Wyłączenia RODO

Wyłączenia RODO

 

Zagadnienia z zakresu ochrony danych osobowych reguluje przede wszystkim Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i  w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie zwane „RODO”. W dokumencie tym znajdziemy najważniejsze zasady przetwarzania danych osobowych, a także szereg innych informacji w zakresie obowiązków administratorów danych osobowych.

KIEDY JESTEŚMY ZWOLNIENI ZE STOSOWANIA RODO?

RODO określa także przypadki przetwarzania danych osobowych, w których przepisy RODO nie będą mieć zastosowania.

Zacznijmy od wyłączeń stosowania regulacji unijnych z zakresu ochrony danych osobowych.  

Zgodnie z art. 2 RODO, nie stosujemy jego postanowień:

  • w ramach działalności nieobjętej zakresem prawa Unii;
    Oznacza to, że RODO będzie obejmować każdy podmiot, który ma siedzibę na terenie Unii Europejskiej (UE), posiada spółkę-córkę na terenie UE bądź też przetwarza dane osobowe osób fizycznych, które zamieszkują na terenie Unii Europejskie i to bez względu na to, czy administrator mą swoją siedzibę poza UE. 
  • Przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres prawa UE w obszarze wspólnej polityki zagranicznej i bezpieczeństwa (tytuł V rozdział 2 Traktaktu o Unii Europejskiej)
  • Przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
    Przykładem czynności o czysto domowym lub osobistym charakterze jest spis telefonów rodziny i znajomych, notatki zawierające daty ich urodzin, spis adresów do korespondencji. Przykładem będzie także gromadzenie dla własnych celów fotografii z uroczystości rodzinnych. Ogólnie rzecz ujmując, RODO nie będzie mieć zastosowanie w sytuacji, gdy dane będą przetwarzane w celach niezwiązanych z działalnością gospodarczą.
  • Wykonywanie kar przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań́ przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

DANE OSOBOWE ZMARŁYCH

Co istotne, RODO nie będzie mieć także zastosowania do danych osobowych osób zmarłych. Konsekwencją tego będzie chociażby to, że dozwolonym jest umieszczenie danych osoby zmarłej na nagrobku, w nekrologu czy w treści zawiadomienia o terminie pogrzebu. Nie oznacza to, iż dane dotyczące tychże osób nie podlegają żadnej ochronie. Informacje na temat osób zmarłych są chronione przez przepisy szczególne. Oznacza to, że bliskim zmarłego przysługuje prawo do ochrony dobra osobistego zmarłego, np. kult pamięci osoby zmarłej. Co istotne, w przypadku domów pogrzebowych regulacje RODO będą mieć już zastosowanie. Wynika to z faktu, że podmiot ten dysponuje nie tylko danymi osobowymi zmarłych, ale gromadzi dane osobowe osób żyjących np. w umowie o dokonaniu pochówku (umowa ta zawierana jest z żyjącymi osobami bliskimi zmarłego, które muszą podać swoje dane osobowe w celu zawarcia umowy). Oznacza to, że podmiot świadczący usługi pogrzebowe powinien odpowiednio zabezpieczyć dane osób, z którymi zawiera umowę, a także powinien zadbać o to, aby spełniał wszystkie wymagania wynikające z RODO.

DANE OSOBOWE OSÓB PRAWNYCH

Motyw 14. RODO wskazuje, iż regulacji tej nie stosujemy także w przypadku przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Oznacza to, że RODO chroni dane osobowe osób fizycznych, które można zidentyfikować oraz wyłącza spod tej ochrony dane dotyczące osób prawnych.  W tym miejscu należy zwrócić uwagę na sytuację, w ramach której dane osobowe osób fizycznych będą związane z danymi osób prawnych. Na uwzględnienie zasługuje także spór dotyczących  o danych osobowych osób, które pełnią poszczególne funkcje w strukturze organów osoby prawnej. Należy przy tym zwrócić uwagę, że możliwość identyfikacji takich osób wynika już z faktu, iż dane takich osób są ujawniane w KRS. Wydawać by się mogło, że dane te będą przynależeć do danych osoby prawnej i nie powinny być traktowane odrębnie jako dane osobowe osób fizycznych. Odmiennego zdania jest jednak Prezes UODO, który wskazuje, iż dane osób pełniących funkcje organów osoby prawnej takich jak członkowie zarządu reprezentujący osobę prawną, dane pełnomocników osób prawnych, dane pracowników będącymi osobami kontaktowymi osoby prawnej, którzy są możliwi do zidentyfikowania, są danymi osobowymi podlegającymi ochronie RODO. To z kolei oznacza, że administrator jest zobowiązany do wypełnienia obowiązku informacyjnego określonego w art. 13 i 14 RODO w stosunku do tychże osób, o ile nie zachodzą przesłanki zwalniające z tego obowiązku. Niemniej wpis na stronie Urzędu Ochrony Danych Osobowych wydaje się być kontrowersyjny i budzi poważne wątpliwości co do sposobu wykonania obowiązku informacyjnego w stosunku do osób reprezentujących osobę prawną. W praktyce wygląda to w ten sposób, że administrator danych osobowych (np. kontrahent, który zawiera umowę ze spółką reprezentowaną przez członka zarządu osoby prawnej) spełnia obowiązek informacyjny redagując stosowną klauzulę informacyjną dedykowaną przedstawicielom strony oraz włączając ją do treści umowy o współpracy jako jej integralną część. Jednocześnie osoba prawna jest wówczas zobowiązywana do przedłożenia takiej klauzuli swoim pracownikom. To jednak nie rozwiązuje problemu. W przypadku niewykonania zobowiązania odpowiedzialność administratora względem tychże osób fizycznych nie znika. Administratorowi może przysługiwać wówczas odpowiedzialność względem drugiej strony umowy z tytułu niedostarczenia klauzuli informacyjnej pracownikowi, czyli z tytułu niewłaściwego wykonania postanowień umowy. Komunikat Prezesa UODO wydaje się być jednak kontrowersyjny, wprowadza liczne wątpliwości i problemy w praktyce.

DZIAŁALNOŚĆ DZIENNIKARSKA

Przepisy RODO będą mieć także ograniczone zastosowanie w działalności dziennikarskiej, literackiej, akademickiej i artystycznej. Powyższe wynika ze względu na konieczność pogodzenia uprawnień osób fizycznych w zakresie ochrony danych osobowych z prawem do wolności słowa, wypowiedzi i informacji.  Wyłączenia te znajdują swoją podstawę w polskiej ustawie o ochronie danych osobowych.

KOŚCIOŁY I ZWIĄZKI WYZNANIOWE - OGRANICZONY ZAKRES

Znajdujemy jeszcze jedno wyłączenie, a przynajmniej ograniczenie w stosowaniu norm z zakresu ochrony danych osobowych. RODO w ograniczonym stopniu będzie mieć zastosowanie w Kościołach i związkach wyznaniowych. Podmioty te mogą stosować własne, szczegółowe zasady przetwarzania danych, o ile obowiązywały one w momencie uchwalenia RODO oraz zostały dostosowane do nowych przepisów z zakresu ochrony danych osobowych. W ten sposób RODO daje możliwość poszanowania autonomii Kościołów i związków wyznaniowych o uregulowanym statusie prawnym. Jako przykład szczegółowych regulacji ochrony danych osobowych można wskazać Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim, wydany na podstawie kan. 455 Kodeksu Prawa Kanonicznego, wydany przez Konferencję Episkopatu Polski 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie. A contrario Kościół bądź związek wyznaniowy, który nie stosuje szczegółowych regulacji z zakresu ochrony danych osobowych, zobowiązany jest do przestrzegania przepisów RODO.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna