Dane osobowe po nowemu (3), czyli kogo będzie obowiązywać nowe Rozporządzenie?

Klientami Twojej firmy są osoby fizyczne (konsumenci)? Zatrudniasz pracowników? A może wysyłasz newsletter do potencjalnych kontrahentów? Czy prowadzisz firmowy blog? To oznacza, że prawdopodobnie przetwarzasz dane osobowe. Europejskie rozporządzenie dotyczące ochrony danych osobowych (RODO) znajdzie zastosowanie przede wszystkim do procesów przetwarzania danych osobowych na terenie Unii Europejskiej. Nowymi przepisami zostaną objęte wszystkie podmioty gromadzące i przetwarzające dane, niezależnie od tego, czy pełnią rolę administratora danych osobowych, czy działają na zlecenie administratora. Nowa regulacja wpłynie także na te procesy pozyskiwania, przetwarzania, wykorzystywania lub udostępniania  danych osobowych, które wprawdzie mają miejsce poza UE, ale są związane z oferowaniem towarów i usług osobom przebywającym na terenie UE lub monitorowaniem zachowania mieszkańców Unii.

Obowiązywanie RODO na terenie UE

RODO odnosić  będzie jednolity, bezwzględny i bezpośredni skutek we wszystkich państwach członkowskich, w stosunku do każdego przedsiębiorcy , obywatela UE, czy osoby przebywającej na terenie któregokolwiek z państw członkowskich. Obowiązki wynikające z RODO spełnić muszą wszyscy przetwarzający dane przedsiębiorcy, instytucje pozarządowe i publiczne. Z zakresu regulacji wyłączone są jedyne sądy i organy ścigania, o ile przetwarzanie przez nich danych ma na celu prowadzenie postępowań związanych ze ściganiem przestępstw.

Obowiązywanie RODO poza UE

Obowiązek stosowania przepisów RODO został nałożony także na podmioty spoza UE, które dotychczas nie podlegały przepisom unijnym. Obecnie podmioty takie mają obowiązek zapewnić zgodność swoich procesów przetwarzania danych osobowych z europejską regulacją RODO, jeśli przetwarzanie jest wynikiem:

• oferowania towarów lub usług osobom przebywającym na terenie UE (np. oferta amerykańskiego sklepu internetowego kierowana do klientów z UE),
• monitorowania zachowania osób przebywających na terenie UE (np. badanie preferencji konsumenckich mieszkańców EU).

Ponadto podmioty takie muszą także wyznaczyć swojego przedstawiciela na terytorium któregoś z państw członkowskich. Warto zaznaczyć, że nawet w przypadku oferowania mieszkańcom UE towarów lub usług nieodpłatnych powstaje obowiązek stosowania przepisów RODO. Jest to szczególnie istotne w kontekście wszelkiego rodzaju aplikacji i witryn internetowych, które do tej pory unikały stosowania obowiązujących w UE zasad ochrony danych osobowych.

Nowy katalog uprawnień

RODO wprowadza szereg nowych praw dla obywateli Unii Europejskiej, a także dla osób przebywających na terenie UE. Do tych praw należą m. in.: prawo do bycia zapomnianym czy prawo  przenoszenia danych, o których mowa będzie w dalszych częściach cyklu.

Jednakże RODO wprowadza także niezwykle istotne uprawnienie w sprawie postępowań o naruszenie praw jednostki. Otóż po raz pierwszy wprowadzony zostaje mechanizm tzw. „one-stop shop”, zgodnie z którym obywatel danego państwa członkowskiego wszelkie skargi będą kierować do „swojego”  krajowego organu ochrony danych osobowych (np. w Polsce: GIODO, w Niemczech: BFDI, we Francji: CNIL), a jednocześnie przedsiębiorca przetwarzający dane będzie „obsługiwany” przez ten organ ochrony danych osobowych, który jest właściwy ze względu na siedzibę główną przedsiębiorstwa.

RODO znajdzie więc zastosowanie w bardzo szerokim spektrum przypadków i można spodziewać się, że organy ochrony danych osobowych będą mocno przykładać się do swoich obowiązków kontrolnych. Konieczność implementacji RODO nie ominie także twórców darmowych aplikacji na smartfony, mających siedzibę i serwery nawet w najbardziej egzotycznych zakątkach globu lub po drugiej stronie Atlantyku.

Jak zatem należy postępować z gromadzonymi danymi osobowymi, aby nie naruszać przepisów? W kolejnym wpisie naszego cyklu opowiemy o tym jak należy tworzyć właściwą dokumentację dla procesów przetwarzania danych oraz co stanie się z dotychczasową dokumentacją tych procesów.

Photo by Svilen Milev