Przepisy – zarówno unijne, jak i krajowe, o ochronie danych osobowych nie są nowością, mimo to cały czas pojawiają się wątpliwości przy ich stosowaniu. Temat ochrony danych osobowych powraca jak bumerang, z uwagi na wielocyfrowe kary administracyjne, nakładane przez Prezesa Urzędu Ochrony Danych Osobowych.

RODO, jak każde inne przepisy, ma swój materialny zakres stosowania, co oznacza, że nie stosuje się go przy każdej sytuacji. Jednym z takich wyłączeń jest przetwarzanie danych osobowych przez osobę fizyczną, w ramach czynności o czysto osobistym lub domowym charakterze (art. 2 ust. 2 pkt. C RODO).

Aby mogło dość do zastosowania ww. wyłączenia muszą wystąpić jednocześnie dwie przesłanki:

  • przetwarzanie musi być podejmowane przez osobę fizyczną,
  • przetwarzanie ma następować w ramach czynności o czysto osobistym lub domowym charakterze.

W motywie 18 RODO zdefiniowano pojęcie działalności czysto osobistej lub domowej wskazując, że jest to działalność bez związku z działalnością zawodową lub handlową. Działalność osobista lub domowa może m.in. polegać na: korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz aktywności internetowej podejmowanej w ramach takiej działalności. RODO ma również zastosowanie dla administratorów lub podmiotów przetwarzających, którzy udostępniają środki przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

Pewnie wielu(-e) z Was w tym momencie kończy czytanie tego wpisu, bo wychodzi z założenia, że co prawda prowadzicie blog, ale ma on charakter czysto osobisty, ba… nawet w tytule jest wskazane, że jest to blog o charakterze osobistym, czy też stanowi on pamiętnik, zapis zdarzeń, rys historii…

Czy jednak rzeczywiście podlegacie wyłączeniu?

W literaturze wskazuje się, że wyłączenie stosowania przepisów RODO z uwagi na przetwarzanie przez osobę fizyczną danych osobowych w ramach czynności o czysto osobistym lub domowym charakterze, należy interpretować bardzo wąsko.

Jako przykłady czynności podejmowanych w Internecie lub przy użyciu środków komunikacji elektronicznej o charakterze czysto osobistym lub domowym Grupa Robocza Art. 29 wskazała: usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej oraz kalendarze elektroniczne.

Jeżeli jednak zbierasz komentarze na blogu, śledzisz działania użytkowników dzięki zainstalowanym wtyczkom, czy wysyłasz newsletter – nie jest to już tylko czysto osobisty lub domowy charakter podejmowanych czynności.

Grupa Robocza Art. 29 Ds. Ochrony Danych jeszcze pod rządami uprzednio obowiązującej dyrektywy 95/46/WE, odniosła się również do kwestii przetwarzania danych osobowych na portalach społecznościowych i stanęła na stanowisku, że przetwarzanie danych przez użytkowników tych portali mieści się, co do zasady, w zakresie czynności osobistych lub domowych, chyba że dostęp do danych zawartych w profilu mają osoby spoza grona znajomych (np. jeśli dostęp do profilu zapewniany jest wszystkim członkom portalu lub gdy dane są indeksowane przez wyszukiwarki, użytkowanie wykracza wtedy poza sferę osobistą i domową). Ogólnie rzecz biorąc, w ocenie Grupy Roboczej Art. 29 Ds. Ochrony Danych, jeśli użytkownik podjął świadomą decyzję o nie ograniczaniu dostępu do grona znajomych, to musi pamiętać o obowiązkach administratora danych, którym się stał. Będą tu miały zastosowanie te same zasady prawne, co w przypadku wykorzystania przez osobę innych środków technicznych, do publikacji danych osobowych w sieci.

Z wyłączenia przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze można skorzystać, gdy nasza aktywność w Internecie ma charakter czysto osobisty lub domowy (czyli niekomercyjny), a przetwarzanie danych osobowych nie następuje na rzecz nieograniczonego kręgu odbiorów i nie przynosi, chociażby pośrednio, korzyści majątkowej.

Można się spotkać ze stanowiskiem, zgodnie z którym osiąganie dochodów z działalności, nie stoi w sprzeczności z czysto osobistym lub domowym charakterem wykonywanych czynności, o ile czynności te nie są wykonywane zawodowo lub w ramach działalności gospodarczej albo innej zorganizowanej. Ja się z tym zgodzę, bowiem hobbistycznie prowadzony blog może otrzymać np. nagrodę pieniężną w plebiscycie. Przez pośrednie korzyści majątkowe należy rozumieć korzyści, uzyskane przy zawieraniu umów barterowych – polegających przykładowo na umieszczeniu linków afiliacyjnych czy recenzowaniu książek, w zamian za egzemplarz tej książki.

Oczywiście należy pamiętać, że każdy przypadek trzeba analizować indywidualnie. Nie można wykluczyć, że akurat Twój blog nie będzie podlegał pod RODO, bo rzeczywiście nie przetwarzasz danych osobowych w ogóle albo przetwarzasz, ale Twoje działania mieszczą się w pojęciu działalności czysto osobistej lub domowej.

Źródła:

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
  2. Grupa Robocza Art. 29 Ds. Ochrony Danych, Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679, przyjęta 4 kwietnia 2017, WP 248, https://wsge.edu.pl/pl/wytyczne4, 26.03.2020 r.
  3. D. Lubasz, komentarz do art. 2 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
  4. Komentarz do art. 2 rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer Polska, Warszawa 2018.
  5. Grupa Robocza Art. 29 Ds. Ochrony Danych, Opinia 5/2009 w sprawie portali społecznościowych, przyjęta 12 czerwca 2009 r., WP 163, https://www.memex.pl/doc/Portale_spolecznosciowe_GR_ART_29.pdf, 26.03.2020 r.

Dodaj komentarz