RODO od kilku miesięcy jest jednym z najczęściej poruszanych przez media tematów. Choć może się to wydawać niewiarygodne, dotyczy w zasadzie każdego z nas, więc zgłębianie wiedzy o rozporządzeniu leży w interesie nas wszystkich — a w szczególności właścicieli firm. Czym jest RODO? Kiedy wchodzi w życie? Czy warto zadbać o porządek w firmie w kwestii RODO? Jakie są kary za naruszenie zasad ochrony danych osobowych? Jakie zalety, a jakie wady niesie ze sobą rozporządzenie? Na te — i wiele innych pytań — znajdziesz odpowiedzi w poniższym kompendium wiedzy o RODO.

Czym jest RODO, a czym GDPR?

Choć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnego przepływu pochodzi sprzed dwóch lat, a właściwie z 27 kwietnia 2016 roku, dyrektywa wejdzie w życie dopiero 25 maja 2018 roku. Wraz z uchyleniami dyrektywy 95/46/WE, tworzy Ogólne Rozporządzenie o Ochronie Danych, skrótowo nazywane RODO lub — od angielskiej nazwy General Data Protection Regulation — GDPR. Oba skrótowce oznaczają dokładnie to samo. Mówiąc najprościej, RODO (GDPR) to nowe, unijne rozporządzenie na temat ochrony danych osobowych, które zobligowane są wprowadzić wszystkie firmy w krajach członkowskich Unii Europejskiej, gromadzące i przetwarzające dane o osobach fizycznych, jak również wszystkie instytucje administracji publicznej. Nowe przepisy prawa będą więc dotyczyły w jednakowym stopniu zarówno jednoosobowych działalności, korporacji, sklepów internetowych, jak i instytucji państwowych. Warto potraktować sprawę wdrożenia zasad naprawdę, ponieważ za ich nieprzestrzeganie naliczane będą nawet wielomilionowe kary, o których mowa w dalszej części tekstu.

Czym są dane osobowe?

Przy okazji rozważań o RODO, nie sposób nie podjąć tematu danych osobowych. Jest nimi każda informacja, która dotyczy osoby fizycznej (a więc nie tylko klienta firmy, ale również jej pracownika) i która pozwala określić tożsamość tej osoby. Dla przykładu, imię i nazwisko same w sobie nie stanowią danych osobowych, ale już powiązanie ich z adresem zamieszkania czy firmą, w której ktoś jest zatrudniony, to dane osobowe, ponieważ w ten sposób można ustalić konkretnego Jana Kowalskiego, których w Polsce na pęczki. RODO określa również regulacje na temat danych wrażliwych, do których należą informacje na temat stanu zdrowia, poglądów politycznych oraz orientacji seksualnej osoby fizycznej.

Przetwarzanie danych osobowych

Przetwarzanie danych osobowych jest każdą czynnością, która związana jest z użyciem tych danych. Zalicza się do nich: zapisywanie danych, kopiowanie danych, utrwalanie, organizowania i porządkowanie danych oraz przechowywanie ich w formie cyfrowej. Dla przykładu, gdy dana firma na swojej stronie internetowej posiada formularz zapisu do newslettera, w którym podać należy swoje imię i nazwisko, adres mailowy, numer telefonu, nazwę firmy oraz stanowisko, jakie się w niej zajmuje, a następnie używa tych danych do wysyłki mailingów, koniecznie powinna przystosować wszelkie czynności z tym związane do zasad wynikających z RODO. Dzięki temu będzie przede wszystkim przestrzegać prawa, ale również nie narazi się na poniesienie dotkliwej kary finansowej. Nowe rozporządzenie unijne może uderzyć przede wszystkim we wszystkie podmioty, które do tej pory wykorzystywały dane osobowe do marketingu bezpośredniego. RODO rozszerza bowiem prawo sprzeciwu wobec przetwarzania danych osobowych, nazywane również prawem do bycia zapomnianym. Polega ono na tym, że osoba fizyczna — w dowolnym momencie — może zażądać od firmy posiadającej jej dane osobowe, całkowitego i nieodwracalnego usunięcia danych z bazy. Do tej pory, by móc zapewnić sobie wykasowanie swoich danych z rejestru konkretnego podmiotu, osoba fizyczna musiała złożyć pisemny wniosek w tej sprawie. RODO uprasza sytuację — odtąd nie trzeba przedkładać takowej, pisemnej prośby, a wystarczy w dowolny sposób zwrócić się do danej firmy z prośbą o usunięcie z bazy. Administrator danych musi w takim przypadku nie tylko zadbać o faktyczne usunięcie wszelkich informacji o osobie fizycznej z systemów, ale również ich kopii, odniesień, linków i dokumentacji papierowej — nawet, jeśli są w posiadaniu innych podmiotów gospodarczych. Dodatkowo, musi przedstawić osobie korzystającej z prawa do bycia zapomnianym poświadczenie usunięcia jej danych. Jedyne, co firma może sobie zachować, to dane statystyczne — jednak nie mogą one w żaden sposób pozwalać na zidentyfikowanie tożsamości.

Obowiązki związane z przetwarzaniem danych osobowych

RODO wprowadza obowiązki związane z pozyskiwaniem i przetwarzaniem danych osobowych, jakie od 25 maja 2018 roku zobligowane będą przestrzegać wszystkie podmioty, których dotyczy rozporządzanie. Dzielą się na obowiązki: dokumentacyjne, organizacyjne i informacyjne. Najważniejsze wytyczne prezentujemy poniżej.

• Obowiązki dokumentacyjne:

• o stworzenie polityki ochrony danych opisującej środki zabezpieczania danych osobowych oraz prowadzenie przeglądów form zabezpieczeń;

• o rejestrowanie czynności przetwarzania, podejmowanych przez administratora danych osobowych oraz podmioty przetwarzające (dotyczy przedsiębiorstw i podmiotów zatrudniających min. 250 osób, chyba, że prowadzone przetwarzanie danych może powodować ryzyko naruszenia praw osób fizycznych, których dane osobowe mamy w posiadaniu, nie ma sporadycznego charakteru lub obejmuje szczególne kategorie danych osobowych lub dane o wyrokach skazujących czy wykroczeniach prawnych);

• o prowadzenie dla ochrony danych osobowych oceny skutków, opatrzonej metodyką;

• o prowadzenie procesów postępowania i dokumentacji w kwestiach naruszeń danych osobowych;

• o prowadzenie przez Inspektora Ochrony Danych dokumentacji działań audytowych.

• Obowiązki organizacyjne:

• o dokonywanie oceny skutków planowanych operacji przetwarzania danych osobowych, jeszcze przed rozpoczęciem ich wykorzystywania;

• o zgłaszanie (nawet jednostkowych) naruszeń danych osobowych do organu nadzorczego (GIODO) i zawiadamianie o incydencie osób fizycznych, których to dotyczy;

• o wyznaczenia Inspektora Ochrony Danych (IOD);

• o minimalizacja danych, a więc pozyskiwanie i przetwarzanie tylko tych danych osobowych, które są adekwatne do celów, w jakich mają być wykorzystywane;

• o zapewnienie osobom fizycznym, których dotyczą dane osobowe prawa do sprzeciwu wobec przetwarzania danych, prawa do ograniczenia przetwarzania oraz prawa do bycia zapomnianym;

• Obowiązki informacyjne:

• o podanie tożsamości administratora danych osobowych, jego przedstawiciela oraz danych kontaktowych obu podmiotów;

• o podanie danych kontaktowych Inspektora Ochrony Danych;

• o wskazanie celów przetwarzania danych osobowych oraz przedstawienie podstawy prawnej;

• o wskazanie uzależnionych prawnie interesów, które realizowane są przez administratora danych lub stronę trzecią;

• o poinformowanie o odbiorcach danych osobowych (czyli osobach fizycznych lub prawnych, organach publicznych, jednostkach lub innych podmiotach, którym ujawnia się dane osobowe — bez względu na to, czy są stroną trzecią, czy też nie) albo o kategoriach danych (jeżeli istnieją);

• o poinformowanie o zamiarze przekazania danych osobowych do państwa trzeciego albo organizacji międzynarodowej;

• o wskazanie okresu, przez który będzie się przechowywać dane osobowe;

• o poinformowanie o prawach, jakie przysługują osobom, których dotyczą dane — w tym o prawie do wniesienia skargi do organu nadzorczego;

• o poinformowanie o zakresie wymogu podania danych (a dokładnie, czy ich podanie jest obowiązkiem ustawowym, umownym albo warunkiem do zawarcia umowy oraz jakie ewentualne konsekwencje wynikają z ich niepodania);

• o poinformowanie o zautomatyzowanym przetwarzaniu danych, w tym także o ich profilowaniu.

Kary za naruszenie zasad ochrony danych osobowych

Za złamanie przepisów RODO, przedsiębiorstwa (a także podmioty administracji publicznej) we wszystkich krajach członkowskich Unii Europejskiej, które są w posiadaniu i przetwarzają dane osobowe, będą ponosić identyczne kary — w tym dotkliwe kary finansowe, wyznaczane proporcjonalnie do skali naruszenia przepisów. Wynosić one będą 10 mln euro lub 2 proc. rocznego światowego obrotu firmy, jaki osiągnęła w poprzednim roku obrotowym. Jeśli naruszenie będzie szczególnie poważne, kara może wzrosnąć nawet do 20 mln euro lub 4 proc. obrotu firmy z poprzedniego roku obrotowego. Wszystko zależeć będzie od tego, która kwota będzie wyższa. Obecnie GIODO (Generalny Inspektor Ochrony Danych Osobowych) nakłada kary w celu zmuszenia podmiotu do wykonania tej decyzji, jednak nie są one zbyt częste. Od 25 maja 2018 roku sprawa zmieni się diametralnie — kary będą ujednolicone, znacznie podwyższone i przyznawane mniej pobłażliwie. W kontekście kar rodzi się również pytanie o postępowanie w przypadku naruszenia danych osobowych z powodu ataku hakerskiego. Polscy przedsiębiorcy — wyłączając w zasadzie branżę telekomunikacyjną — nie są przyzwyczajeni do zgłaszania własnych przewinień, związanych z naruszeniem danych osobowych. Od wejścia w życie RODO, będą musieli być o wiele bardziej czujni na takie incydenty, odpowiednio wcześnie je identyfikować (nawet jeśli będzie to drobne czy pojedyncze naruszenie) i przygotować procedury, jakie wdrożą w życie w przypadku ataku. Na zgłoszenie tego faktu do GIODO firmy będą miały bowiem jedynie 72 godziny.

Kim jest administrator danych osobowych, a kim Inspektor Ochrony Danych?

Administratorem danych osobowych, zgodnie z nowym rozporządzeniem unijnym, jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie albo wspólnie z innymi ustala sposoby i cele przetwarzania danych. Administratorami są więc:

• osoby prowadzące działalność gospodarczą, dysponujące i przetwarzające dane osobowe klientów i pracowników;

• spółki osobowe i kapitałowe, dysponujące i przetwarzające dane osobowe klientów i pracowników;

• żłobki, przedszkola, szkoły, uczelnie dysponujące i przetwarzające dane osobowe swoich pracownik