Przepisy RODO, czyli przepisy o ochronie danych osobowych w Polsce i Europie miały swój początek w drugiej połowie lat 90. W roku 1997, kilka miesięcy po uchwaleniu Konstytucji, przyjęto w Polsce przepisy ustawy o ochronie danych osobowych. Natomiast prawo europejskie regulujące przetwarzanie danych osobowych, tj. dyrektywa 95/46/WE została uchwalona w 1995 roku i nie była zmieniana przez ponad 20 lat!
Wyobraźmy sobie przez chwilę jak wyglądał świat w czasie uchwalania tych przepisów. W latach 90 Internet jeszcze raczkował. Marketing internetowy firm ograniczał się tylko do posiadania strony internetowej. Nie było Social media, a Google jeszcze wtedy nie zdominował rynku usług online. Przez lata technologia, marketing i sprzedaż elektroniczna ewoluowała, a wraz z nią zagrożenia dla prywatności osób fizycznych. Bez wątpienia zmiana przepisów o ochronie danych osobowych była potrzebna.
W 2012 rozpoczęto dyskusje nad potrzebą zmian przepisów o ochronie danych osobowych. Po 4 latach, 27 kwietnia 2016 r. Parlament Europejski i Rada (UE) uchwaliła Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej RODO).
Poniższy artykuł dzieli się na dwie części:
Jakie cele mają pełnić przepisy RODO
Jak zostało wspomniane we wstępie, przepisy RODO zaktualizowały przestarzałe już prawo unijne regulujące przetwarzanie danych osobowych, które wymagało niezbędnych zmian na miarę XXI wieku. Aktualizacja przepisów o ochronie danych osobowych miała wprowadzić zmiany, które odpowiadają faktycznym zagrożeniom wynikającym z przetwarzania danych z wykorzystywaniem nowoczesnych technologii oraz zapewnić mieszkańcom Unii Europejskiej lepszą kontrolę nad przetwarzaniem danych ich dotyczących. Ponadto uchwaleniu RODO przyświecał jeszcze jeden ważny cel, a mianowicie zapewnienie swobodnego przepływu danych osobowych w poszczególnych krajach członkowskich Unii Europejskiej.
RODO a zapewnienie swobodnego przepływu danych osobowych
Cel ten realizowany jest dzięki ujednoliceniu przepisów o ochronie danych osobowych w poszczególnych krajach UE. Jest to możliwe, dzięki temu, że RODO to przepisy rangi rozporządzenia, które zgodnie z prawem UE (w odróżnieniu od dyrektywy) są stosowane bezpośrednio przez wszystkie podmioty wewnątrz Unii. Bezpośredniość stosowania oznacza brak potrzeby implementacji tych przepisów przez poszczególne kraje członkowskie. Przepisy RODO zaczęły obowiązywać z chwilą ustania okresu przejściowego tzw. Vacatio legis, w dniu 28 maja 2018 r.
Przepisy RODO tylko w pewnym zakresie mogą być doprecyzowywane lub uzupełnianie przez przepisy lokalne poszczególnych krajów UE. Na przykład Polska ustawa o ochronie danych osobowych doprecyzowała tryb powoływania Inspektora Ochrony Danych, czy też tryb zgłaszania naruszeń ochrony danych osobowych.
RODO a lepsza kontrola nad przetwarzaniem danych przez osoby, których dane dotyczą
Lepszą kontrolę osób fizycznych nad przetwarzaniem danych osobowych przepisy RODO zapewniają dzięki temu, że wprowadziły one nowe uprawnienia obywateli (tj. prawo do przenoszenia danych, prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu) oraz zwiększyły zakres informacji, jakie administrator zobowiązany jest im udostępnić.
Ponadto dzięki RODO, egzekwowalność wniosków o realizację uprawnień znacząco wzrosła. Widmo wysokich kar za naruszenia przepisów RODO spowodowało, iż organizacje rzetelniej podchodzą do realizacji uprawnień przysługujących osobom fizycznym. W przypadku, gdy ta droga zawiedzie, osoby fizyczne mogą kierować skargi do dowolnego organu nadzorczego w UE, zwłaszcza właściwego dla kraju rezydencji osoby, której dane dotyczą.
Co więcej, dzięki obostrzeniom związanym z przetwarzaniem danych osobowych poza Europejskim Obszarem Gospodarczym osoby fizyczne uzyskały dodatkowe instrumenty za pośrednictwem, których są w stanie dochodzić swoich praw.
Dla przykładu, w przypadku przetwarzania danych przez organizacje w USA należące do programu tzw. Tarczy Prywatności (z ang. Privacy Shield), osoby, których dane dotyczą mogą egzekwować swoje prawa bezpośrednio od organizacji, która przetwarza dane osobowe. Jeżeli żadne z wcześniej wymienionych mechanizmów dochodzenia praw nie doprowadzi do satysfakcjonującego rozwiązania sprawy, pozostaje jeszcze jedna droga. Sprawą mogą zająć się arbitrzy wchodzący w skład Privacy Shield Panel, których członkowie wyznaczani są przez Komisję Europejską oraz przez Departament Handlu Stanów Zjednoczonych.
RODO a zwiększenie ochrony danych
Zwiększenie ochrony danych osobowych miało nastąpić w wyniku zmiany podejścia do ich ochrony. Od maja 2018 roku przestały istnieć konkretne wymagania dotyczące zabezpieczeń jakie polskie organizacje przetwarzające dane osobowe powinny stosować dla zapewniania właściwej ich ochrony. Przepisy RODO podkreśliły podejście oparte na analizie ryzyka (z ang. risk based approach), które od lat stanowi fundament dla normy standaryzującej systemy zarządzania bezpieczeństwem informacji – ISO 27001.
W celu oceny ryzyka, organizacje powinny najpierw zidentyfikować aktywa wykorzystywane do przetwarzania danych osobowych oraz ich podatności na istniejące zagrożenia. Następnie przy uwzględnieniu wykorzystywanych zabezpieczeń powinny oszacować prawdopodobieństwo materializacji zagrożeń oraz ocenić skutki takiego zdarzenia, w szczególności dla osób, których dane są przetwarzane w organizacji. Wyniki oceny wskazywać będą poziom ryzyka w poszczególnych procesach przetwarzania danych osobowych. Celem podejścia opartego na ryzyku jest stosowanie środków zabezpieczających odpowiednich do konkretnej sytuacji. To powinno pozwolić uniknąć (w porównaniu z wytycznymi określonymi w przepisach prawa) stosowania nadmiarowych lub nieadekwatnych środków ochrony. Z drugiej strony jednak stanowi ryzyko zastosowania niewystarczających zabezpieczeń (wcześniej wystarczające były zabezpieczenia wprost wymienione w przepisach).
Warto zwrócić uwagę, że takie podejście nie chroni wyłącznie osób, których dane są przetwarzane, ale również administratorów. Należy pamiętać, że niezależnie od RODO, naruszenie ochrony danych osobowych, może stanowić pogwałcenie praw podstawowych mieszkańca UE, takich jak jego prywatność czy inne dobra osobiste. W konsekwencji może być powodem wystąpienia z pozwem cywilnym przeciwko administratorowi.
Właściwe stosowanie RODO powinno wyeliminować takie sytuacje, zatem można powiedzieć, że jest ono narzędziem do zabezpieczenia interesów organizacji.
Aktualizacja 6.07.2020 r.
Ocena występowania obowiązku stosowania RODO
ZAKRES MATERIALNY STOSOWANIA PRZEPISÓW RODO
- czyli kiedy przepisy RODO będą miały zastosowanie
Nie tylko osoby zajmujące się profesjonalnie ochroną danych osobowych zdają sobie sprawę, iż przepisy RODO regulują przetwarzanie danych osobowych. Jak wykazały ostatnie badania, świadomość tego aktu prawnego jest największa ze wszystkich przepisów unijnych, a wśród państw członkowskich – największa w Polsce. Niemniej, nie każdy wie, że nie zawsze, gdy wykorzystywane są dane osobowe, przepisy RODO będą miały zastosowanie. Zakres materialny został określony w art. 2 RODO. W treści ust. 1 przytoczonego artykułu określono warunki jakie przetwarzanie danych musi spełniać, aby było regulowane przez przepisy RODO. Natomiast w treści ust. 2 wskazano wyłączenia od stosowania RODO.
Aby dokonać oceny czy w konkretnym przypadku przetwarzania danych osobowych przepisy RODO będą miały zastosowanie lub będzie można zastosować wyłączenie od ich stosowania, należy poddać analizie wyżej przytoczone przepisy . Ponadto, w tym miejscu należy wskazać, iż aby ostatecznie stwierdzić, czy przepisy RODO będą miały zastosowanie, musi jeszcze zostać spełnione przynajmniej jedno kryterium określone w art. 3 RODO, który określa terytorialny zakres stosowania przepisów RODO, ale o tym później. Najpierw przyjrzyjmy się bliżej warunkom jakie musi spełniać przetwarzanie danych osobowych, aby występował obowiązek stosowania przepisów RODO. Art. 2 ust. 1 RODO stanowi:
„1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.”
Dla potrzeb naszych rozważań powyższy ustęp podzielimy na dwie części, które następnie poddamy głębszej analizie.
„1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany (…)”
Przytoczona treść fragmentu ust. 2 RODO wskazuje na to, iż przepisy RODO będą miały zastosowanie, zawsze wtedy, gdy przetwarzanie danych osobowych będzie realizowane w sposób całkowicie lub częściowo zautomatyzowany. To czy przetwarzanie będzie wpisywało się w pojęcie przetwarzania zautomatyzowanego lub częściowo zautomatyzowanego zależne jest od ludzkiej ingerencji. Przetwarzanie w sposób całkowicie zautomatyzowany oznacza przetwarzanie bez wpływu człowieka. Natomiast przetwarzaniem częściowo zautomatyzowanym będzie takie, które realizowane jest częściowo przy udziale człowieka.
„1. Niniejsze rozporządzenie ma zastosowanie do (…) przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.”
Kolejna część analizowanego ustępu wskazuje na to, iż przepisy RODO będą miały zastosowanie wobec przetwarzania wyłącznie przy udziale człowieka, o ile przetwarzane dane stanowią lub będą miały stanowić część zbioru danych. Doktryna prawa o ochronie danych osobowych przed wejściem w życie przepisów RODO wskazywała, iż, aby zebrane dane stanowiły zbiór danych osobowych muszą zostać spełnione 3 kryteria:
- spełnienie definicji danych osobowych − zebrane dane muszą stanowić dane osobowe,
- ustrukturyzowany zestaw danych − dane muszą zostać zorganizowane wg określonego kryterium, np. alfabetycznie lub chronologicznie,
- zapewnienie łatwego dostępu do danych − nie powinno być trudne dotarcie do danych określonej osoby.
Podsumowując, jeżeli planowane przetwarzanie nie będzie realizowane w sposób zautomatyzowany lub częściowo zautomatyzowany oraz jeżeli przetwarzanie będzie dotyczyło danych osobowych, które nie będą stanowić zbioru danych, to przepisy RODO nie będą miały zastosowania.
Wyłączenia od stosowania przepisów RODO
Jak zostało wcześniej wspomniane, art. 2 ust. 2 określa wyjątki przetwarzania danych, do których przepisy RODO nie będą miały zastosowania. Treść wspomnianego ustępu stanowi, iż przepisy RODO nie będą miały zastosowania wobec przetwarzania danych osobowych:
„a) w ramach działalności nieobjętej zakresem prawa Unii;
b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.”
Jeżeli planowane przetwarzanie będzie mieściło się w jednej z wyżej wymienionych sytuacji to przepisy RODO nie będą miały zastosowania.
ZAKRES TERYTORIALNY STOSOWANIA PRZEPISÓW RODO
- czyli to, gdzie RODO obowiązuje
Terytorialny zakres stosowania przepisów RODO regulowany jest przez art. 3. Określa on trzy kryteria, przy czym spełnienie przynajmniej jednego z nich spowoduje, że przepisy RODO będą miały zastosowanie do przetwarzania realizowanego przez administratora lub podmiotu przetwarzającego (procesora).
Kryterium funkcjonowania jednostki organizacyjnej na terenie UE
Art. 3 ust. 1 RODO stanowi, iż:
„Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.”
Przytoczony przepis wskazuje, że RODO będzie miało zastosowanie zawsze wtedy, gdy przetwarzanie danych osobowych będzie realizowane w ramach działalności organizacji, która będzie posiadała jednostkę organizacyjną na terenie UE. Dotyczy to zarówno organizacji administrującej danymi osobowymi jak również organizacji, której zlecono przetwarzanie danych osobowych, tzw. procesorowi.
Co więcej, nie ma znaczenia gdzie faktycznie będą wykonywane czynności przetwarzania, tj. RODO będzie obowiązywało podmiot posiadający jednostkę organizacyjną na terenie UE, nawet jeżeli przetwarzanie będzie miało odbywać się poza obszarem UE.
Zatem kluczowym dla stwierdzenia czy w konkretnym przypadku będą miały zastosowanie przepisy RODO jest posiadanie jednostki organizacyjnej na terenie UE. Motyw 22 RODO określa jednostkę organizacyjną jako skuteczne i faktyczne prowadzenie działalności poprzez stabilne struktury. Ponadto w przytoczonym motywie wskazano, iż: „Forma prawna takich struktur, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.”
Przykład sytuacji, w której przepisy RODO będą miały zastosowanie:
Firma posiadająca siedzibę główną w USA i posiada własny oddział w Lizbonie, który jest odpowiedzialny za wszystkie procesy realizowane w obszarze UE. Ponieważ oddział w Lizbonie posiada stałą strukturę i znajduje się na terytorium UE będzie zobowiązany do stosowania przepisów RODO.
Przykład wyłączenia od stosowania przepisów RODO:
Hotel znajdujący się w RPA oferuje swoje usługi za pośrednictwem swojej witryny internetowej, dostępnej w kilku europejskich językach. Hotel nie posiada żadnego biura znajdującego się na terenie UE zatem kryterium określone w art. 3 ust. 1 RODO nie będzie miało zastosowania. Jednakże należy zweryfikować, czy nie będzie on spełniał kryterium określonego w art. 3 ust. 2 RODO (o czym więcej poniżej).
Kryterium funkcjonowania jednostki organizacyjnej na terenie UE
W przypadku, gdy pierwsze kryterium nie zostanie spełnione to wyłączenie od stosowania przepisów RODO nie jest jeszcze przesądzone. Aby to się stało organizacja musi zweryfikować, czy planowane przetwarzanie danych osobowych nie będzie spełniało kolejnego kryterium określonego w art. 3 ust. 2 RODO. W w/w przepisie określono rodzaje czynności przetwarzania, których realizacja będzie wiązała się ze stosowaniem przepisów RODO.
Z art. 3 ust. 2 RODO wynika, iż przepisy RODO nie będą mieć zastosowania jeżeli organizacja spoza UE nie będzie realizowała czynności przetwarzania danych osobowych, które będą wiązały się z:
„a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.”
Powyższe czynności nie muszą być realizowane jednocześnie, aby organizacja była zobowiązana do stosowania przepisów RODO. Co więcej, jeżeli przytoczone czynności przetwarzania danych osobowych będą realizowane przez podmiot będący administratorem lub podmiotem przetwarzającym pochodzącym spoza UE, to przepisy RODO również w takiej sytuacji będą miały zastosowanie.
Ponadto komentarza wymagają przesłanki określające czynności przetwarzania determinujące występowanie obowiązku stosowania przepisów RODO:
„… osobom, których dane dotyczą, w Unii” – przesłanka nie jest ograniczona do osób posiadających obywatelstwo lub miejsce zamieszkania w UE, co potwierdza motyw 14 RODO: „Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. (…).”
Zasięg ochrony osób fizycznych przepisami RODO odzwierciedla zasięg określony w art. 8 ust. 1 Karty Praw Podstawowych, który stanowi, że każdy ma prawo do ochrony danych osobowych, które go dotyczą.
Zatem czynnikiem determinującym spełnienie powyższej przesłanki jest faktyczna lokalizacja osoby, której dane dotyczą, na terenie UE. Zgodnie z wytycznymi dotyczącymi materialnego stosowania RODO określonymi przez Europejską Radę Ochrony Danych (EROD), wymóg ten musi podlegać ocenie w momencie oferowania towarów lub usług osobom, których dane dotyczą lub w momencie rozpoczęcia dokonywania ich monitorowania.
„a) oferowaniem towarów lub usług (…) w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty (…)”
W kontekście przytoczonego fragmentu należy zwrócić uwagę na dwie kwestie. Po pierwsze, do usług, o których mowa wyżej zaliczają się wszelkiego rodzaju usługi, w tym usługi świadczone elektronicznie oraz usługi świadczone bez pobierania opłat od osób fizycznych. Po drugie, oferowanie towarów lub usług musi mieć miejsce na terenie UE. Innymi słowy oferowane usługi oraz dobra muszą być zlokalizowane w obszarze UE.
W tym miejscu może pojawić się pytanie: a co w przypadku oferowania dóbr lub usług za pośrednictwem witryny internetowej przez organizację nie posiadającą swojego oddziału w UE? Czy w takiej sytuacji organizacja będzie zobowiązana do stosowania przepisów RODO? Niestety bez głębszej analizy konkretnego przypadku nie da się odpowiedzieć jednoznacznie na to pytanie. EROD w swoich wytycznych wskazuje, iż należy zbadać, czy organizacja np.:
- inwestuje środki w celu ułatwienia uzyskania dostępu z poziomu wyszukiwarki dla klientów z UE;
- w treści witryny internetowej wskazuje adres lub numer telefonu osiągalny z kraju członkowskiego;
- używa nazwy domeny relewantnej dla danego kraju członkowskiego, np. .pl;
- oferuje dostarczanie dóbr do krajów UE.
Przykład sytuacji, w której przepisy RODO będą miały zastosowanie:
Firma pochodząca z Kanady (nie mająca oddziału w UE) oferuje aplikację wskazującą najbliższe punkty gastronomiczne dostępne wg lokalizacji użytkownika. Aplikacja oferuje mapy miast Kanady oraz kilku stolic państw europejskich: Lizbony, Madrytu, Berlina i Londynu. Przetwarzanie danych rozpoczyna się z chwilą uruchomienia aplikacji i obejmuje dane geolokalizacyjne w celu przedstawienia oferty usług gastronomicznych. W zaprezentowanym przypadku przepisy RODO będą miały zastosowanie z uwagi na fakt, iż przetwarzanie będzie dotyczyło osób korzystających z aplikacji przebywających na terenie miast europejskich oraz ze względu na to, iż do użytkowników kierowane są usługi, z których skorzystać mogą na terenie UE.
Przykład wyłączenia od stosowania przepisów RODO:
Obywatel USA podróżuje po UE. Przebywając w jednym z miast Europejskich instaluje i korzysta z aplikacji, której dostawcą jest firma pochodząca z USA. Aplikacja oferuje sprzedaż dóbr dostępnych na rynku amerykańskim. W zaprezentowanym przypadku przetwarzanie danych osobowych przez firmę USA podlega wyłączeniu od stosowania przepisów RODO.
„(..) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.”
Przepisy RODO będą miały zastosowanie do przytoczonej czynność przetwarzania, o ile:
- realizowane czynności będą mieściły się w definicji monitorowania zachowania,
- do zachowania będzie dochodziło na terenie UE.
Z oceną czy do zachowania dochodziło na terenie UE nie powinno być problemu. Trudności mogą pojawić się przy próbie jednoznacznego stwierdzenia, czy planowane przetwarzanie będzie mieściło się w definicji monitorowania. Pomocne w tej ocenie okazują się informacje określone w motywie 24 RODO. Przedstawiono w nim wskazówki jak stwierdzić czy czynność przetwarzania można uznać za „monitorowanie zachowania” – „(…) należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.”
Przykład sytuacji, w której przepisy RODO będą miały zastosowanie:
Firma z USA świadczy usługi doradcze w zakresie organizacji sklepów i usytuowania znajdujących się tam produktów. Klientem wspomnianej firmy jest centrum handlowe znajdujące się w Polsce. Firma świadczy usługi doradcze w oparciu o analizę danych dotyczących zachowania klientów centrum handlowego, uzyskanych z tzw. Wi-Fi trackingu. Ponieważ monitorowane zachowanie ma miejsce na terenie UE, firma z USA będzie zobligowana do stosowania przepisów RODO.
Kryterium funkcjonowania jednostki organizacyjnej na terenie UE
W art. 3 ust. 3 RODO wskazano, iż przepisy RODO będą miały zastosowanie w przypadku administratora nie mającego jednostki organizacyjnej na terenie UE, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego. Z kolei w motywie 25 RODO za przykład sytuacji spełniającej przytoczone kryterium wskazano przetwarzanie danych osobowych na terenie misji dyplomatycznej lub placówki konsularnej państwa członkowskiego.
Przykład sytuacji, w której przepisy RODO będą miały zastosowanie:
Polska Ambasada Demokratycznej Republiki Kongo planuje rozpocząć proces rekrutacyjny na stanowisko administracyjne. Rekrutacja kierowana jest do ludności lokalnej. Jednak ponieważ na terenie Polskiej Ambasady obowiązuje prawo polskie to proces przetwarzania danych osobowych będzie podlegał przepisom RODO.
Podsumowanie
Bez wątpienia przepisy RODO odgrywają ważną rolę w czasach powszechnej digitalizacji. Zapewniają one jednocześnie właściwą ochronę dla osób fizycznych, przy jednoczesnym umożliwianiu swobodnego przepływu danych osobowych pomiędzy poszczególnymi krajami UE, co sprzyja współpracy gospodarczej i rozwojowi europejskich biznesów, a więc i wzrostowi ekonomicznemu państw europejskich. Przepisy RODO choć są przepisami UE, to ich zasięg wybiega znacznie poza jej granice. Z drugiej strony, jak zostało to wyżej pokazane, nie we wszystkich przypadkach przetwarzania danych osobowych przepisy RODO będą miały zastosowanie. Jednakże, aby móc stwierdzić, czy planowane przetwarzanie danych będzie podlegało wyłączeniu od stosowania przepisów RODO, należy rzetelnie skonfrontować stan faktyczny z warunkami określonymi w materialnym zakresie stosowania przepisów RODO (art. 2) oraz kryteriami terytorialnymi, ustanowionymi w art. 3 RODO.
ania 30 czerwca, 2021
Szanowna Pani,
dobrze rozumiem, że RODO w ogóle nie ma zastosowania do osób fizycznych przetwarzających dane, jeśli nie zostały spełnione przesłanki z art. 2 i 3 RODO ?
Patryk Siewert pod red. Marcina Soczko 26 sierpnia, 2021
Dzień dobry,
Tak, art. 2 i 3 RODO regulują zakres stosowania przepisów RODO.