RODO ma zastosowanie, kiedy podmiot przetwarza dane osobowe:
w sposób całkowicie lub częściowo zautomatyzowany,
w inny sposób, ale przetwarzane dane osobowe stanowią część zbioru danych,
w inny sposób, ale dane osobowe mają stanowić część zbioru danych.
Zautomatyzowane przetwarzanie to każdy proces cyfrowego przetwarzania danych osobowych. Z przetwarzaniem niezautomatyzowanym mamy do czynienia tylko wtedy, gdy dane osobowe są w całości zapisywane i przechowywane wyłącznie w formie papierowej.
RODO nie ma zastosowania do przetwarzania danych osobowych:
w ramach działalności nieobjętej zakresem prawa Unii,
przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE,
przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze,
przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
W jakich sytuacjach znajduje zastosowanie RODO?
RODO ma zastosowanie do przetwarzania danych osobowych w trzech przypadkach (o ile nie zajdą przesłanki wyłączające jego zastosowanie, o których mowa w art. 2 ust. 2 lub art. 3 RODO – piszemy o nich w dalszej części komentarza):
zawsze, kiedy podmiot prowadzi przetwarzanie danych osobowych w sposób całkowicie lub częściowo zautomatyzowany,
kiedy podmiot prowadzi przetwarzanie danych osobowych w sposób inny niż zautomatyzowany, ale przetwarzane dane osobowe stanowią część zbioru danych,
kiedy podmiot prowadzi przetwarzanie danych osobowych w sposób inny niż zautomatyzowany, ale dane osobowe mają stanowić część zbioru danych.
Jeśli którykolwiek ze wskazanych powyżej scenariuszy ma zastosowanie do działań danego podmiotu, to podmiot ten w zakresie prowadzenia tych działań będzie podlegał RODO, w tym będzie zobowiązany do jego przestrzegania (o ile nie znajdzie zastosowanie żadne z wyłączeń, o których mowa powyżej).
Kiedy dane osobowe są przetwarzane w sposób zautomatyzowany?
RODO co do zasady znajdzie zawsze zastosowanie do sytuacji, w których dany podmiot prowadzi przetwarzanie danych osobowych w sposób całkowicie lub częściowo zautomatyzowany.
RODO nie zawiera definicji „przetwarzania w sposób zautomatyzowany”. Wydaje się, że z praktycznego punktu widzenia można przyjąć, że podlegającym RODO „przetwarzaniem w sposób zautomatyzowany” będzie każdy proces, w którym dochodzi do cyfrowego przetwarzania danych osobowych (w tym ich zbierania, porządkowania, analizy czy przechowywania), w tym z wykorzystaniem: komputerów, smartfonów i innych urządzeń przenośnych, oprogramowania, aplikacji internetowych, systemów informatycznych, twardych dysków, chmury obliczeniowej, Internetu, telefonu, rejestratorów obrazu lub dźwięku lub innych cech człowieka (np. o charakterze biometrycznym), rozwiązań Internet of Things czy Internet of Bodies oraz lokalizatorów, w tym GPS.
Jeśli chodzi o przetwarzanie danych w sposób częściowo zautomatyzowany, to można przyjąć, z pewnym uproszczeniem, że zachodzi ono w sytuacji, w której dany proces przetwarzania danych choćby częściowo prowadzony jest cyfrowo (np. cyfrowo prowadzona jest określona faza przetwarzania danych w procesie, taka jak zbieranie, przesyłanie czy przechowywanie).
Przetwarzanie danych w sposób niezautomatyzowany następuje, jeśli przetwarzanie prowadzone jest bez jakiegokolwiek wykorzystania jakichkolwiek rozwiązań cyfrowych, np. jeśli dany proces zorganizowany jest w taki sposób, że dane osobowe są w całości zapisywane i przechowywane wyłącznie w formie papierowej. Co ważne, gdyby do przetwarzania takich danych na jakimkolwiek etapie tego procesu użyto rozwiązań cyfrowych (np. komputerów czy skanerów), przetwarzanie tego rodzaju danych odbywałoby się już w sposób przynajmniej częściowo zautomatyzowany w rozumieniu RODO.
Czym jest „zbiór danych” i kiedy dane osobowe stanowią jego część? Kiedy RODO znajdzie zastosowanie w przypadku niezautomatyzowanego przetwarzania danych?
RODO znajduje zastosowanie do danych osobowych przetwarzanych w sposób inny niż zautomatyzowany m.in. wtedy, gdy przetwarzane dane osobowe stanowią część zbioru danych. W praktyce oznacza to, że RODO nie znajduje zastosowania tylko do danych osobowych przetwarzanych w całości w formie analogowej (tj. bez jakiegokolwiek zaangażowania środków czy rozwiązań o charakterze cyfrowym), które jednocześnie nie są elementem zbioru danych (i nie mają nim być – o czym szerzej poniżej).
Zgodnie z definicją zawartą w RODO „zbiór danych” to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Motyw 15 RODO wskazuje jednocześnie, że zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny być objęte zakresem RODO.
Z praktycznego punktu widzenia „zbiory danych” w rozumieniu RODO to przede wszystkim, co do zasady, wszelkie kartoteki, archiwa, księgi, rejestry i bazy danych zawierające dane osobowe. Kluczowym kryterium odróżnienia zbioru danych od innych zestawów danych nieobjętych zakresem zastosowania RODO jest okoliczność, czy dane zebrane w określonym zestawie obejmują dane osobowe i czy są one dostępne według określonych kryteriów. RODO nie wskazuje, o jakie kryteria chodzi oraz jak szczegółowy powinien być stopień uporządkowania czy zorganizowania ich dostępności. Tym samym można uznać, że nie stanowią zbiorów danych w rozumieniu RODO jedynie takie zestawy, bazy czy archiwa zawierające dane osobowe, w których dane są całkowicie nieuporządkowane według jakichkolwiek kryteriów, nawet najbardziej ogólnych, i w rezultacie niedostępne według jakichkolwiek kryteriów. Wydaje się, że podmioty prywatne w praktyce rzadko będą posiadać tego rodzaju zupełnie nieuporządkowane zestawy danych.
Dane osobowe stanowią natomiast część zbioru danych, jeżeli są ujęte (zapisane) w danym zbiorze lub w elementach stanowiących jego część (np. w dokumencie należącym do zbioru w postaci archiwum).
Podsumowując:
RODO znajduje zastosowanie do przetwarzania danych osobowych (nawet jeśli nawet częściowo nie odbywa się ono w sposób cyfrowy), jeśli dane te są bezpośrednio ujęte lub zawarte w elemencie (np. dokumencie) ujętym w zestawie, który jest zorganizowany lub prowadzony w taki sposób, że umożliwia dostęp do danych w nim zawartych według jakichkolwiek ustalonych kryteriów, nawet najbardziej ogólnych.
RODO nie znajduje zastosowania do przetwarzania danych osobowych, które nie są w najmniejszym nawet zakresie przetwarzane cyfrowo i jednocześnie nie są (i nie mają być – o czym szerzej poniżej) ujęte w jakikolwiek sposób w zestawie, który byłby zorganizowany lub prowadzony w taki sposób, że umożliwiałby dostęp do danych w nim zawartych według jakichkolwiek ustalonych kryteriów, nawet najbardziej ogólnych.
Kiedy dane osobowe mają stanowić zbiór danych? Kiedy RODO znajdzie zastosowanie w przypadku niezautomatyzowanego przetwarzania danych, które nie stanowią elementu zbioru danych?
RODO znajduje zastosowanie również do danych osobowych przetwarzanych w sposób inny niż zautomatyzowany, m.in. jeśli dane osobowe mają stanowić część zbioru danych.
RODO nie zawiera jednocześnie wyjaśnienia, kto i w jaki sposób powinien oceniać, czy określone dane mają stanowić część zbioru danych. Brak precyzyjnych wskazówek powoduje trudności interpretacyjne i stanowi praktyczny problem w sytuacjach, w których dane osobowe przetwarzane są w całości w sposób analogowy i jednocześnie nie stanowią elementu zbioru danych. W zasadzie bowiem każde dane osobowe przetwarzane analogowo mogą potencjalnie stać się elementem jakiegoś zbioru danych prowadzonego przez podmiot, który dane zebrał, lub przez inny podmiot. Czy zatem sam fakt uznania, że dane osobowe potencjalnie mogą być elementem zbioru (tj. w szczególności mają cechy pozwalające na ujęcie ich w zbiorze) daje podstawę do twierdzenia, że dane mają się stać elementem zbioru (nawet jeśli nie w momencie ich zbierania, lecz np. w przyszłości)? Rodzi to istotne implikacje.
Jak słusznie wskazuje doktryna,
Wiązanie ochrony danych osobowych, czy szerzej prywatności, z koniecznością ujęcia lub przeznaczenia do ujęcia danych osobowych w zbiory jest nie tylko pewnym archaizmem, lecz także prowadziłoby do powstania luki ochronnej, zwłaszcza że dla podmiotu danych bez znaczenia być powinno, czy administrator przetwarzający jego dane zamierza je ująć w zbiór, czy nie (D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 2).
Przywołani autorzy wskazują również – w szczególności z uwagi na ww. lukę ochronną – że:
Wyraźne brzmienie art. 2 ust. 1 in fine nie pozwala jednak na zupełne wykluczenie pojęcia zbioru z procesu wykładni, jednakże, moim zdaniem, pozwala na sformułowanie tezy, że rozporządzenie będzie znajdowało zastosowanie już w przypadku, gdy przetwarzane dane tylko będą mogły znaleźć się w zbiorze danych, bez względu na to, czy się w nim ostatecznie znalazły (D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 2).
Wydaje się także słuszne przyjęcie założenia, że ocena tego, czy określone dane mają stanowić część zbioru danych, nie może być oderwana od danego przypadku przetwarzania (tak np. D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 2):
Równocześnie rozstrzygnąć należy, iż analizy możliwości ujęcia przetwarzanych w zbiory nie można prowadzić abstrakcyjnie, gdyż przesłanka rzeczywistego lub potencjalnego ujęcia danych w zbiór straciłaby jakiekolwiek znaczenie prawne. Podzielić zatem należy pogląd sformułowany na gruncie dotychczasowych przepisów, stwierdzając równocześnie jego aktualność, że ocenę należy relatywizować i uwzględniać indywidualne okoliczności konkretnego przypadku).
Mając na uwadze powyższe, wydaje się, że gdy określone dane nie są przetwarzane w sposób cyfrowy i jednocześnie nie stanowią elementu zbioru danych, lecz okoliczności danego przypadku wskazują, że proces przetwarzania ma prowadzić do ujęcia tych danych w zbiorze danych lub że dane te mogą być potencjalnie ujęte w zbiorze danych, to w praktyce istnieje istotne ryzyko uznania, że tego rodzaju dane osobowe są objęte zakresem zastosowania RODO.
Do jakiego rodzaju przetwarzania danych osobowych RODO nie ma zastosowania?
RODO nie ma zastosowania do przetwarzania danych osobowych:
w ramach działalności nieobjętej zakresem prawa Unii,
przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE,
przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze,
przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Kiedy przetwarzanie danych osobowych dotyczy działalności nieobjętej zakresem prawa UE?
Wyłączenie to dotyczy przede wszystkim przetwarzania danych osobowych prowadzonego w ramach działalności państw członkowskich w zakresie bezpieczeństwa narodowego (tak np. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 2). Wyłączenie to nie odnosi się zatem do przetwarzania danych przez podmioty prywatne.
Czym jest przetwarzanie danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE?
Tytuł V rozdziału 2 Traktatu o Unii Europejskiej dotyczy wspólnej polityki zagranicznej i bezpieczeństwa. Działalność państw członkowskich i ich organów obejmująca przetwarzanie danych osobowych prowadzonego w ramach realizacji wspólnej polityki zagranicznej i bezpieczeństwa UE nie podlega przepisom RODO. Wyłączenie to nie odnosi się zatem do przetwarzania danych przez podmioty prywatne.
Kiedy przetwarzanie danych osobowych prowadzone jest przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze?
Aby określone przetwarzanie danych osobowych nie było objęte zakresem RODO, spełnione muszą być oba następujące warunki:
przetwarzanie jest prowadzone przez osobę fizyczną,
przetwarzanie jest prowadzone w ramach czynności o czysto osobistym lub domowym charakterze.
Jak widać, aby omawiane wyłączenie mogło znaleźć zastosowanie, przetwarzanie danych osobowych powinno być prowadzone przez osobę fizyczną w jej własnym imieniu oraz w celu określonym przez tę osobę. Innymi słowy, omawiane zastosowanie nie znajdzie nigdy zastosowania przy przetwarzaniu danych osobowych prowadzonego przez osoby prawne (np. spółki) lub podobne jednostki organizacyjne.
Czynności o czysto osobistym lub domowym charakterze nie są zdefiniowane w RODO. W efekcie mogą pojawić się wątpliwości, kiedy dana osoba fizyczna prowadzi przetwarzanie danych w ramach tego rodzaju czynności. Kwestia ta wymaga często wnikliwych analiz odnoszących się do indywidualnych stanów faktycznych.
Niemniej można, z praktycznego punktu widzenia, sformułować następujące ogólne wskazówki dotyczące oceny możliwości zastosowania przedmiotowego wyłączenia:
Jeśli osoba fizyczna prowadzi określone przetwarzanie danych w związku z prowadzoną przez siebie działalnością zawodową, handlową lub gospodarczą, to takie przetwarzanie nie jest objęte przedmiotowym wyłączeniem i RODO znajduje do niego zastosowanie.
Użycie w przepisie wyrażenia „czysto” wskazuje, że przedmiotowe wyłączenie można stosować do danych przetwarzanych wyłącznie w ramach czynności o osobistym lub domowym charakterze. Oznacza to, że przetwarzanie, które jest prowadzone przez osobę fizyczną nie tylko w ramach czynności o osobistym lub domowym charakterze, nie powinno być objęte przedmiotowym wyłączeniem i RODO powinno znajdować do niego zastosowanie.
Zgodnie z Motywem 18 RODO „Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności”. Przedmiotowym wyłączeniem spod zastosowania RODO powinno być zatem objęte przetwarzanie przez osobę fizyczną danych osobowych:
realizowane wyłącznie w ramach prowadzonej przez nią prywatnej korespondencji,
polegające na przechowywaniu przez nią adresów w celach prywatnych,
prowadzone przez nią wyłącznie w celu podtrzymywania więzi społecznych,
prowadzone przez nią w ramach jej działalności internetowej o wyłącznie osobistym lub domowym charakterze.
To, czy dane przetwarzanie jest prowadzone w ramach działalności o charakterze osobistym lub domowym, należy oceniać z całościowym uwzględnieniem zakresu, intensywności i sposobu danego przetwarzania. Może się bowiem okazać, że przetwarzanie, którego cel, co do zasady, wydaje się mieścić się w ramach przetwarzania o charakterze osobistym lub domowym, wykracza poza te ramy (i w konsekwencji jest objęte RODO), jeśli jest prowadzone w nieuzasadnionym szeroko zakresie.
Przykładowo w decyzji z 23 grudnia 2019 r. (DKE.440.72.2019) PUODO stwierdził, że
Przepis art. 2 ust. 2c Rozporządzenia 2016/679 należy interpretować w ten sposób, że wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu.
Oznacza to, że monitorowanie przez osobę fizyczną za pomocą kamer jej przestrzeni prywatnej jest, co do zasady, objęte przedmiotowym wyłączeniem zastosowania RODO, ale nie wtedy, gdy ten monitoring obejmuje także przestrzeń publiczną sąsiadującą z przestrzenią prywatną.
Komentarz do art. 2
Materialny zakres zastosowania
W jakich sytuacjach znajduje zastosowanie RODO?
RODO ma zastosowanie do przetwarzania danych osobowych w trzech przypadkach (o ile nie zajdą przesłanki wyłączające jego zastosowanie, o których mowa w art. 2 ust. 2 lub art. 3 RODO – piszemy o nich w dalszej części komentarza):
Jeśli którykolwiek ze wskazanych powyżej scenariuszy ma zastosowanie do działań danego podmiotu, to podmiot ten w zakresie prowadzenia tych działań będzie podlegał RODO, w tym będzie zobowiązany do jego przestrzegania (o ile nie znajdzie zastosowanie żadne z wyłączeń, o których mowa powyżej).
Kiedy dane osobowe są przetwarzane w sposób zautomatyzowany?
RODO co do zasady znajdzie zawsze zastosowanie do sytuacji, w których dany podmiot prowadzi przetwarzanie danych osobowych w sposób całkowicie lub częściowo zautomatyzowany.
RODO nie zawiera definicji „przetwarzania w sposób zautomatyzowany”. Wydaje się, że z praktycznego punktu widzenia można przyjąć, że podlegającym RODO „przetwarzaniem w sposób zautomatyzowany” będzie każdy proces, w którym dochodzi do cyfrowego przetwarzania danych osobowych (w tym ich zbierania, porządkowania, analizy czy przechowywania), w tym z wykorzystaniem: komputerów, smartfonów i innych urządzeń przenośnych, oprogramowania, aplikacji internetowych, systemów informatycznych, twardych dysków, chmury obliczeniowej, Internetu, telefonu, rejestratorów obrazu lub dźwięku lub innych cech człowieka (np. o charakterze biometrycznym), rozwiązań Internet of Things czy Internet of Bodies oraz lokalizatorów, w tym GPS.
Jeśli chodzi o przetwarzanie danych w sposób częściowo zautomatyzowany, to można przyjąć, z pewnym uproszczeniem, że zachodzi ono w sytuacji, w której dany proces przetwarzania danych choćby częściowo prowadzony jest cyfrowo (np. cyfrowo prowadzona jest określona faza przetwarzania danych w procesie, taka jak zbieranie, przesyłanie czy przechowywanie).
Przetwarzanie danych w sposób niezautomatyzowany następuje, jeśli przetwarzanie prowadzone jest bez jakiegokolwiek wykorzystania jakichkolwiek rozwiązań cyfrowych, np. jeśli dany proces zorganizowany jest w taki sposób, że dane osobowe są w całości zapisywane i przechowywane wyłącznie w formie papierowej. Co ważne, gdyby do przetwarzania takich danych na jakimkolwiek etapie tego procesu użyto rozwiązań cyfrowych (np. komputerów czy skanerów), przetwarzanie tego rodzaju danych odbywałoby się już w sposób przynajmniej częściowo zautomatyzowany w rozumieniu RODO.
Czym jest „zbiór danych” i kiedy dane osobowe stanowią jego część? Kiedy RODO znajdzie zastosowanie w przypadku niezautomatyzowanego przetwarzania danych?
RODO znajduje zastosowanie do danych osobowych przetwarzanych w sposób inny niż zautomatyzowany m.in. wtedy, gdy przetwarzane dane osobowe stanowią część zbioru danych. W praktyce oznacza to, że RODO nie znajduje zastosowania tylko do danych osobowych przetwarzanych w całości w formie analogowej (tj. bez jakiegokolwiek zaangażowania środków czy rozwiązań o charakterze cyfrowym), które jednocześnie nie są elementem zbioru danych (i nie mają nim być – o czym szerzej poniżej).
Zgodnie z definicją zawartą w RODO „zbiór danych” to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Motyw 15 RODO wskazuje jednocześnie, że zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny być objęte zakresem RODO.
Z praktycznego punktu widzenia „zbiory danych” w rozumieniu RODO to przede wszystkim, co do zasady, wszelkie kartoteki, archiwa, księgi, rejestry i bazy danych zawierające dane osobowe. Kluczowym kryterium odróżnienia zbioru danych od innych zestawów danych nieobjętych zakresem zastosowania RODO jest okoliczność, czy dane zebrane w określonym zestawie obejmują dane osobowe i czy są one dostępne według określonych kryteriów. RODO nie wskazuje, o jakie kryteria chodzi oraz jak szczegółowy powinien być stopień uporządkowania czy zorganizowania ich dostępności. Tym samym można uznać, że nie stanowią zbiorów danych w rozumieniu RODO jedynie takie zestawy, bazy czy archiwa zawierające dane osobowe, w których dane są całkowicie nieuporządkowane według jakichkolwiek kryteriów, nawet najbardziej ogólnych, i w rezultacie niedostępne według jakichkolwiek kryteriów. Wydaje się, że podmioty prywatne w praktyce rzadko będą posiadać tego rodzaju zupełnie nieuporządkowane zestawy danych.
Dane osobowe stanowią natomiast część zbioru danych, jeżeli są ujęte (zapisane) w danym zbiorze lub w elementach stanowiących jego część (np. w dokumencie należącym do zbioru w postaci archiwum).
Podsumowując:
Kiedy dane osobowe mają stanowić zbiór danych? Kiedy RODO znajdzie zastosowanie w przypadku niezautomatyzowanego przetwarzania danych, które nie stanowią elementu zbioru danych?
RODO znajduje zastosowanie również do danych osobowych przetwarzanych w sposób inny niż zautomatyzowany, m.in. jeśli dane osobowe mają stanowić część zbioru danych.
RODO nie zawiera jednocześnie wyjaśnienia, kto i w jaki sposób powinien oceniać, czy określone dane mają stanowić część zbioru danych. Brak precyzyjnych wskazówek powoduje trudności interpretacyjne i stanowi praktyczny problem w sytuacjach, w których dane osobowe przetwarzane są w całości w sposób analogowy i jednocześnie nie stanowią elementu zbioru danych. W zasadzie bowiem każde dane osobowe przetwarzane analogowo mogą potencjalnie stać się elementem jakiegoś zbioru danych prowadzonego przez podmiot, który dane zebrał, lub przez inny podmiot. Czy zatem sam fakt uznania, że dane osobowe potencjalnie mogą być elementem zbioru (tj. w szczególności mają cechy pozwalające na ujęcie ich w zbiorze) daje podstawę do twierdzenia, że dane mają się stać elementem zbioru (nawet jeśli nie w momencie ich zbierania, lecz np. w przyszłości)? Rodzi to istotne implikacje.
Jak słusznie wskazuje doktryna,
Przywołani autorzy wskazują również – w szczególności z uwagi na ww. lukę ochronną – że:
Wydaje się także słuszne przyjęcie założenia, że ocena tego, czy określone dane mają stanowić część zbioru danych, nie może być oderwana od danego przypadku przetwarzania (tak np. D. Lubasz [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, art. 2):
Mając na uwadze powyższe, wydaje się, że gdy określone dane nie są przetwarzane w sposób cyfrowy i jednocześnie nie stanowią elementu zbioru danych, lecz okoliczności danego przypadku wskazują, że proces przetwarzania ma prowadzić do ujęcia tych danych w zbiorze danych lub że dane te mogą być potencjalnie ujęte w zbiorze danych, to w praktyce istnieje istotne ryzyko uznania, że tego rodzaju dane osobowe są objęte zakresem zastosowania RODO.
Do jakiego rodzaju przetwarzania danych osobowych RODO nie ma zastosowania?
RODO nie ma zastosowania do przetwarzania danych osobowych:
Kiedy przetwarzanie danych osobowych dotyczy działalności nieobjętej zakresem prawa UE?
Wyłączenie to dotyczy przede wszystkim przetwarzania danych osobowych prowadzonego w ramach działalności państw członkowskich w zakresie bezpieczeństwa narodowego (tak np. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 2). Wyłączenie to nie odnosi się zatem do przetwarzania danych przez podmioty prywatne.
Czym jest przetwarzanie danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE?
Tytuł V rozdziału 2 Traktatu o Unii Europejskiej dotyczy wspólnej polityki zagranicznej i bezpieczeństwa. Działalność państw członkowskich i ich organów obejmująca przetwarzanie danych osobowych prowadzonego w ramach realizacji wspólnej polityki zagranicznej i bezpieczeństwa UE nie podlega przepisom RODO. Wyłączenie to nie odnosi się zatem do przetwarzania danych przez podmioty prywatne.
Kiedy przetwarzanie danych osobowych prowadzone jest przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze?
Aby określone przetwarzanie danych osobowych nie było objęte zakresem RODO, spełnione muszą być oba następujące warunki:
Jak widać, aby omawiane wyłączenie mogło znaleźć zastosowanie, przetwarzanie danych osobowych powinno być prowadzone przez osobę fizyczną w jej własnym imieniu oraz w celu określonym przez tę osobę. Innymi słowy, omawiane zastosowanie nie znajdzie nigdy zastosowania przy przetwarzaniu danych osobowych prowadzonego przez osoby prawne (np. spółki) lub podobne jednostki organizacyjne.
Czynności o czysto osobistym lub domowym charakterze nie są zdefiniowane w RODO. W efekcie mogą pojawić się wątpliwości, kiedy dana osoba fizyczna prowadzi przetwarzanie danych w ramach tego rodzaju czynności. Kwestia ta wymaga często wnikliwych analiz odnoszących się do indywidualnych stanów faktycznych.
Niemniej można, z praktycznego punktu widzenia, sformułować następujące ogólne wskazówki dotyczące oceny możliwości zastosowania przedmiotowego wyłączenia:
To, czy dane przetwarzanie jest prowadzone w ramach działalności o charakterze osobistym lub domowym, należy oceniać z całościowym uwzględnieniem zakresu, intensywności i sposobu danego przetwarzania. Może się bowiem okazać, że przetwarzanie, którego cel, co do zasady, wydaje się mieścić się w ramach przetwarzania o charakterze osobistym lub domowym, wykracza poza te ramy (i w konsekwencji jest objęte RODO), jeśli jest prowadzone w nieuzasadnionym szeroko zakresie.
Przykładowo w decyzji z 23 grudnia 2019 r. (DKE.440.72.2019) PUODO stwierdził, że
Oznacza to, że monitorowanie przez osobę fizyczną za pomocą kamer jej przestrzeni prywatnej jest, co do zasady, objęte przedmiotowym wyłączeniem zastosowania RODO, ale nie wtedy, gdy ten monitoring obejmuje także przestrzeń publiczną sąsiadującą z przestrzenią prywatną.