Już za niespełna 130 dni, tj. 25 maja 2018 roku, wchodzi w życie nowe rozporządzenie unijne unifikujące zasady ochrony danych osobowych na terenie całej Unii Europejskiej. W przeciwieństwie do dyrektyw, rozporządzenia unijne znajdują bezpośrednie zastosowanie i stają się częścią porządku prawnego państw członkowskich. Z tego właśnie względu ze wskazanym dniem m.in. w Polsce zaczną obowiązywać nowe regulacje związane z ochroną danych osobowych.
Kogo obejmują obecne przepisy
Jeszcze na dzień dzisiejszy obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazywała wprost w art. 3, do kogo kierowane są jej regulacje. Wskazany przepis wymienia m.in. osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają one dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych i jednocześnie mają siedzibę na terytorium Rzeczypospolitej Polskiej, albo mając siedzibę w państwie trzecim, przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP. W praktyce zakresem polskiej ustawy spośród podmiotów prywatnych najczęściej objęci byli przedsiębiorcy, niezależnie od formy prawnej prowadzonej działalności gospodarczej.
Kogo będzie obejmować RODO
Można powiedzieć, że zasada ta nie zmienia się w świetle oczekującego na wejście w życie rozporządzenia znanego pod robocza nazwą RODO (skrót od „Rozporządzenie o Ochronie Danych Osobowych”). Rozporządzenie znajduje zastosowanie zgodnie z art. 2 ust. 1 do czynności przetwarzania danych osobowych. Innymi słowy – są nim objęte (z pewnymi wyjątkami dotyczącymi m.in. działalności państwowej czy organów ścigania) wszelkie podmioty przetwarzające dane osobowe.
Co istotne, samo „przetwarzanie danych osobowych” zostało zdefiniowane w sposób bardzo szeroki i już samo pobieranie, przeglądanie czy nawet usuwanie danych osobowych stanowi jego formę. Tym samym dokonywanie jakichkolwiek operacji lub zestawów operacji na danych osobowych przez podmiot skutkować będzie objęciem działalności podmiotu regulacjami RODO i szerokimi obowiązkami z nimi związanymi. Taki szeroki zakres zastosowanie nowej, ogólnoeuropejskiej regulacji prawnej znajduje swoje uzasadnienie w potrzebie zapewnienia możliwie pełnej i jednocześnie spójnej ochrony osób fizycznych oraz usunięciu przeszkód w przepływie danych osobowych w Unii.
Zdecydują podejmowane działania a nie forma działalności
Odnosząc powyższe do przedsiębiorców działających na terytorium RP, należy jednoznacznie stwierdzić, że wchodzące w życie regulacje RODO znajdą zastosowanie w każdym przypadku, kiedy przedsiębiorca gromadzi lub wykorzystuje dane dotyczące osób fizycznych. Nie ma przy tym znaczenia, czy przedsiębiorstwo prowadzone jest w formie jednoosobowej działalności gospodarczej czy też spółki akcyjnej notowanej na GPW. Bez względu na skalę prowadzonej działalności oraz jej formę prawną w praktyce zdecydowana większość przedsiębiorców będzie objęta zakresem nowych regulacji prawnych.
Należy przygotować firmę do zmian
Co ważne, obowiązki, jakie powstaną z momentem wejścia w życie RODO, różnią się w pewnym zakresie od dotychczasowych zasad ochrony danych osobowych, jakie jeszcze przez niedługi czas będą obowiązywać w Polsce. Tym samym, nawet jeżeli w przedsiębiorstwie przestrzegane są krajowe regulacje dotyczące ochrony danych osobowych niezwykle ważne jest, aby dostosować je do nowych wymogów prawnych. Wdrożenie RODO to proces złożony i czasochłonny, należy zatem zwrócić uwagę, że data 25 maja 2018 r. nie jest tak odległa, jak mogłoby się wydawać.
Autor: Jan Molicki, radca prawny, Kancelaria Prawna Piszcz i Wspólnicy