RODO to skrócona nazwa Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, potocznie zwanego rozporządzeniem o ochronie danych osobowych. Jest ono unijnym aktem prawnym, który określa ramy prawne przetwarzania danych osobowych w Unii Europejskiej. RODO zaczęło obowiązywać od 25 maja 2018 r., i zastąpiło Dyrektywę 95/46/WE z 24 października 1995 r.
Warto podkreślić, że prawo do ochrony danych osobowych gwarantowane jest w Polsce również w Konstytucji RP. Mowa tu o art. 51, który określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych. Jak podkreśla dr hab. Paweł Fajgielski „W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym” (P. Fajgielski [w:] Ochrona danych osobowych. Komentarz, Warszawa 2015).
PRZEDMIOT I CEL
Zgodnie z art. 1 RODO przedmiotem tego aktu prawnego jest ochrona osób fizycznych w związku z przetwarzaniem danych osobowych. Jak słusznie zauważył dr hab. Paweł Fajgielski „istotą regulacji nie jest ochrona samych danych jako dóbr chronionych, ale ochrona osób fizycznych (każdego człowieka) przed negatywnymi konsekwencjami wynikającymi z niezgodnego z prawem przetwarzania danych” (P. Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022).
Z treści komentowanego przepisu wynika, że głównym celem RODO jest pogodzenie prawa do ochrony autonomii informacyjnej jednostki oraz swobodnego przepływu danych osobowych w UE. Są to cele wynikające wprost z art. 1 RODO, jednak można wyróżnić również inne. Wśród pozostałych celów wskazać należy zapewnienie kompleksowej, aczkolwiek ogólnej, regulacji prawnej dotyczącej ochrony danych osobowych, czy też integrację europejską.
MATERIALNY ZAKRES STOSOWANIA
Zakres materialny (przedmiotowy) stosowania RODO wyznacza art. 2. Zgodnie z nim zastosowanie RODO obejmuje przetwarzanie danych osobowych w sposób zautomatyzowany (czyli z wykorzystaniem np. komputerów) oraz w sposób inny niż zautomatyzowany (tzw. „tradycyjny” – np. prowadzenie spisu danych w formie papierowej lub uporządkowanego zestawiania papierowych dokumentów).
W art. 2 RODO prawodawca unijny wyznaczył krąg podmiotów zobligowanych do przestrzegania przepisów RODO oraz tych, które mogą działać poza jego regulacjami. Zgodnie z tym RODO skierowane jest do ADO, podmiotów przetwarzających, inspektorów ochrony danych, krajowych organów nadzorczych, innych instytucjach nadzorczych oraz osób, których dane dotyczą.
Przepisy RODO nie mają zastosowania do danych osobowych przetwarzanych poza zbiorem danych, którym (zgodnie z art. 4 pkt. 6 RODO) jest „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”. Przykładowo przetwarzaniem danych poza zbiorem będzie pomiar temperatury ciała przy wejściu do budynku, jeżeli nie jest on zapisywany w żaden sposób.
RODO nie obowiązuje również w przypadku przetwarzania danych:
- o charakterze czysto domowym lub osobistym (np. prowadzenie książki telefonicznej w pamięci telefonu);
- dotyczących osób zmarłych (np. w sytuacji zamieszczenia ich danych na klepsydrach bądź nagrobkach);
- dotyczących osób prawnych (np. spółek, urzędów, organizacji pozarządowych).
TERYTORIALNY ZAKRES STOSOWANIA
Zgodnie z art. 3 RODO podstawowym kryterium stosowania przepisów Rozporządzenia jest prowadzenie na terytorium UE działalności. Nie chodzi tu jedynie o działalność gospodarczą, ale również sprawowaną przez podmioty publiczne.
Obowiązek stosowania przepisów RODO mają podmioty prowadzące działalność na terenie UE niezależnie od tego, czy na tym terytorium przetwarzają dane.
Natomiast artykuł 3 ust. 2 RODO rozciąga obowiązek stosowania przepisów RODO na podmioty, które nie mają siedziby w UE, ale przetwarzają dane osób przebywających na terenie Unii. Ma to zastosowanie, jeżeli przetwarzanie wiąże się z:
a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
W związku z powyższym należy ustalić, czy przedsiębiorstwo przetwarzające dane planuje oferować usługi osobom, których dane dotyczą na terytorium państw UE. Przykładem może być świadczenie na terytorium Polski usługi internetowej, np. przez Google.
b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.
W celu dokonania oceny czy czynność przetwarzania stanowi „monitorowanie zachowania”, należy ustalić, czy aktywność danej osoby jest obserwowana w jakikolwiek sposób. Przykładem może być śledzenie aktywności użytkownika w Internecie za pomocą plików cookies zapisanych na jego urządzeniu.