RODO w działalności gospodarczej

mar 27, 2025 | Zarządzanie

Rozporządzenie RODO obowiązuje od 25 maja 2018 r., czyli na tyle długo, że każdemu przedsiębiorcy powinno być znane, a zawarte w nim przepisy powszechnie stosowane – na przykład do przetwarzania danych osobowych pracowników czy kontrahentów firmy. Mimo to wiele kwestii stosowania RODO w biznesie wciąż budzi niejasności i dochodzi w tym obszarze do nieporozumień.

Przy działalności gospodarczej prowadzonej na relatywnie małą skalę stosowanie przepisów RODO nie jest szczególnie skomplikowane, natomiast pozwoli na uchronienie się przed wysokimi karami finansowymi – nawet do 4% obrotu rocznego firmy lub 20 mln euro.

RODO chroni

…prawa i wolności osób fizycznych (obywateli państw UE), a w szczególności ich prawo do ochrony danych osobowych.

Pojęcie „osoby fizycznej”

…nie jest definiowane przez RODO – jednak stawia się je w opozycji do osoby prawnej. W uproszczeniu różnica polega na tym, że osoby fizyczne to po prostu… ludzie, natomiast osoby prawne stanowią twory społeczne (np. spółki, stowarzyszenia, wspólnoty etc.). Osobą fizyczną jest każdy człowiek od chwili urodzenia do śmierci – niezależnie od wieku, płci, stanu zdrowia fizycznego i psychicznego.

Pojęcie „dane osobowe”

…również nie jest jednoznacznie określone w RODO. Co więcej, w analizowanych przepisach brak jest zamkniętego katalogu, jakie informacje powinny być chronione. Przepis wskazuje tylko ogólnie, że dane osobowe to informacje o osobie fizycznej – zidentyfikowanej lub możliwej do zidentyfikowania np. na podstawie imienia i nazwiska, numeru PESEL, numeru dowodu osobistego, identyfikatora internetowego (np. adresu e-mail lub nazwy profilu na portalu społecznościowym zawierającej imię i nazwisko właściciela). Katalog ten jest otwarty i za daną osobową może zostać uznana praktycznie każda informacja, na podstawie której istnieje możliwość jednoznacznego zidentyfikowania osoby fizycznej.

Lepiej „dmuchać na zimne”

Choć nie wszystkie informacje określające danego człowieka mogą być traktowane jako dane osobowe, od wejścia RODO w życie forsowane jest stanowisko poszerzające interpretację pojęcia danych osobowych. Zaleca się przyjęcie zasady, że jeśli nie można z całkowitą pewnością wykluczyć osobowego charakteru danych, administratorzy powinni wszystkie przetwarzane informacje o kimś domyślnie traktować jako dane osobowe. Nawet jeśli jest to ostrożność „na wyrost”, z pewnością wielu przedsiębiorców może uchronić ona przed wszczęciem postępowania przez UODO (Urząd Ochrony Danych Osobowych) oraz ewentualną karą.

Dowolna forma przekazu informacji

Informacja zawierająca dane osobowe wyrażona może zostać w dowolny sposób – np. jako tekst (drukowany), przekaz elektroniczny, ale także ustny. Utrwalanie danych osobowych dokonuje się w formie słownej (np. imię i nazwisko), numerycznej (PESEL) lub biometrycznej (np. odcisk palca).

Danymi osobowymi są również informacje, które zostały w trakcie przetwarzania zaszyfrowane lub zapisane w nietypowym formacie – którego odczytanie pozostaje jednak w zasięgu możliwości osoby niekoniecznie dysponującej profesjonalnym sprzętem.

Nie są chronione przez RODO informacje

…które realnie nie pozwolą „przeciętnemu Kowalskiemu” na zidentyfikowanie tożsamości konkretnej osoby, ponieważ wymagałoby to nadmiernych kosztów, czasu lub działań. Upraszczając – nie będzie chronioną przez RODO informacja pozwalająca na zidentyfikowanie osoby jedynie specjalistom ze służb wyposażonym w ultranowoczesną aparaturę i dysponujących wysokospecjalistyczną wiedzą.

RODO a dane osób prawnych

Informacjami chronionymi przez RODO są tylko te, które dotyczą osób fizycznych. Nie są zatem chronione dane osób prawnych i innych jednostek organizacyjnych, którym ustawa nadaje zdolność prawną. Sytuacja jednak zmienia się, jeśli z osobami prawnymi powiązane są informacje o osobach fizycznych – te już stanowią dane osobowe i podlegają ochronie. Na przykład nazwa spółki z o. o. nie jest chroniona przez RODO, jednakże imiona i nazwiska członków zarządu – już tak, ponieważ są one traktowane jako dane osobowe (patrz: interpretacja UODO).

Podobnie dzieje się w przypadku osób fizycznych prowadzących działalność gospodarczą zarejestrowanych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Istotą prowadzenia działalności gospodarczej na podstawie wpisu w CEIDG jest funkcjonowanie przedsiębiorców w obrocie gospodarczym jako osób fizycznych. W związku z tym przepisy RODO odnoszą się także do danych osobowych dotyczących osób fizycznych samodzielnie prowadzących działalność gospodarczą.

Ochrona RODO nie dotyczy wszystkich danych osobowych

Twórcy rozporządzenia o ochronie danych zdawali sobie sprawę z tego, że ochrona w tym przypadku nie może mieć charakteru absolutnego i czasami musi ustępować miejsca ważniejszym prawom czy wolnościom. Tak właśnie uznano w przypadku:

wolności wypowiedzi i informacji – wyłączenia spod RODO dotyczą wypowiedzi w ramach działalności literackiej, akademickiej lub artystycznej, a także wynikają z ustawy Prawo Prasowe (dotyczy redagowania, przygotowywania, tworzenia lub publikowania materiałów prasowych);
danych osobowych przetwarzanych przez właściwe organy do celów zapobiegania przestępczości, wykrywania i ścigania czynów zabronionych lub wykonywania kar, ochrony przed zagrożeniami dla bezpieczeństwa publicznego;

przetwarzanych przez osobę fizyczną do celów o czysto osobistym, prywatnym charakterze – czyli bez związku z działalnością zawodową lub gospodarczą (nie musimy zatem obawiać się „ścigania” przez UODO z powodu np. prowadzenia baz adresowych w naszych prywatnych smartfonach, komputerowych programach pocztowych, czy posiadania w domu notatek dotyczących znajomych).

RODO nie obejmuje również informacji dotyczących osób zmarłych – nie są zatem chronione dane osobowe umieszczane na klepsydrach informujących o zgonach oraz nagrobkach.