Nie ma znaczenia, gdzie stoi serwer z naszymi danymi

Bezpieczna firma to taka, która wie, jakim przepisom podlega i w związku z tym, jakie obowiązki powinna wykonywać – także w kontekście ochrony danych osobowych. Zastanówmy się więc, kiedy polscy przedsiębiorcy stosują przepisy RODO.

Z punktu widzenia tego, co i jak przedsiębiorca robi, zasada wynikająca z art. 2 ust. 1 RODO jest prosta – stosujemy RODO wtedy, gdy przetwarzamy dane w sposób choćby częściowo zautomatyzowany albo gdy dane stanowią lub mają stanowić część zbioru danych osobowych. Częściowe choćby zautomatyzowanie procesu przetwarzania oznacza tyle, że wystarczy jedna operacja przetwarzania odbywająca się automatycznie, aby proces uznać za częściowo zautomatyzowany, a więc podpadający pod przepisy RODO. Przykład? Bardzo proszę – automatycznie wykonujący się backup wystarczy. To sprawia, że w zasadzie każdy proces przetwarzania danych, który odbywa się przy wykorzystaniu systemów teleinformatycznych, jest z definicji objęty RODO. A co, jeżeli przetwarzanie od początku do końca odbywa się ręcznie? Mam dane zapisane na kartkach papieru, te kartki ręcznie porządkuję, a następnie ręcznie niszczę? Wówczas RODO stosujemy wtedy, gdy takie dane stanowią lub mają stanowić część zbioru danych osobowych. „Stanowią” wtedy, gdy są częścią zbioru danych; „mają stanowić”, gdy co prawda jeszcze nie stanowią, ale administrator ma zamiar je do zbioru wprowadzić (np. porządkuje dokumenty, które następnie wepnie do akt, które już są zbiorem danych). A czym jest zbiór danych? To zestaw danych, które spełniają dwie cechy: są uporządkowane i dostępne wg określonych kryteriów (wbrew dosłownemu brzmieniu przepisu, wystarczy jedno kryterium, aby powstał zbiór danych). W efekcie wystarczy, że te kartki uporządkuję chronologicznie – przecież mówimy o dowolnym kryterium – i mam zbiór danych, a więc stosuję RODO.