Cały Internet jest wypełniony tekstami, poradnikami i szkoleniami o RODO, a część zainteresowanych wciąż ma wątpliwości, czy RODO ich dotyczy. Wszyscy bowiem piszą o przedsiębiorcach. A co z osobami fizycznymi, które nie prowadzą działalności, a przetwarzają dane osobowe?
Jeśli jesteś np. blogerką, która na swoim blogu nic nie sprzedaje, nie jesteś przedsiębiorcą, a swój newsletter wysyłasz tylko, by informować stałych czytelników o nowych postach na blogu, możesz pomyśleć, że Cię nowa regulacja nie dotyczy. Nic bardziej mylnego. Dotyczy Cię RODO – jak najbardziej.
Dlaczego?
Odpowiedź na to pytanie wymaga pewnego wyjaśnienia. RODO zostało wprowadzone, by spełnić dwa główne cele. Pierwszy to oczywiście ochrona danych osobowych osób fizycznych. Drugi to swobodny przepływ danych osobowych między krajami. Zadaniem RODO jest ujednolicić regulacje dotyczące przepływu i ochrony danych w całej Unii Europejskiej, a także zadbać o bezpieczeństwo danych osób mieszkających na terenie UE, także poza UE.
Uznano, że dotychczasowe regulacje, które wprowadziły u siebie poszczególne kraje UE, mają zbyt wiele niespójności i trzeba to ujednolicić. W dobie Internetu rzeczy i rozwijających się nowych technologii dane są przetwarzane nie tylko przez przedsiębiorców, czy podmioty publiczne, ale także coraz częściej przez osoby fizyczne nie prowadzące działalności gospodarczej. Dlatego wszelkie przetwarzanie danych osobowych zostaje objęte nowymi regulacjami, niezależnie, kto je przetwarza (jeśli nie robi tego ramach czynności o czysto osobistym lub domowym charakterze). Zatem przetwarzanie przez osoby fizyczne również jest objęte RODO.
Wątpliwości nie zostawia preambuła oraz art. 4 RODO:
W art. 4, który zawiera definicje, w pkt 7 mamy opis, kim jest administrator i brzmi on tak:
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
Co to oznacza dla Ciebie? Jako blogerka, która wysyła newsletter, jesteś takim administratorem. Twoim celem przetwarzania danych osobowych jest właśnie wysyłka newslettera. Masz także obowiązek określić sposób przetwarzania danych osobowych. Zatem ten zapis sprawia, że RODO Cię dotyczy, mimo że jesteś osobą fizyczną. Rodo wyraźnie mówi osoba fizyczna lub prawna już w pierwszych słowach tej definicji.
Niech Cię nie zmyli jeden z wyjątków
Rozporządzenie RODO przewiduje pewne wyjątki, kiedy przetwarzanie danych osobowych nie podlega regulacji rozporządzenia. Jeden z wyjątków, który może powodować mylne wrażenie, że może dotyczyć blogerów, którzy nie „zarabiają” na blogu, to zapis, że
rozporządzenie nie ma zastosowania do przetwarzania danych osobowych: przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (art. 2)
oraz podobny zapis w preambule
(18) Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową.
Czym jest działalność osobista lub domowa?
Samo rozporządzenie na to odpowiada we wspomnianym punkcie preambuły:
Działalność osobista lub domowa może między innymi polegać na korespondencji i przechowywaniu adresów, podtrzymywaniu więzi społecznych oraz działalności internetowej podejmowanej w ramach takiej działalności.
Jeśli po przeczytaniu tego opisu, powstało w Tobie przekonanie, że to właśnie mowa o blogerach, niestety muszę Cię rozczarować. Powyższy wyjątek dotyczy tylko relacji osobistych. Oznacza to mniej więcej tyle, że przetwarzanie danych osobowych (adresów, email, adresów fizycznych, czy np. fotografii oraz imienia i nazwiska) członków rodzimy i przyjaciół oraz znajomych bliższych i dalszych w celu utrzymania z nimi kontaktu i więzi społecznych nie będzie podlegało RODO.
Możesz więc dane takich osób trzymać w swoim notesie, telefonie, czy pliku, czyli możesz je zbierać i wykorzystywać np. do wysyłek kartek lub życzeń świątecznych, możesz poinformować o narodzinach nowego członka rodziny, czy wykorzystać do wysyłki newslettera do bloga, który jest dostępny tylko dla członków rodziny i przyjaciół oraz znajomych (czyli osób, z którymi łączy Cię relacja osobista, a nie sam fakt, że ktoś obcy czyta lub ogląda Twojego bloga).
Jako autor bloga adresowanego do otwartej publiczności wśród swoich subskrybentów masz osoby, z którymi nie łączy Cię relacja osobista. Wystarczy jedna taka osoba w grupie subskrybentów. W związku z tym wyjątek dotyczący przetwarzania danych w celach osobistych i domowych niestety nie dotyczy Twego bloga.
Jeśli jeszcze nie ogarnęłaś RODO u siebie na stronie internetowej lub blogu, możesz to zrobić krok po kroku z pomocą poniższego Pakietu. Spróbuj, to proste. Jasne instrukcje poprowadzą Cię krok po kroku.
PAKIET: RODO i legalne pliki cookies na stronie internetowej to kompletne narzędzie, dzięki któremu Twoja strona będzie działać legalnie a Ty bez obaw będziesz wychodzić ze swoją ofertą do klientów.
Hej, dzięki za ten artykuł! Chciałam dopytać jak fakt, że jako osoba fizyczna jestem administratorem danych ma się do zapisów w polityce prywatności oraz np. w klauzurze informacyjnej w newsletterze. Powinno się tam podać dane kontaktowe administratora. Spotkałam się z opinią, że wystarczy imię, nazwisko i adres email – czy to prawda? Czy powinno się także dodać adres zamieszkania lub inne dane umożliwiające identyfikację?
Hej Agata,
tak dane trzeba podać, żeby wiadomo było, kto jest administratorem. I tak, wystarczy tylko imię i nazwisko oraz adres email (koniecznie taki, po d którym łatwo będzie się z Tobą skontaktować).
A nie trzeba podawać adresu? Bo właśnie mam ten sam problem. Nie mam działalności i nie chcę podawać publicznie adresu zamieszkania.
Różne są głosy w tym temacie, ale samo RODO nie narzuca podawania adresu, mówi tylko tożsamości i danych kontaktowych administratora (a to może być np. email). Co innego w przypadku działalności gospodarczej, wówczas inne przepisy prawne nakładają na nas obowiązek identyfikowania się określonymi danymi jako przedsiębiorca.
Dzięki 🙂
Zastanawiam się nad nierejestrowaną dzielnością, więc i tak nie uchronię się od podania adresu, ale jeśli będę robił prywatnego bloga, zrobię to bez adresu 🙂
Oczywiście „działalnością” 🙂
Dzień dobry. Czy jesli prowadzę hobbistycznie bloga, na którym nie zarabiam, nie jest on częścią żadnej działalności, zbieram emaile do newslettera, mam wdrożone RODO, a w klauzuli informacyjnej podaję jedynie imię, nazwisko i adres email, to nie muszę się obawiać pozwów? Jakiś czas temu otrzymałam nieprzyjemnego maila od kogoś, kto podaje się za prawnika. Nic ode mnie nie chciał, tylko straszył mnie pozwem do UODO i grzywnami, pozwem cywilnym – bo on po samym mailu, nazwisku i imieniu nie wie z kim ma do czynienia, a ma do tego prawo. Odpisałam mu, że nie podam takich informacji z lęku przez trollami, stalkerami, wyłudzaczami kredytów itd. Internet pełen jest psychopatów, złych ludzi, którzy tylko czekają na takie dane. Wszędzie się ostrzega „strzeż dowodu osobistego”, „nie podawaj nikomu adresu i nazwiska” itd, a tutaj nagle muszę podawać swój adres? Czy w ogóle jakiś akt prawny reguluje dokładnie co powinna podać osoba fizyczna na swoim blogu, by skutecznie spełnić obowiązek informacyjny? Rozumiem, że jakaś forma kontaktu (telefon, mail), nazwisko i imię, ale czy miasto (mam unikalne personalia, łatwo mnie znaleźć!) i adres są konieczne? Jeśli tak, to co to za RODO, skoro chroniąc prawa innych naraża moje bezpieczeństwo? Ta osoba przecież skontaktowała się ze mną skutecznie, ale twierdzi, że jak nie podam adresu, to przygotuje pozew, ponieważ daję zły przykład i ignoruję przepisy. Nie chcę podawać szczegółów, chcę tylko się upewnić, czy nie grozi mi prokurator??? Pozdrawiam!
Marrgitt i to jest właśnie przykład takiego trolla internetowego, który wykorzystuje czyjąś niewiedzę, by straszyć i robić wymuszone interesy. Rodo nie mówi dokładnie, jakie dane należy podać. Mówi jedynie o tym, że administrator danych ma obowiązek podać swoją tożsamość i dane kontaktowe (art. 13 Rodo). To, jakie to będą dane, zależy od decyzji administratora, którą podejmuje stosownie do konkretnej sytuacji.
A jeśli zrezygnowałabym całkiem z newslettera (i tak zapisuje się jedynie jedna-dwie osoby na kwartał), pozbyła zgromadzonych kontaktów, to nadal potrzebuję tej klauzuli? Nie mam komentarzy, nie mam wtyczek Facebooka ani innego medium, jedynie mam umowę hostingową na blog, a sama nie robię nic, nie powierzam nic nikomu, ani nie gromadzę, nie mam wglądu w tzw. IP odwiedzających, platforma blogowa wykorzystuje to do ochrony przed atakami, o ile rozumiem. Może wtedy nie musiałabym informować kim jestem, bo przecież niczego nie gromadzę. Nie muszę nawet podawać maila do siebie samej, choć może ktoś chciałby się skontaktować. Ale wtedy to już raczej RODO. Odwiedzający mnie tylko czytaliby teksty – nic więcej. Czy to jest jakieś wyjście?
Jeśli strona miałaby charakter tylko wizytówki, bez możliwości kontaktu z Tobą (mail w zakładce kontakt – to już możliwość pozyskania czyichś danych a tym samym przetwarzania), to można rozważyć taką możliwość. Pytanie, czy taki wysiłek, jeśli chcesz budować swoją społeczność, a w przyszłości biznes, nie lepiej przeznaczyć na ogarniecie RODO?
hej Aga, czy kiedy jako osoba fizyczna podpisuje umowę o współpracę w firmą (Umowa o Dzieło), albo np umowę Najmu Nieruchomości komuś (np firmie) – to także jestem uznawania za Administratora danych i musze wdrożyć mechanizmy zabezpieczające dane?
Tak, jeśli przetwarzasz dane osobowe, które wykracza poza czynności o czysto osobistym lub domowym charakterze – to jesteś administratorem danych, nawet jeśli nie jesteś przedsiębiorcą.
Na uczelni na której studiuję doszło do takiej sytuacji :
Student ( mężczyzna) dostał legitymację studencka ze swoim zdjęciem, ale danymi innej osoby ( imię ,nazwisko i nr. PESEL – kobieta)
Zorientował się on dopiero w domu i zfotografowiał ową legitymację i wrzucił jej zdjęcie na naszego grupowego messengera i filmik z tijtoka ( nie wiem czy filmik był ogólnodostępny czy tylko dla nas ) zrobił to dla żartu ( bo to nie pierwsze tego typu dziwne sytuacje )
Dostał email z uczelni , ze ma obrazu usunąć wszystkie zdjęcia z portali społecznościowych gdyż łamie prawo przetwarzania danych osobowych i jeśli tego nie zrobi, uczelnia zgłosi to do RODO.
Ja nie jestem prawnikiem , ale na kto w tym przypadku złamani te zasady ? Bo na mój chłopski rozum ,uczelnia jest odpowiedziala za wyciek danych innej osoby.
Bede bardzo wdzięczna za wyjaśnienia.
Jedna i druga strona dopuściła do naruszenia. Uczelnie naruszyła integralność i poufność danych. Z kolei student naruszył poufność danych. RODO, co prawda, nie dotyczy przetwarzania danych osobowych przez osobę fizyczną, ale tylko i wyłącznie w ramach czynności o czysto osobistym lub domowym charakterze (np. nazwisko i nr telefonu przyjaciela lub dentysty w smartfonie). Niestety student przekroczył zakres tego przetwarzania, upubliczniając dane innej osoby.
Mój kolega chce imię i nazwisko ulubionych sportowców tylko dla siebie czy zatem on narusza RODO
Ps bo on chce te imiona i nazwiska soprtowców to on dla siebie by wydrukował
Mój kolega chce wydrukować imiona i nazwiska soprtowców tylko dla siebie czy narusza rodo
Jeśli to tylko na użytek osobisty i nie udostępnia tych danych nikomu, to nie widzę tu naruszenia