Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Podziel się...

PPP i dofinansowanie UE

26 Luty 2020 
Spalarnie odpadów, które mają powstać w Gdańsku i Olsztynie w formule PPP, realizowane...

Prace konserwatorskie w...

26 Luty 2020 
Muzeum Auschwitz ogłosiło przetarg w celu wyłonienia wykonawcy prac konserwatorskich...

100 obwodnic w 10 lat

26 Luty 2020 
14 lutego rozpoczęły się konsultacje publiczne dotyczące projektu programu budowy 100...

Przepisy rodo a czynności osobiste lub domowe

Data publikacji: 26-02-2020 Autor: Mariusz Krzysztofek

Przetwarzanie danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze należy do wyjątków od materialnego zakresu stosowania rodo. Czym charakteryzują się te czynności i gdzie przebiega granica wyłączenia stosowania przepisów rodo?

 

Wyłączenie ustanowione w art. 2 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: rodo) zostało przybliżone w motywie 18 preambuły rodo. Jednak treść tego motywu wydaje się nie tylko niewystarczająca, ale wręcz – ze względu na technologię, a więc i duży zasięg przetwarzania danych przez osoby fizyczne – myląca. Prawodawca unijny w motywie 18 preambuły rodo precyzuje jedynie, że działalność czysto osobista lub domowa nie może mieć związku z działalnością zawodową lub handlową.


Czynności o czysto osobistym lub domowym charakterze


Interpretacja działalności osobistej lub domowej musi uwzględniać ekspansję wielu nowych form aktywności i komunikacji, postrzeganych przez osoby fizyczne właśnie jako osobiste lub domowe, które jednak zbliżają się czasem do granic takiej działalności, np. gdy dane publikowane w internecie na profilach w portalach społecznościowych są dostępne dla nieograniczonej liczby osób.


Prawodawca unijny w przepisach rodo wskazuje bezpośrednio tylko dwie granice przetwarzania czysto osobistego lub domowego, które same są wprawdzie jednoznaczne, ale nie pozwalają na pełne ustalenie zakresu tych czynności. Rodo nie ma zastosowania do przetwarzania danych osobowych w tych celach tylko przez osobę fizyczną, a więc niekomercyjny cel korzystania z danych np. przez fundacje lub stowarzyszenia nie podlega wyłączeniu. Ponadto choć korzystanie przez użytkownika z portalu społecznościowego może mieć osobisty charakter, a więc podlegać wyłączeniu spod działania rodo, to udostępnianie przez administratorów lub procesorów środków przetwarzania danych osobowych na potrzeby działalności osobistej lub domowej, a zatem np. działalność operatorów portali społecznościowych, podlega rodo. To, że cele osobiste lub domowe są wykluczone w przypadku osób innych niż fizyczne oraz np. operatorów portali społecznościowych, jest jednoznaczne. Pozostałe kryteria oceny wymagają jednak zindywidualizowanej wykładni, np. brak związku z działalnością zawodową lub handlową.


Interpretacja takich przypadków, ustalenie, czy pozostają w ramach czynności o czysto osobistym lub domowym charakterze czy przekraczają tę granicę, musi uwzględniać zarówno odbiór większości osób, które wykonują takie czynności w życiu codziennym, jak i prawo osób trzecich do prywatności. Celowo odnosimy się do prawa do prywatności, a nie tylko do ochrony danych osobowych, a powód zostanie przedstawiony w dalszej części tego artykułu.


Interpretacja czynności osobistych lub domowych nadmiernie rygorystyczna, sprzeczna z warunkami i intencjami przetwarzania danych przez osoby indywidualne oraz ignorująca rozwój technologii, z których te osoby powszechnie korzystają w ramach codziennych aktywności, może prowadzić do powstawania absurdalnych koncepcji. Pojawiają się one w praktyce stosowania rodo, jednak nie wynikają z wadliwości samego rozporządzenia, przeciwnie – z jego nieadekwatnej wykładni.


Interpretacja czynności o czysto osobistym lub domowym charakterze musi uwzględniać nieporównywalnie większą skalę przetwarzania danych, szczególnie w internecie, przez osoby fizyczne w stosunku do dyrektywy 95/45/WE; większości czynności dyrektywa nie mogła przewidywać – w 1995 r. zaledwie 1% Europejczyków korzystało z internetu. Obecna sytuacja jest diametralnie inna ze względu na powszechność urządzeń mobilnych (telefonów, tabletów, laptopów), internetu, serwisów społecznościowych, poczty elektronicznej, serwisów umożliwiających dokonywanie prywatnych sprzedaży, bankowości online. Utrzymanie na gruncie rodo wąskiej interpretacji „działalności osobistej lub domowej” właściwej dyrektywie 95/46/WE nie odpowiadałoby rzeczywistości, miałoby nierealistycznie wąski zakres („unrealistically narrow scope”)1.

 

Przykłady czynności


Przykładami działalności osobistej lub domowej (motyw 18 rodo) są korespondencja i przechowywanie adresów, podtrzymywanie więzi społecznych oraz działalność internetowa podejmowana w tych ramach.
Częściowo zbieżną z tymi przykładami, ale znacznie dłuższą i praktyczną listę czynności osobistych lub domowych zawiera przywołany dokument Grupy Roboczej art. 29:•książka adresowa przyjaciół i znajomych na domowym komputerze (poczta elektroniczna);•książka telefoniczna w telefonie komórkowym;•pliki na prywatnym komputerze zawierające np. wyciągi bankowe, polisy (mogą ujawniać również informacje o osobach trzecich, np. odbiorcach płatności);•pliki na prywatnym komputerze zawierające np. wyniki badań lekarskich, ocen szkolnych;•prowadzenie własnej strony internetowej np. do dzielenia się przepisami kulinarnymi oraz umożliwiającej wymianę opinii z osobami dzielącymi te zainteresowania;•sprzedaż np. używanych mebli na portalach e-commerce;•petycje online w akcjach społecznych;•udostępnianie lokalizacji swojego telefonu komórkowego znajomym np. dla ustalenia miejsca spotkania w kawiarni.


Grupa Robocza art. 29 sygnalizuje jednak, że jednym ze skutków ewolucji interpretacji czynności o czysto osobistym lub domowym charakterze jest widoczna niepewność prawna osób indywidualnych co do zakresu tych czynności, gdy obejmują one przetwarzanie danych osób trzecich, szczególnie gdy stają się dostępne dla nieograniczonej liczby odbiorców.


Wątpliwości wynikają z tego, że choć czynność należy do przykładów działalności osobistej lub domowej, a także z taką intencją podejmuje ją osoba fizyczna, to jednak skutki tej działalności obejmują też osoby trzecie, a zasięg, np. geograficzny lub środowiskowy, jest znaczny. Powstaje więc ryzyko rozbieżności interpretacyjnych, czy działalność mieści się w granicach czynności osobistych lub domowych, a zatem jest wyłączona spod stosowania rodo, czy wykracza poza te granice, a więc podlega rodo.


Dostępność danych dla nieograniczonej liczby odbiorców


Trybunał Sprawiedliwości UE w wyroku z 6 listopada 2003 r. (C-101/01) w sprawie Bodil Lindqvist v. Aklagarkammaren i Jönköping uznał, że publikowanie przez osobę prywatną w internecie danych osobowych osób trzecich, pozwalających je zidentyfikować za pomocą nazwiska albo innych czynników, podlega przepisom o ochronie danych osobowych, ponieważ nie ma jednoznacznie osobistego lub domowego charakteru, a to wyłączenie „powinno być interpretowane jako obejmujące wyłącznie działania wchodzące w zakres życia prywatnego lub rodzinnego jednostki, co w sposób oczywisty nie ma miejsca w przypadku przetwarzania danych osobowych polegającego na ich opublikowaniu w Internecie w taki sposób, że staną się one dostępne dla nieograniczonej liczby osób”. Grupa Robocza art. 29 wyraziła jednak opinię2, że nieograniczona dostępność prywatnego bloga lub profilu na portalu społecznościowym nie przesądza sama w sobie, że przetwarzanie wykracza poza zakres przetwarzania osobistego lub domowego.

 

[...]

 

Mariusz Krzysztofek
doktor habilitowany prawa, radca prawny; dyrektor i DPO EMEA, Herbalife Nutrition

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Spis treści Numer niedostępny Zamów prenumeratę

All rights reserved © 2019 Presscom / Miesięcznik Przetargi Publiczne