Nowe przepisy o ochronie danych osobowych wynikające z RODO, a więc Rozporządzenia o Ochronie Danych Osobowych określane są mianem rewolucji w tej dziedzinie prawa. Trudno nie zgodzić się z tą tezą, szczególnie biorąc pod uwagę objętość samego rozporządzenia oraz ilość zagadnień jakie rozporządzenie porusza. Jednocześnie w internecie pojawia się coraz więcej informacji, które czasami mam wrażenie, że mają wprowadzać więcej zamętu, niż rozwiązywać wątpliwości internautów. Biorąc pod uwagę powyższe zdecydowałem się przygotować cykl wpisów w których pojawią się wszystkie najważniejsze zagadnienia dotyczące RODO, a które dotyczą bezpośrednio osób związanych z e-biznesem.
Czego dotyczy RODO?
Nowe przepisy dotyczą ochrony danych osobowych. Przez dane osobowe trzeba rozumieć wszelkie informacje o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Według RODO, aby stwierdzić czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne, prawdopodobne sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. By stwierdzić czy dany sposób może być użyty z “uzasadnionym prawdopodobieństwem” do zidentyfikowania osoby, należy wziąć pod uwagę obiektywne czynniki takie jak czas potrzebny do zidentyfikowania czy koszt identyfikacji.
W skrócie, za dane osobowe należy uznać takie dane, które pozwalają nam zidentyfikować kogoś bez nadmiernej trudności. RODO do danych osobowych zalicza m.in. dane dotyczące stanu zdrowia ale także (i to nowość w porównaniu z naszą dotychczasową ustawą) dane genetyczne, jako dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskanych z analizy próbek biologicznych.
Przetwarzanie tych danych to wykonywanie na nich jakichkolwiek operacji np. wykorzystywanie do kierowania ofert, świadczenia usług, realizacji zamówień, przechowywania na serwerze, tworzenia z ich wykorzystaniem baz danych etc.
Kogo dotyczy RODO?
Pod względem podmiotowości, przepisy dotyczą wszystkich osób fizycznych, które zamieszkują teren Unii Europejskiej, to właśnie osoby fizyczne RODO ma chronić przede wszystkim. Rozporządzenie muszą stosować również podmioty, które mają swoją siedzibę na terenie UE i które przetwarzają dane osobowe m.in. w związku ze świadczeniem usług (również tych bezpłatnych). Powyższe może mieć zastosowanie m.in. do osób prowadzących działalność w którymkolwiek państwie będącym członkiem UE.
Co istotne do rozporządzenia muszą stosować się nie tylko podmioty, które faktycznie mają swoją siedzibę na terenie Unii Europejskiej ale również te podmioty, które siedziby w UE nie posiadają ale przetwarzają dane osobowe osób, które zamieszkują na terenie UE. Przetwarzanie to dotyczyć może świadczenia usług lub realizacji sprzedaży. Ciekawe co na to powiedzą sprzedawcy na Aliexpress?
Dodtkowo, w określonych przypadkach podmiot, który nie ma swojej siedziby w Unii będzie zobowiązany do wyznaczenia swojego przedstawiciela na jej terenie. Taki przedstawiciel będzie musiał spełniać obowiązki administratora danych osobowych lub podmiotu przetwarzającego dane w tym m.in. współpracować z właściwymi organami odpowiedzialnymi za kontrolę prawidłowości przetwarzania danych osobowych.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Doradztwa Prawnego
Cioczek & Szajdziński Spółka Cywilna
Jeżeli chcesz pozostawać na bieżąco z nowymi przepisami zapraszamy do dołączenia do naszej grupy na Facebook
Jeżeli potrzebujesz pomocy w zakresie ochrony danych osobowych, skontaktuj się z nami: ensiskancelaria.com