Po lekturze poprzedniego artykułu wiedzą już Państwo, że RODO, przyznaje ochronę tylko osobom fizycznym w związku z przetwarzaniem ich danych osobowych, które dane można uznać za dane osobowe oraz że prawo do ochrony danych osobowych nie jest prawem bezwzględnym i możne doznawać ograniczeń w przypadku kolizji z innymi prawami. Skoro zatem podstawy podstaw zostały już wyjaśnione, możemy nieco bardziej zagłębić się w tematykę ochrony danych osobowych, przy czym niniejszy wpis w dalszym ciągu będzie zahaczał o podstawy. W tym miejscu należy bowiem zastanowić się, czym jest przetwarzanie danych osobowych, skoro w związku z nim została przyznana ochrona, co to są zbiory danych, a także kiedy właściwie stosujemy RODO, a kiedy nie. Sam bowiem fakt przyznawania ochrony w związku z przetwarzaniem danych nie oznacza, że rozporządzenie będzie miało zastosowanie do każdego przypadku przetwarzania. Zastanowimy się też, jak ma się RODO do Facebooka czy Google.
Przejdźmy zatem do omówienia następujących zagadnień: Kiedy rozporządzenie ma zastosowanie, a kiedy nie? Co to jest przetwarzanie danych osobowych? Czym są zbiory danych? Czy Facebook i Google muszą stosować RODO?
Kiedy RODO ma zastosowanie, a kiedy nie?
Mówiąc o zastosowaniu RODO, należy rozróżnić dwie kwestie – materialny oraz terytorialny zakres zastosowania. Materialny wskazuje na sytuacje / obszary działalności, w których należy stosować rozporządzenie. Terytorialny odnosi się oczywiście do określonego obszaru w sensie geograficznym. Zacznijmy od materialnego zakresu zastosowania.
Został on wskazany w art. 2 ust. 1, który stanowi, że
niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Analiza tego przepisu prowadzi do wniosku, że obowiązek stosowania RODO należy wiązać nie tyle z samym faktem przetwarzania danych osobowych, co z przetwarzaniem, które:
-
-
- odbywa się w sposób całkowicie lub częściowo zautomatyzowany
-
albo
-
-
- odbywa się w sposób inny niż zautomatyzowany i dotyczy danych osobowych stanowiących lub mających stanowić część zbioru danych.
-
Czym zatem jest owo przetwarzanie, przetwarzanie w sposób zautomatyzowany oraz zbiór danych?
Przetwarzanie
Zgodnie z art. 4 pkt 2 RODO
’przetwarzanie’ oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Na pojęcie „przetwarzania” składają się zatem dwa elementy – definicja ogólna oraz przykładowe wyliczenie czynności, które mogą być uznane za przetwarzanie i które ułatwiają jego zrozumienie. Zgodnie z definicją ogólną określone operacje muszą być wykonywane na danych osobowych, żeby mogły być uznane za przetwarzanie w rozumieniu RODO. Jednocześnie przepis ten wyznacza ramy czasowe, w jakich dochodzi do przetwarzania. Rozpoczynają się one od zbierania danych, a kończą na ich usuwaniu lub niszczeniu. Wszystko zatem, co będzie miało miejsce przed zbieraniem danych (np. prośba o ich podanie) nie może być uznane za przetwarzanie. Zwrócił na to uwagę Naczelny Sąd Administracyjny w wyroku z dnia 28 czerwca 2011 r., I OSK 1264/10, LEX numer 1082607. Mimo że orzeczenie to zostało wydane w stanie prawnym sprzed wejścia w życie RODO, to jednak nadal zachowuje aktualność.
Przetwarzanie zautomatyzowane. Pojęcie to nie zostało wyjaśnione wprost w rozporządzeniu, jednakże wskazówkę co do jego rozumienia daje nam motyw siedemdziesiąty pierwszy preambuły. Uważna analiza pozwala wysnuć wniosek, że przetwarzanie zautomatyzowane to takie, które odbywa się bez interwencji ludzkiej. W taki też sposób pojęcie to rozumie Grupa Robocza Art. 29, która w wytycznych WP 251 wskazała, iż:
podejmowanie decyzji wyłącznie w sposób zautomatyzowany to zdolność do podejmowania decyzji z wykorzystaniem rozwiązań technicznych bez interwencji ludzkiej.
Komentatorzy zwracają uwagę, że przetwarzanie ma charakter zautomatyzowany, jeżeli operacje na danych osobowych wykonywane są przy użyciu urządzeń wykonujących samoczynnie określone czynności bez konieczności wykonywania każdej czynności przez człowieka, przy czym przetwarzanie nabiera charakteru zautomatyzowanego również w sytuacji, gdy wykorzystywane są do tego celu proste programy biurowe takie jak edytory tekstu, czy arkusze kalkulacyjne (por. Fajgielski Paweł. Art. 2. W: Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018.).
Zbiór danych. Zgodnie z art. 4 pkt 6 RODO
’zbiór danych’ oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
W literaturze przedmiotu, jak też w wyjaśnieniach Generalnego Inspektora Ochrony Danych Osobowych (z czasów przed przekształceniem w Prezesa Urzędu Ochrony Danych Osobowych) zwraca się uwagę, że zbiór ten musi spełniać trzy kryteria:
- musi to być zestaw danych osobowych;
- dane osobowe w tym zbiorze muszą być uporządkowane w taki sposób, aby można było odszukać żądaną informację bez potrzeby przeszukiwania całego zbioru;
- dane muszą być uporządkowane według co najmniej dwóch określonych kryteriów, przy czym kryteria te powinny się odnosić do osób fizycznych.
(por.: Mednis Arwid, Ustawa o ochronie danych osobowych. Komentarz. Wydawnictwo Prawnicze, 1999; https://archiwum.giodo.gov.pl/530/id_art/2657; Lubasz Dominik. Art. 2. W: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Wolters Kluwer Polska, 2018; Fajgielski Paweł, op. cit.)
Jeżeli zatem przetwarzanie będzie odbywać się w sposób inny niż zautomatyzowany i nie będzie przy tym dotyczyć danych stanowiących lub mających stanowić część zbioru danych, to nie będzie podlegało przepisom RODO.
Art. 2 ust. 2 RODO zawiera z kolei katalog wyłączeń stosowania rozporządzenia. Przetwarzanie, które odbywa się w ramach jednego z wymienionych w nim zakresów, nie podlega rygorom omawianego rozporządzenia. Zgodnie z powołanym przepisem RODO nie ma zastosowania do przetwarzania danych osobowych:
- w ramach działalności nieobjętej zakresem prawa Unii – chodzi tu o działania odnoszące się np. do bezpieczeństwa narodowego;
- przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE – czyli do przetwarzania danych osobowych przez państwa członkowskie w związku z działaniami związanymi ze wspólną polityką zagraniczną i bezpieczeństwa Unii, co zostało wyjaśnione w motywie szesnastym preambuły RODO;
- przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze – przepis ten został rozwinięty w motywie osiemnastym preambuły RODO, w którym wskazano, że chodzi o działalność niezwiązaną z działalnością zawodową czy handlową danej osoby, a jako przykład podano, że działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności;
- przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom – czy to oznacza, że Policja oraz inne organy prowadzące postępowanie przygotowawcze nie są w ogóle zobowiązane do ochrony danych osobowych gromadzonych w ramach takich postępowań? Są, tylko że na innych zasadach. Te zaś zostaną Państwu przedstawione w kolejnym artykule, w którym odpowiemy sobie na pytanie czy Policja może odmówić obrońcy informacji o kliencie (oskarżonym/podejrzanym), powołując się na RODO.
Oprócz powyższego rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych, przy czym państwa członkowskie mogą przyjąć przepisy o przetwarzaniu takich danych (motyw dwudziesty siódmy preambuły RODO). Jednym z państw, które zdecydowało się na tego typu regulacje jest np. Estonia.
Poza tym materialne wyłączenie stosowania RODO zawiera również ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). W art. 6 stanowi, że ustawy oraz rozporządzenia nie stosuje się do:
- działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu;
- przetwarzania danych osobowych przez jednostki sektora finansów publicznych takie jak:
-
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
- jednostki budżetowe,
- agencje wykonawcze,
- instytucje gospodarki budżetowej,
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, instytutów działających w ramach Sieci Badawczej Łukasiewicz, banków oraz spółek prawa handlowego
– w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.
Ponadto ustawa o ochronie danych osobowych częściowo wyłącza stosowanie RODO w odniesieniu do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe, do wypowiedzi w ramach działalności literackiej lub artystycznej, a także do wypowiedzi akademickiej.
Facebook i Google kontra RODO
Odpowiedzi na to zagadnienie udzieli nam terytorialny zakres zastosowania rozporządzenia. Zgodnie z art. 3 RODO jest on wyznaczony przez dwa czynniki. Pierwszy to siedziba administratora lub podmiotu przetwarzającego. Jeżeli znajduje się ona w Unii, to rozporządzenie ma zastosowanie niezależnie od tego, czy przetwarzanie odbywa się w Unii. Drugi to miejsce przebywania osób, których dane dotyczą. Jeśli znajduje się ono w Unii, to rozporządzenie ma zastosowanie do przetwarzania ich danych, niezależnie od tego czy sam administrator/podmiot przetwarzający mają siedzibę w Unii, pod warunkiem, że dokonywane czynności przetwarzania wiążą się z oferowaniem takim osobom towarów lub usług (bez względu na to, czy wymaga się od tych osób zapłaty za oferowane towary/usługi) lub monitorowaniem zachowania tych osób. Nadto rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora, który nie ma jednostki organizacyjnej w Unii, ale ma taką jednostkę w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.
Dzięki tej regulacji do stosowania rozporządzenia obowiązani są np. administratorzy portalów społecznościowych, jak np. Facebook, czy internetowy gigant Google. Obowiązki takich podmiotów zostały wyraźnie oddzielone od prawa użytkowników do korzystania z nich w ramach działalności o czysto osobistym lub domowym charakterze, co wskazano w przytoczonym wcześniej motywie osiemnastym preambuły RODO:
Niniejsze rozporządzenie ma jednak zastosowanie do administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.
Użytkowników Facebooka z pewnością zainteresuje stanowisko Prezesa Urzędu Ochrony Danych Osobowych, który wyjaśnił, że Facebook musi respektować RODO, ale nie oświadczenia na naszym profilu.
Co to znaczy w praktyce? Facebook ma obowiązek zagwarantować swoim użytkownikom realizację np. prawa do informacji, do sprostowania danych czy ich usunięcia, a także zapewnić odpowiednie środki bezpieczeństwa w związku z przetwarzaniem danych, czy informować o wycieku danych. Jednakże łańcuszki z oświadczeniami o tym, że nie dajemy portalowi prawa do korzystania z naszych zdjęć czy informacji o nas nic nie dają. Ich zamieszczanie nie ma większego sensu, gdyż nie mają mocy prawnej w relacjach z portalem społecznościowym. Dla obu stron wiążące są zasady korzystania z materiałów użytkowników określone w Regulaminie, Zasadach dotyczących danych oraz Standardach społeczności. Bardzo często, akceptując ich postanowienia, udzielamy licencji na korzystanie ze wszystkich materiałów, które upubliczniamy (patrz: https://uodo.gov.pl/pl/138/682).
Odnośnie Google warto wspomnieć, że francuski odpowiednik Urzędu Ochrony Danych Osobowych, tj. Krajowa Komisja Ochrony Danych (CNIL, z fr. Commission Nationale de l’Informatique et des Libertés), nałożył na niego karę w wysokości 50 milionów euro za utrudnianie dostępu do informacji o zasadach przetwarzania danych. Koncern nie zapewnił użytkownikom możliwości łatwego sprawdzenia, jakie ich dane są przetwarzane, a w szczególności te, na podstawie których wyświetlano spersonalizowane reklamy. W dodatku zgody na wyświetlanie reklam zbierane były niezgodnie z RODO. Z pełną treścią decyzji można zapoznać się pod następującym linkiem: klik.
Reasumując
Mimo że RODO zapewnia ochronę osobom fizycznym w związku z przetwarzaniem ich danych osobowych, to nie każde przetwarzanie będzie podlegało jego regulacjom. Co prawda w dobie postępującej informatyzacji życia i automatyzacji wykonywanych przez nas czynności coraz trudniej będzie można znaleźć przykład przetwarzania, który wymykałby się zakresowi zastosowania rozporządzenia określonemu w art. 2 ust. 1. Wszyscy bowiem obecnie używamy komputerów osobistych, laptopów oraz telefonów. Ponadto portal społecznościowy czy inny dostawca usług internetowych, który oferuje je w Unii, jest obowiązany do stosowania przepisów rozporządzenia. Z uwagi na to musi między innymi zapewnić odpowiedni stopień ochrony naszym danym, czy w sposób jasny i przejrzysty poinformować nas o przysługujących nam prawach. Warto jednak pamiętać, że oświadczenia publikowane przez nas na tym portalu nie wywierają żadnych skutków, skoro tworząc konto zaakceptowaliśmy określone zasady korzystania z serwisu.
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.
Inne wpisy w ramach cyklu PRAWDZIWE OBLICZE RODO: klik.