KTO MUSI WDROŻYĆ RODO I JAKIE SĄ KONSEKWENCJE JEGO NIEWDROŻENIA
25 maja zbliża się wielkimi krokami, a wraz z tym dniem zmiany dotyczące ochrony danych osobowych. Tego dnia zaczynają obowiązywać przepisy tzw. RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. Przepisy rozporządzenia weszły w życie już w 2016 r., ale ze względu na skalę zmian, unijny ustawodawca ustanowił 2-letni okres na dostosowanie przepisów krajowych, a także procedur ochrony danych osobowych u osób, które dane osobowe przetwarzają. Polskie prawo nie zostało jeszcze dostosowane do przepisów rozporządzenia, co powoduje, że konieczne będzie stosowanie przepisów RODO wprost. Tak duża zmiana w podejściu do ochrony danych osobowych (nowe przepisy stanowią pierwszą tak dużą zmianę od 20 lat), brak praktyki, orzecznictwa, wskazówek i polskiej ustawy oraz przede wszystkim wysokie (nawet kilkumilionowe) kary pieniężne za nieprzestrzeganie nowych przepisów powodują, że wdrożenie RODO wywołuje panikę u wielu przedsiębiorców, a panika na rynku powoduje, iż na rynku pojawia się coraz więcej ofert wdrożenia przepisów RODO za coraz to większe kwoty. Jak mówi zasada wolnego rynku – jest popyt, jest i podaż. Uspokajamy – wdrożenie nowych zasad ochrony danych osobowych nie musi być kosztowne, jednak pomoc specjalistów może bez wątpienia okazać się przydatna. Należy pamiętać, iż najważniejsza była i jest skuteczna ochrona danych osobowych. W nowym stanie prawnym trzeba jednak zastosować nowe rozwiązania, które będą sprzyjały lepszej ochronie.
Zacznijmy jednak od początku – czym są dane osobowe?
Dane osobowe to informacje dotyczące osoby fizycznej, która będzie możliwa do zidentyfikowania na podstawie takich informacji jak jej imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikatora internetowego, a także cechy określające m.in. fizyczną, genetyczną czy kulturową tożsamość osoby. Identyfikowanie osób w obecnych czasach jest coraz łatwiejsze, zwłaszcza ze względu na postęp technologiczny. W dobie Internetu sprawdzenie kto kryje się pod nickiem NazwaUżytkownika1990 nie stanowi już problemu, podobnie, jak zidentyfikowanie osoby po jej numerze telefonu, czy nawet samym imieniu w połączeniu z danymi o lokalizacji. W dzisiejszych czasach, wraz z postępem technologicznym, nasze dane osobowe są przetwarzane cały czas – np. kiedy wybierając się do lekarza rejestrując się na wizytę, czy robiąc zakupy przez Internet. Przez przetwarzanie należy rozumieć wszystkie czynności dokonywane na danych osobowych – m.in. ich przechowywanie, przeglądanie czy przesyłanie.
Przepisy RODO nie są stosowane do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, niezwiązanej z działalnością zawodową lub handlową. Przykładami działalności osobistej czy domowej jest gromadzenie adresów, numerów telefonów naszej rodziny czy znajomych, korespondencja, podtrzymywanie więzi społecznych np. poprzez media społecznościowe. Dzięki temu postanowieniu, jako osoby prywatne i normalni użytkownicy Internetu nie musimy stosować się do przepisów RODO.
Kto przetwarza nasze dane osobowe i kto musi je chronić?
Podmiot, który przetwarzana dane w rozporządzeniu unijnym nazywany jest Administratorem Danych. Zgodnie z art. 4 pkt 7 RODO jest to „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Obowiązki ochrony danych spoczywają również na Podmiocie Przetwarzającym, którym jest zgodnie z art. 4 pkt 8 RODO „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Przykładem Administratora Danych będzie np. pan X prowadzący działalność gospodarczą pod firmą XY lub spółka jawna Z, a przykładem Podmiotu Przetwarzającego np. biuro rachunkowe A przetwarzające dane osobowe pracowników czy klientów Administratora Danych .
Kary finansowe i wdrażanie RODO
Ostatnimi czasy do Kancelarii zgłasza się wielu zaniepokojonych ostatnimi zmianami przedsiębiorców, którzy przede wszystkim obawiają się finansowych konsekwencji w wyniku błędnie wdrożonego RODO.
Rzeczywiście, wysokość kar finansowych w nowym rozporządzeniu może napawać strachem. Ustawodawca unijny przewidział dwa pułapy kar, w zależności od rodzaju naruszenia. Pierwszy, niższy pułap to kara, która może zostać wymierzona przez organ nadzorczy (w Polsce najprawdopodobniej będzie to nowy organ – Urząd Ochrony Danych Osobowych) w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przykładowymi naruszeniami za które może zostać nałożona są naruszenia zasad ochrony danych osobowych w fazie projektowania, brak rejestrowania czynności przetwarzania, brak współpracy z organem nadzorczym czy naruszenie bezpieczeństwa przetwarzania. Drugi, wyższy pułap może przyprawiać o jeszcze większy zawrót głowy – kara może zostać wymierzona m.in. za naruszenie zasad dotyczących przetwarzania danych osobowych, warunków wyrażenia zgody na przetwarzanie danych czy wykonania prawa dostępu przysługującego osobie, której dane dotyczą i opiewać nawet na 20 000 000 euro, a w przypadku przedsiębiorstwa na 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (są to maksymalne wysokości kar, które mogą zostać nałożone przez organ nadzorczy).
Wprawdzie postanowienia RODO wskazują na to, że wysokość kary ma zależeć od wielu czynników – charakteru, wagi, czasu naruszenia, umyślności, stopnia odpowiedzialności administratora, stopnia współpracy z organem nadzorczym, kategorii danych, których dotyczy naruszenie, obawy przedsiębiorców wydają się być uzasadnione.
Dlatego, kiedy do Kancelarii zgłosił się Klient prowadzący duże przedsiębiorstwo w którym przetwarzany jest szereg danych osobowych – począwszy od danych pracowników, do danych klientów udzieliliśmy mu kompleksowych informacji dotyczących kroków, które powinien podjąć, aby wdrożyć przepisy RODO i skutecznie chronić dane osobowe i tym samym osoby, których dane są przetwarzane w związku z wykonywaną przez niego działalnością zawodową. Dokumentacja zgodna z przepisami RODO nie musi być obszerna, jednak musi spełniać wszystkie warunki postawione przez unijnego ustawodawcę w rozporządzeniu. Co ważne RODO zacznie obowiązywać niezależnie od regulacji krajowych – nie należy czekać na polską ustawę w zakresie ochrony danych osobowych.
Osoby, które nie mają na co dzień do czynienia z prawem, mogą mieć trudności z przełożeniem postanowień RODO na praktykę – wdrażając bowiem RODO, poza suchymi przepisami należy mieć także na uwadze specyfikę prowadzonej przez siebie działalności. Dlatego pomysł na ochronę danych osobowych w swoim przedsiębiorstwie warto najpierw skonsultować ze specjalistą z zakresu danych osobowych.