 pkt 1 ustawy:

1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych;

Najbardziej typowe przykłady, które wskazywano w literaturze, to: gromadzenie danych w domowych komputerach, sporządzanie osobistych notatek, listy urodzinowych gości, itp. Ale nie ma żadnych podstaw, żeby interpretację cytowanego wyjątku zawężać jedynie do takich skrajnych przypadków. „Przetwarzanie danych w celach osobistych” powinno być rozumiane jako każde przetwarzanie danych w celach innych niż zawodowe, zarobkowe. Warto przy tym podkreślić, że podobne stanowisko wyraził również (na gruncie starej ustawy o ochronie danych osobowych) GIODO, przeciwstawiając cele osobiste ogólnie ujętym celom zarobkowym. W konsekwencji GIODO stwierdził, że zakresem ustawy objęte będą blogi komercyjne, ale nie każdy blog ma przecież charakter komercyjny. Wobec tego każda sytuacja powinna być rozpatrywana indywidualnie.
Zaprezentowana powyżej interpretacja jest w pełni zgodna z RODO. W motywie 18 rozporządzenia wskazano, że:

(18) Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności. Niniejsze rozporządzenie ma jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

Oczywiście wciąż pozostaje kwestia interpretacji nieostrego sformułowania „związku z działalnością zawodową lub handlową”. W moim przekonaniu, jeśli na blogu umieścimy np. reklamy innych firm w formie banerów, albo zamieszczać będziemy sponsorowane wpisy lub konkursy, to będzie to podstawa do stwierdzenia, że blog nie ma charakteru czysto osobistego. Natomiast jeśli prowadzimy stronę internetową o charakterze czysto prywatnym, zamieszczając np. zdjęcia z wakacji, czy publikując różnego rodzaju artykuły dotyczące naszego hobby, naszych zainteresowań, to mając na względzie ww. przepisy RODO oraz zasady zdrowego rozsądku, tego rodzaju działalność nie będzie podlegała reżimowi rozporządzenia.

Czy jest się czego bać?

RODO – w porównaniu do „starej ustawy o ochronie danych osobowych” – wprowadza inne podejście do ochrony danych osobowych, dając większą samodzielność podmiotom zobowiązanym do jego stosowania, ale i jednocześnie wymagając od nich pełniejszego zrozumienia obowiązujących zasad oraz większej świadomości podejmowanych czynności w zakresie przetwarzania danych osobowych. Dlatego też jest to trudny akt prawny, nieprzystępny dla „przeciętnego obywatela”. Niestety trzeba stwierdzić, że zrozumienie i wdrożenie RODO w prowadzonej działalności wymaga ogromu czasu i wiedzy. Z kolei przewidziane w unijnym rozporządzeniu kary finansowe powodują, że RODO wzbudza u podmiotów przetwarzających dane osobowe wiele obaw. W każdym razie, przy interpretacji RODO nie można porzucać zasad logicznego myślenia, które z pewnością ułatwią nam jego wdrażanie, a być może nawet pozwolą stwierdzić, że szczęśliwie nie jesteśmy zobowiązani do jego stosowania.

Adwokat, absolwent WPiA Uniwersytetu Jagiellońskiego w Krakowie. Jego zainteresowania zawodowe koncentrują się wokół szeroko pojętego prawa informatycznego i internetowego.

Wszystkie artykuły autora>>

Dodaj komentarz