Czy RODO jest dla każdego?

25 maja 2018 r. w całej Unii Europejskiej zacznie obowiązywać Rozporządzenia (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych, w skrócie RODO). Ta regulacja wprowadzi wiele nowych praw i obowiązków związanych z przetwarzaniem danych osobowych oraz zmodyfikuje znane już rozwiązania prawne. Rozporządzenie 2016/679 obowiązywać będzie wszystkich, którzy w związku ze swoją działalnością przetwarzają dane osobowe. Nie ma znaczenia wielkość, obrót czy forma prowadzonej działalności. W tym zakresie mieszczą się również osoby fizyczne prowadzące działalność gospodarczą oraz małe spółki.

Popularność zaczęło zdobywać nawet stwierdzenie, że RODO ma zastosowanie dla każdego. Trudno się z tym nie zgodzić patrząc jedynie na kategorie przedsiębiorców. Jednak w samym tekście Rozporządzenia można wyróżnić grupy podmiotów, których zastosowanie Rozporządzenia 2016/679 nie dotyczy. Nie ma on, bowiem charakteru uniwersalnego. RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli de facto bez związku z działalnością zawodową lub handlową. Działalność taka może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiego celu. Rozporządzenie nie ma również zastosowania do przetwarzania danych osobowych w ramach działalności nieobjętej zakresem prawa unii europejskiej, (na przykład kwestie związane z bezpieczeństwem narodowym), a także do działalności związanej z przetwarzaniem danych przez instytucje unijne czy też dyplomatyczne.

Ostatnim punktem, do którego nie stosuje się przepisów niniejszego rozporządzenia jest działalność właściwych organów w celu zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Należy przy tym zaznaczyć, że co do zasady RODO ma zastosowanie do działań sądów i innych organów wymiaru sprawiedliwości, jednak właściwość organów nadzorczych nie powinna dotyczyć przetwarzania danych w ramach sprawowania wymiaru sprawiedliwości. Wszystko po to by chronić pojęcie niezawisłości.

Jak wygląda w RODO sytuacja administratorów przetwarzających dane osobowe wrażliwe, m.in. sektor medyczny, pracodawcy?

Dane wrażliwe cechują się tym, że ujawniają informacje szczególne, które dotyczą na przykład naszego stanu zdrowia, orientacji seksualnej, przynależności do związków zawodowych itd. Takie dane osobowe z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, i dlatego wymagają szczególnej ochrony. W Rozporządzeniu widnieją one pod nazwą „szczególne kategorie danych osobowych”. Co do zasady istnieje zakaz, który zabrania ich przetwarzania, jednak dla pewnych podmiotów, przy spełnieniu określonych warunków, nie znajduje on zastosowania. Główną cechą decydującą o tym, czy artykuł będzie miał zastosowanie jest „niezbędność”. Z punktu widzenia placówek ochrony zdrowia większość przetwarzanych danych to dane sensytywne, które dla celów profilaktyki zdrowotnej, odpowiedniej diagnostyki medycznej muszą być przetwarzane. Na gruncie RODO dopuszczalne jest przetwarzanie danych dotyczących pacjentów w zakresie, w jakim jest to konieczne dla procesu diagnostycznego lub terapeutycznego lub w interesie publicznym w dziedzinie zdrowia publicznego, jak chociażby w celu poprawy standardów opieki zdrowotnej.

Nie tylko sektor medyczny zmaga się z przetwarzaniem wrażliwych danych osobowych. W przypadku pracodawców, coraz częściej mówi się o wykorzystaniu biometrii przy ewidencji czasu pracy. Odciski palców, czy skan siatkówki oka, to innowacyjne koncepcje, pozwalające m.in. ustalić liczbę przepracowanych godzin. Wydaje się, że najważniejsza jest tu celowość i adekwatność przy pozyskiwaniu i wykorzystywaniu takich danych. W związku, z czym pracodawca, mając do wyboru czynności powszechne stosowalne takie jak podpisywanie listy obecności, czy przyłożenie przez pracownika karty do czytnika powinien zastosować te, które mniej ingerują w naszą prywatność. Stosowanie biometrii zdecydowanie bardziej wkracza w sferę osobistą. Administrator takich danych biometrycznych będzie musiał powołać się na konieczny i uzasadniony cel pobierania takich danych. W przedstawionym przykładzie dane te będą przetwarzane tylko po uzyskaniu zgody pracownika, która powinna być dobrowolna. Może okazać się to trudnym warunkiem do spełnienia w przypadku przewagi ekonomicznej pracodawcy nad pracownikiem.

Czy przepisy Rozporządzenia pozwalają na ustalenie we własnym obrębie zbioru przepisów odnoszących się tylko do danej kategorii podmiotów?

Jedną z ważniejszych zmian, wprowadzonych przez RODO jest dopuszczalność przyjmowania kodeksów postępowania, przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające. Oczywiście zbiór takich przepisów będzie musiał być zatwierdzony przez właściwy organ nadzorczy. Tak zwane kodeksy, które de facto są tworem samoregulacji branżowej, ze względu na ich formalne zatwierdzenie przez organ nadzorczy, w pewnym stopniu staną się quasi-prawem ograniczającym ryzyka prawne administratorów danych. Kodeksy mogą zawierać wskazówki, w jaki sposób należy wdrożyć odpowiednie środki bezpieczeństwa, czy wykazać przestrzeganie prawa przez administratora. W dodatku, poprzez stosowanie zatwierdzonego przez właściwy organ kodeksu, będzie można wykazać wywiązanie się z obowiązków nakładanych przez Rozporządzenie. Należy jednak pamiętać, że takie kodeksy w stosunku do Rozporządzenia 2016/679 będą miały jedynie charakter uzupełniający i umożliwią ujednolicenie praktyki przetwarzania danych osobowych przez konkretne sektory.

Można zatem stwierdzić, że RODO ma zastosowanie do każdego, mając na uwadze kategorie podmiotów wyłączonych spod zakresu stosowania przepisów niniejszego Rozporządzenia. Należy również pamiętać, że podmioty przetwarzające dane sensytywne, będą musiały uzasadnić konieczność ich pozyskiwania. Kryterium niezbędności powinno być rozpatrywane szczególnie przy wykorzystywaniu danych wrażliwych. Natomiast stosowanie kodeksów postępowania, zatwierdzonych przez właściwy organ, będzie mogło być uważane za wywiązywanie się z obowiązków tegoż Rozporządzenia.

Artur Piechocki i Karolina Król z kancelarii APLaw