Przepisy RODO znajdują bezpośrednie zastosowanie w Polsce i we wszystkich krajach Unii Europejskiej, do wszystkich podmiotów, które objęte są jego regulacjami (w tym np. do przedsiębiorców).
Ramy prawne przetwarzania i ochrony danych osobowych kształtowane są w podstawowym zakresie przez RODO, a w uzupełniającym, wąskim zakresie (w pewnych szczególnych obszarach) przez przepisy prawa krajowego poszczególnych państw członkowskich, które mają zastosowanie tylko do tych państw.
Przepisy RODO w centrum zainteresowania mają prawa i wolności osób fizycznych. Jeśli więc pojawią się wątpliwości interpretacyjne w zakresie stosowania RODO, organy nadzorcze często przychylą się do interpretacji korzystniejszej dla osób, których dane dotyczą, a nie np. dla przedsiębiorców – administratorów.
RODO nie zawiera, w zasadzie, żadnych wytycznych, obowiązków czy nakazów odnoszących się do stosowania określonych technik przetwarzania czy ochrony danych osobowych. RODO nie przesądza więc z góry, że jakieś techniki przetwarzania czy ochrony danych osobowych są zgodne albo niezgodne z przepisami. Innymi słowy, teoretycznie, każdy techniczny sposób przetwarzania czy ochrony danych osobowych może być zgodny z RODO, o ile spełnia ogólne wymagania przewidziane w RODO. W rezultacie to na podmiocie przetwarzającym dane osobowe spoczywa każdorazowo obowiązek pierwotnej oceny, czy techniczne sposoby przetwarzania lub ochrony danych, które zamierza stosować, będą zgodne z RODO.
RODO jako akt prawny o bezpośrednim zastosowaniu
RODO jest rozporządzeniem Unii Europejskiej. W rezultacie jego przepisy znajdują bezpośrednie zastosowanie w Polsce i we wszystkich krajach Unii Europejskiej, do wszystkich podmiotów, które objęte są jego regulacjami (w tym np. do przedsiębiorców).
Co więcej, akty prawne o charakterze lokalnym, w tym np. polskie ustawy, muszą być zgodne z postanowieniami RODO. Samo RODO jednak dopuszcza, by poszczególne państwa członkowskie w pewnych obszarach uzupełniały, doprecyzowały lub modyfikowały przepisy RODO na poziomie krajowym. Przykładowo w Polsce tego typu uzupełnienia wprowadzono w przepisach prawa pracy.
Ramy prawne przetwarzania i ochrony danych osobowych kształtowane są więc w podstawowym zakresie przez RODO i w uzupełniającym, wąskim zakresie, w pewnych szczególnych obszarach przez przepisy prawa krajowego poszczególnych państw członkowskich, które mają zastosowanie tylko do tych państw. Patrząc z perspektywy polskiej, podmioty, do których RODO znajduje zastosowanie (w tym np. przedsiębiorcy zarejestrowani w Polsce), są zatem zobowiązane organizować i prowadzić przetwarzanie danych osobowych przede wszystkim zgodnie z RODO oraz w odpowiednim zakresie z uzupełniającymi RODO przepisami prawa polskiego dotyczącymi przetwarzania i ochrony danych osobowych (o ile takie istnieją).
Cele RODO i ich wpływ na praktykę stosowania przepisów RODO
Jednym z podstawowych celów RODO – poza ujednoliceniem przepisów dotyczących przetwarzania i ochrony danych osobowych na terytorium całej UE oraz usunięciem przeszkód w przepływie danych – było wzmocnienie ochrony praw i wolności osób fizycznych związanych z przetwarzaniem ich danych osobowych.
W związku z tym przepisy RODO w centrum zainteresowania mają właśnie prawa i wolności osób fizycznych związane z przetwarzaniem ich danych osobowych. Powoduje to, że jeśli pojawią się wątpliwości interpretacyjne w zakresie stosowania RODO, organy nadzorcze często przychylą się do interpretacji korzystniejszych dla osób, których dane dotyczą, a nie np. dla przedsiębiorców – administratorów. W konsekwencji, w celu minimalizacji ryzyk naruszenia przepisów RODO, wskazane jest zazwyczaj podejście ostrożnościowe.
RODO jako akt bez regulacji o charakterze technicznym
Jak wskazano w motywie 15 do RODO,
Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik.
RODO nie zawiera, w zasadzie, żadnych wytycznych, obowiązków czy nakazów odnoszących się do stosowania określonych technik przetwarzania czy ochrony danych osobowych. RODO nie przesądza więc z góry, że jakieś techniki przetwarzania czy ochrony danych osobowych będą zgodne albo niezgodne z przepisami. Innymi słowy, teoretycznie, każdy techniczny sposób przetwarzania czy ochrony danych osobowych może być zgodny z RODO, o ile spełnia ogólne wymagania przewidziane w RODO (np. dotyczące bezpieczeństwa danych (art. 32) czy zasad privacy by design oraz privacy by default). W rezultacie to na podmiocie przetwarzającym dane osobowe spoczywa każdorazowo obowiązek pierwotnej oceny (oraz, z uwagi na zasadę rozliczalności, jej udokumentowania i uzasadnienia), czy techniczne sposoby przetwarzania lub ochrony danych, które zamierza stosować, będą zgodne z RODO.
Warto zauważyć, że z punktu widzenia przedsiębiorców to rozwiązanie może być zarówno korzystne, jak i niekorzystne. Korzystne, ponieważ nie ogranicza rozwoju technik (np. usług elektronicznych czy produktów z obszaru IoT, IoB, w tym wykorzystujących sztuczną inteligencję), które związane są z przetwarzaniem danych osobowych i, co do zasady, nie krępuje innowacyjności. Niekorzystne, ponieważ nie daje podmiotom przetwarzającym dane osobowe pożądanej niekiedy pewności, że określone rozwiązania techniczne stosowane przy przetwarzaniu danych czy ich ochronie, można z góry, bez dodatkowych analiz, uznać za zgodne z przepisami.
Do jakich danych osobowych ma zastosowanie RODO?
RODO ma zastosowanie do danych osobowych osób fizycznych (w tym przedsiębiorców), jednak nie ma zastosowania do danych osobowych osób zmarłych. RODO nie dotyczy przetwarzania danych dotyczących osób prawnych.
Komentarz do art. 1
Przedmiot i cele
RODO jako akt prawny o bezpośrednim zastosowaniu
RODO jest rozporządzeniem Unii Europejskiej. W rezultacie jego przepisy znajdują bezpośrednie zastosowanie w Polsce i we wszystkich krajach Unii Europejskiej, do wszystkich podmiotów, które objęte są jego regulacjami (w tym np. do przedsiębiorców).
Co więcej, akty prawne o charakterze lokalnym, w tym np. polskie ustawy, muszą być zgodne z postanowieniami RODO. Samo RODO jednak dopuszcza, by poszczególne państwa członkowskie w pewnych obszarach uzupełniały, doprecyzowały lub modyfikowały przepisy RODO na poziomie krajowym. Przykładowo w Polsce tego typu uzupełnienia wprowadzono w przepisach prawa pracy.
Ramy prawne przetwarzania i ochrony danych osobowych kształtowane są więc w podstawowym zakresie przez RODO i w uzupełniającym, wąskim zakresie, w pewnych szczególnych obszarach przez przepisy prawa krajowego poszczególnych państw członkowskich, które mają zastosowanie tylko do tych państw. Patrząc z perspektywy polskiej, podmioty, do których RODO znajduje zastosowanie (w tym np. przedsiębiorcy zarejestrowani w Polsce), są zatem zobowiązane organizować i prowadzić przetwarzanie danych osobowych przede wszystkim zgodnie z RODO oraz w odpowiednim zakresie z uzupełniającymi RODO przepisami prawa polskiego dotyczącymi przetwarzania i ochrony danych osobowych (o ile takie istnieją).
Cele RODO i ich wpływ na praktykę stosowania przepisów RODO
Jednym z podstawowych celów RODO – poza ujednoliceniem przepisów dotyczących przetwarzania i ochrony danych osobowych na terytorium całej UE oraz usunięciem przeszkód w przepływie danych – było wzmocnienie ochrony praw i wolności osób fizycznych związanych z przetwarzaniem ich danych osobowych.
W związku z tym przepisy RODO w centrum zainteresowania mają właśnie prawa i wolności osób fizycznych związane z przetwarzaniem ich danych osobowych. Powoduje to, że jeśli pojawią się wątpliwości interpretacyjne w zakresie stosowania RODO, organy nadzorcze często przychylą się do interpretacji korzystniejszych dla osób, których dane dotyczą, a nie np. dla przedsiębiorców – administratorów. W konsekwencji, w celu minimalizacji ryzyk naruszenia przepisów RODO, wskazane jest zazwyczaj podejście ostrożnościowe.
RODO jako akt bez regulacji o charakterze technicznym
Jak wskazano w motywie 15 do RODO,
RODO nie zawiera, w zasadzie, żadnych wytycznych, obowiązków czy nakazów odnoszących się do stosowania określonych technik przetwarzania czy ochrony danych osobowych. RODO nie przesądza więc z góry, że jakieś techniki przetwarzania czy ochrony danych osobowych będą zgodne albo niezgodne z przepisami. Innymi słowy, teoretycznie, każdy techniczny sposób przetwarzania czy ochrony danych osobowych może być zgodny z RODO, o ile spełnia ogólne wymagania przewidziane w RODO (np. dotyczące bezpieczeństwa danych (art. 32) czy zasad privacy by design oraz privacy by default). W rezultacie to na podmiocie przetwarzającym dane osobowe spoczywa każdorazowo obowiązek pierwotnej oceny (oraz, z uwagi na zasadę rozliczalności, jej udokumentowania i uzasadnienia), czy techniczne sposoby przetwarzania lub ochrony danych, które zamierza stosować, będą zgodne z RODO.
Warto zauważyć, że z punktu widzenia przedsiębiorców to rozwiązanie może być zarówno korzystne, jak i niekorzystne. Korzystne, ponieważ nie ogranicza rozwoju technik (np. usług elektronicznych czy produktów z obszaru IoT, IoB, w tym wykorzystujących sztuczną inteligencję), które związane są z przetwarzaniem danych osobowych i, co do zasady, nie krępuje innowacyjności. Niekorzystne, ponieważ nie daje podmiotom przetwarzającym dane osobowe pożądanej niekiedy pewności, że określone rozwiązania techniczne stosowane przy przetwarzaniu danych czy ich ochronie, można z góry, bez dodatkowych analiz, uznać za zgodne z przepisami.
Do jakich danych osobowych ma zastosowanie RODO?
RODO ma zastosowanie do danych osobowych osób fizycznych (w tym przedsiębiorców), jednak nie ma zastosowania do danych osobowych osób zmarłych. RODO nie dotyczy przetwarzania danych dotyczących osób prawnych.