Ochrona danych osobowych,  RODO

Czy prowadząc działalność nierejestrowaną muszę wdrożyć RODO?

Przepisy o ochronie danych osobowych wskazują kiedy rozporządzenie nie ma zastosowania (art. 2 Rozporządzenia) pomijając wskazane tam przykłady np. zapobiegania przestępczości w ustępie 2 pkt. c znajdzie się adnotacja, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych “przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;”

No tak, ktoś mógłby pomyśleć, że przecież np. realizacja makijażu to czysto osobisty charakter (bo z takim komentarzem również się spotkałam) ale niestety NIE. Przykładowa realizacja makijażu, stylizacji paznokci, manicure w celach zarobkowych i prowadzenie w tym zakresie działalności nierejestrowanej nie ma charakteru osobistego czy domowego.

Czym są dane osobowe? „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określa­ jących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Czym jest przetwarzanie danych osobowych? „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Jeżeli chcesz prowadzić działalność nierejestrowaną i np. w przyszłości w związku z nią na przykład będziesz:

-> zbierać dane osobowe swoich klientów
-> wysyłać newsletter
-> a może prowadzisz bloga?
-> prowadzić rezerwację swoich usług i zapisujesz dane do kontaktu swoich klientów
-> odpowiadać na maile/będziesz na nie odpowiadać od osób zainteresowanych twoimi usługami
-> korzystać z social mediów w celach zawodowych np. fanpage swoich usług

oznacza to, że normalnym następstwem jest przetwarzanie danych. Jak widzisz powyżej zgodnie z definicją podaną w Rozporządzeniu „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; a więc są to różne działania, które należy mieć na uwadze i wiążą się one z zastosowaniem odpowiedniej ochrony tychże danych oraz respektowaniem praw osób, których dane dotyczą.

Zatem prowadząc działalność nierejestrowaną – bez względu na to czy działalność ta dotyczy realizacji makijażu, stylizacji paznokci czy też innych usług kosmetycznych/fryzjerskich kiedy przetwarzane są dane osobowe klientów RODO należy wprowadzić w takim zakresie, w jakim wymaga tego działalność. Czasami spotykam się z “gotowcami” dostępnymi na rynku w zakresie Polityki Prywatności. Warto wskazać, że uniwersalna polityka prywatności nie istnieje. Nawet tą “uniwersalną” należy dostosować do danego biznesu na różnych płaszczyznach. Trzeba podkreślić, że wprowadzenie klienta w błąd co do jego praw w zakresie ochrony danych osobowych – tego jak jego dane są przetwarzane jest niezgodne z przepisami RODO.

Warto wskazać, że “Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

No ale załóżmy fikcyjny stan faktyczny – osoba prowadzi działalność nierejestrowaną, przez formularz kontaktowy na swojej stronie www zbiera dane osobowe, umawia wizyty itd. – kto zatem odpowiada za potencjalny wyciek danych? Osoba, która prowadzi działalność nierejestrowaną – Administrator, czy np. dostawca oprogramowania (strony internetowej, hostingu etc.)? Przed organem w pierwszej kolejności zawsze odpowiada Administrator danych – czyli w tym przypadku osoba prowadząca działalność nierejestrowaną. To Administrator odpowiada za odpowiednie zabezpieczenie danych osobowych przed potencjalnym wyciekiem. Również Administrator powinien podpisać umowę z hostingodawcą właśnie na wypadek takich sytuacji, aby mieć pewność, że dane są odpowiednio zabezpieczone.

Dlatego też nie ma znaczenia jaki rodzaj działalności prowadzisz – jeżeli przetwarzane są dane osobowe konieczne jest wprowadzenie adekwatnie RODO.

Źrodła:
1. Ustawa z dnia 10 maja 2018 r.o ochronie danych osobowych
2. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

__________________________________________________

Autor:

Charlotta Lendzion, Prawnik, właściciel LLEGAL, Stały Mediator przy Sądzie Okręgowym w sprawach cywilnych,
Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD, Autorka książki z zakresu odpowiedzialności odszkodowawczej oraz licznych artykułów prawniczych. Certyfikowany Tester Oprogramowania -ISTQB FL, Certyfikowany Trener Szkoleniowiec, Aktualnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii i zobowiązań. Na codzień wspieram przedsiębiorców w sprawach z zakresu ochrony danych osobowych oraz prawa przedsiębiorców. 

Jeżeli potrzebujesz wsparcia lub dokumentacji w zakresie RODO w twoim przedsiębiorstwie pisz śmiało. 
KONTKT

__________________________________________________

Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.

Dodaj komentarz