Obowiązek stosowania przepisów RODO dotyczył będzie wszystkich, którzy przetwarzają dane osobowe:
- w sposób całkowicie lub częściowo zautomatyzowany;
- w sposób inny niż zautomatyzowany w zakresie danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Oznacza to, że przepisom RODO podlegać będą:
– osoby fizyczne;
– jednostki organizacyjne niebędące osobami prawnymi, którym ustawa przyznaje zdolność prawną (np. handlowe spółki osobowe);
– osoby prawne (np. spółka z ograniczoną odpowiedzialnością, fundacja;
jeżeli przetwarzają dane osobowe we wskazany powyżej sposób.
Przepisy RODO nie będą miały natomiast zastosowania do przetwarzania danych osobowych przez:
- państwa członkowskie UE w ramach wykonywania działań wchodzących w zakres wspólnej polityki zagranicznej i bezpieczeństwa;
- osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze (np. wysyłanie okolicznościowych kart z życzeniami, prowadzenie domowej książki adresowej);
- właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar (np. Policja);
Co istotne, obowiązek stosowania przepisów RODO nie będzie dotyczył wyłącznie podmiotów mających siedzibę w państwach członkowskich UE. Do stosowania RODO zobligowane będą również podmioty zlokalizowane poza UE, pod warunkiem, że czynności przetwarzania wiążą się z:
a) oferowaniem towarów lub usług osobom, których dane dotyczą w Unii Europejskiej – niezależnie od tego, czy wymaga się od tych osób zapłaty;
lub
b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii Europejskiej.
