Już od mają zaczną obowiązywać w Polsce nowe przepisy dotyczące ochrony danych osobowych, które nakładają szereg nowych obowiązków na „administratorów” oraz „podmioty przetwarzające”.

Pojęcie „administratora” oraz „podmiotu przetwarzającego” w rozumieniu RODO

Przez „administratora” rozumie się osobę fizyczną lub prawną, organ publiczny jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

„Podmiotem przetwarzającym” jest natomiast osoba fizyczna lub prawna organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Oznacza to, że administratorem lub podmiotem przetwarzającym będzie zarówno duża spółka akcyjna, jak i osoba prowadząca jednoosobową działalność gospodarczą pod warunkiem, że będzie ona przetwarzała dane osobowe (np. pracowników lub swoich kontrahentów) jak np. imię, nazwisko, numer NIP itp.

Pojęcie „przetwarzania” w rozumieniu RODO

Poprzez przetwarzanie rozumie się zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie danych osobowych stanowiących część zbioru (uporządkowanego zestawu) danych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany.

Oznacza to, że przetwarzanie danych osobowych może mieć miejsce zarówno w systemie informatycznym, jak i poza nim.

Rozporządzenie nie znajdzie jednak zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze, a także przez państwa członkowskie, jak i właściwe organy do celów zapobiegania przestępczości.

Szeroki zakres terytorialny stosowania RODO

Przepisy rozporządzenia znajdują zastosowanie do przetwarzania danych osobowych przez administratora lub podmiot przetwarzający, którego siedziba znajduje się w Unii Europejskiej, niezależnie od tego, czy sam proces przetwarzanie odbywa się w Unii.

Nowością przy tym jest rozszerzenie obowiązywania przepisów RODO na administratorów spoza Unii Europejskiej, którzy przetwarzają dane osobowe osób przebywających na terytorium Unii, jeżeli to przetwarzanie będzie związane z oferowaniem towarów lub usług tym osobom.