Kogo dotyczy RODO? Kompleksowy przewodnik dla firm

Damian Bielecki

Klient zatrudnia czterech pracowników, wystawia faktury, trzyma CV w folderze na dysku i ma kamerę przy wejściu do warsztatu. Pyta, czy RODO go dotyczy, bo „jest za małą firmą”. Tłumaczysz, że nie ma znaczenia, ile ma pracowników. Pyta, czy na pewno, bo ktoś mu powiedział, że RODO to dla korporacji. Tłumaczysz jeszcze raz. Patrzy z niedowierzaniem.

Regularnie prowadzę na ten temat żywe dyskusje — i która zawsze kończy się tak samo, bo art. 2 RODO nie zawiera wyjątku dla firm małych i dużych, które uważają, że RODO ich nie dotyczy.

Co mówi art. 2 i dlaczego jest szerszy niż się wydaje

Art. 2 wyznacza zakres przedmiotowy rozporządzenia. Stosuje się je do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób niezautomatyzowany — jeżeli dane wchodzą w skład zbioru lub mają do niego trafić.

Trzy rzeczy, które z tego wynikają i które regularnie są ignorowane:

  • Zautomatyzowany nie znaczy „skomplikowany”. Lista pracowników w arkuszu kalkulacyjnym, baza klientów w CRM, plik z CV kandydatów na dysku — to jest przetwarzanie zautomatyzowane lub częściowo zautomatyzowane. Nie potrzeba algorytmu ani sztucznej inteligencji. Wystarczy komputer lub telefon.
  • Papier też wchodzi. Segregator z umowami pracowniczymi, teczka z CV, notes z numerami telefonów klientów prowadzony alfabetycznie — to są zbiory danych w rozumieniu RODO. Wyjątek istnieje tylko dla dokumentów, które nie są i nie mają być częścią żadnego systemu ewidencji.
  • Nie ma progu wielkości. RODO nie ma wersji „lite” dla małych podmiotów. Jednoosobowa działalność gospodarcza z trzydziestoma klientami przetwarza dane osobowe dokładnie tak samo jak spółka zatrudniająca trzy tysiące osób.

Cztery wyjątki i żaden nie jest tym, czego firmy szukają

Art. 2 ust. 2 wymienia kategorie wyłączone spod RODO. Lista jest zamknięta.

Bezpieczeństwo narodowe i obronność

Działania państwa w zakresie bezpieczeństwa narodowego, obronności i bezpieczeństwa publicznego są poza RODO. Prywatna firma prowadząca konwoje lub monitoring obiektów — nie. Ministerstwo zajmujące się kwestiami strategicznymi — tak.

Organy ścigania

Policja, prokuratura i analogiczne organy realizujące zadania w zakresie zapobiegania przestępczości, prowadzenia postępowań i wykonywania wyroków działają na podstawie odrębnej dyrektywy 2016/680 (tzw. DODO), nie RODO. Firma prywatna, która nagrywa incydent na parkingu i przekazuje nagranie organom, w momencie nagrywania działa pod RODO.

Instytucje Unii Europejskiej

Komisja Europejska, Parlament i inne organy UE mają własne rozporządzenie 2018/1725. Żadna firma prywatna działająca w Polsce się tu nie mieści.

Działalność czysto osobista lub domowa

To jest jedyny wyjątek, który dotyczy kogoś spoza sektora publicznego. I jednocześnie najczęściej nadużywany jako argument przez podmioty, które chciałyby się w nim zmieścić.

Pułapka „działalności domowej”

Art. 2 ust. 2 lit. c mówi o przetwarzaniu przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. W praktyce oznacza to: prywatna korespondencja, notatnik z adresami znajomych, prywatny album zdjęć. Nie oznacza:

  • Że mikrofirma to „działalność domowa”. Jednoosobowa działalność gospodarcza, która wystawia faktury i prowadzi bazę klientów, prowadzi działalność zawodową — nie domową. Nawet jeśli robi to z mieszkania, z laptopa postawionego na kuchennym stole.
  • Że „tylko B2B” wyłącza RODO. Po drugiej stronie każdego kontraktu B2B są osoby fizyczne: przedstawiciel handlowy, który podpisał umowę, pracownik działu zakupów, z którym firma koresponduje, imię i nazwisko na stopce maila, numer telefonu na fakturze. To są dane osobowe.
  • Że przetwarzanie danych własnych pracowników to sfera prywatna pracodawcy. RODO nie zabrania pracodawcy prowadzić ewidencji pracowników ani zarządzać kadrami. Mówi tylko, jak to robić — z zachowaniem obowiązków informacyjnych, podstawy prawnej i zasady minimalizacji.
  • Że jako osoba fizyczna można publikować co się chce w sieci. Domowy charakter znika z chwilą, gdy z informacją może zapoznać się cały świat.

Kto jest realnie poza RODO?

Dla porządku — podmioty, które art. 2 ust. 2 rzeczywiście wyłącza:

  • Organy ścigania w zakresie działań objętych dyrektywą 2016/680
  • Instytucje UE w zakresie objętym rozporządzeniem 2018/1725
  • Działania państwa w obszarze bezpieczeństwa narodowego i obronności
  • Osoby fizyczne przetwarzające dane wyłącznie do użytku osobistego lub domowego

Wszystko inne — wchodzi. Bez wyjątku dla rozmiaru, branży ani przekonania, że „u nas nie ma co chronić”.

Szybki test: czy RODO dotyczy Twojego klienta?

Trzy pytania. Wystarczy jedno „tak”.

  1. Czy podmiot przetwarza dane osób fizycznych w ramach działalności zawodowej lub gospodarczej — pracowników, klientów, kontrahentów, kandydatów?
  2. Czy używa jakiegokolwiek narzędzia cyfrowego do gromadzenia, przechowywania lub przesyłania informacji o osobach — maila, CRM-u, arkusza kalkulacyjnego, systemu kadrowego, kamery, telefonu służbowego?
  3. Czy prowadzi papierową ewidencję, w której dane osób są zorganizowane według jakiegokolwiek klucza — alfabetycznie, chronologicznie, według stanowiska?

Jedno „tak” wystarczy. Dyskusja o tym, czy „mała firma”, „tylko B2B” albo „to wewnętrzne sprawy” — to dyskusja o czymś innym. O zakresie konkretnych obowiązków. Nie o tym, czy RODO w ogóle obowiązuje.

Podsumowanie

  • Art. 2 RODO obejmuje każde przetwarzanie danych osobowych w działalności zawodowej lub gospodarczej — zautomatyzowane, częściowo zautomatyzowane i papierowe, jeśli dane wchodzą w skład zbioru.
  • Nie ma progu wielkości. Jednoosobowa firma i korporacja są pod tym samym rozporządzeniem. Różnica dotyczy obowiązków szczegółowych, nie faktu stosowania RODO.
  • Wyjątki z art. 2 ust. 2 są cztery i żaden nie dotyczy prywatnych podmiotów gospodarczych — ani małych, ani B2B, ani działających „tylko wewnętrznie”.
  • „Działalność domowa” to prywatny notatnik ze znajomymi — nie działalność zawodowa prowadzona z domu.
  • Test praktyczny: zatrudniają, mailują, fakturują, nagrywają, ewidencjonują? RODO dotyczy.

Najczęściej zadawane pytania

Tak, bez wyjątku. Art. 2 nie zawiera progu zatrudnienia ani przychodu. Jednoosobowa firma z bazą klientów w Excelu i kamerą przy wejściu przetwarza dane osobowe i podlega RODO w takim samym stopniu jak spółka giełdowa. Skala działalności wpływa na zakres niektórych obowiązków szczegółowych, ale nie na sam fakt bycia pod rozporządzeniem.

Nie. Po drugiej stronie każdej relacji B2B są osoby fizyczne — osoby podpisujące umowy, osoby kontaktowe, dane w stopkach maili i na fakturach. To są dane osobowe i ich przetwarzanie podlega RODO niezależnie od tego, że formalnym kontrahentem jest inna firma.

Tak. Przetwarzanie w rozumieniu art. 4 pkt 2 RODO to każda operacja na danych — zbieranie, przechowywanie, przeglądanie, modyfikowanie, usuwanie. Arkusz kalkulacyjny z danymi klientów jest narzędziem zautomatyzowanym, a lista klientów spełnia definicję zbioru danych. Sam fakt przechowywania pliku na dysku jest przetwarzaniem.

Cztery kategorie z art. 2 ust. 2: działalność państwa w zakresie bezpieczeństwa narodowego i obronności; organy ścigania objęte dyrektywą 2016/680; instytucje i organy UE objęte rozporządzeniem 2018/1725; osoby fizyczne przetwarzające dane wyłącznie w celach czysto osobistych lub domowych. Żadna prywatna firma — niezależnie od wielkości — nie mieści się w żadnej z tych kategorii.

Tak, jeżeli stanowią część zbioru danych lub mają do niego trafić. Segregator z umowami pracowniczymi, teczka z CV, kartoteka klientów posortowana według jakiegokolwiek klucza — to zbiory danych w rozumieniu RODO. Poza zakresem jest wyłącznie papier, który nie jest i nie ma być częścią żadnej ewidencji.

Autor artykułu

Damian Bielecki

Damian Bielecki

Parę słów o autorze. Kolejnych kilka słów o autorze. Ten tekst będzie pojawiać się pod każdym artykułem Damiana Bieleckiego. Jeszcze więcej przykładowego tekstu. To jest tekst do uzupełnienia.