Spis treści
24 maja 2016 roku okazał się przełomowym momentem. Parlament Europejski wraz z Radą Unii Europejskiej przyjęły całkowicie nowe rozporządzenie dotyczące przetwarzania danych osobowych, czyli RODO. Wszystkie firmy, które prowadzą swoją działalność na terenie Unii Europejskiej i gromadzą dane dotyczące osób fizycznych, mają obowiązek przestrzegania rozporządzenia.
RODO – czym jest?
Rozporządzenie o ochronie danych osobowych to jedna z największych zmian dotyczących organizacji ochrony danych osobowych w ciągu ostatnich 20 lat. Administratorzy danych mieli czas na wdrożenie stosownych zmian do 25 maja 2018 roku. Obecnie wszyscy przedsiębiorcy muszą dbać o zapewnienie zgodności z obowiązującymi przepisami i – co najważniejsze – ma to być proces ciągły, a nie jednorazowe działanie.
Nowe przepisy obejmują takie zagadnienia, jak konieczność przeprowadzania stałej analizy ryzyka, które związane jest bezpośrednio z przetwarzaniem danych osobowych, dostosowania dokumentacji oraz procedur do rozporządzenia. Kładą też ogromny nacisk na bezpieczeństwo danych użytkowników platform, a także zwiększają ich możliwości w kwestii edytowania, a nawet usuwania swoich kont.
Jakie dane chroni RODO?
Na czym polega ustawa RODO w praktyce? Rozporządzenie RODO znajduje zastosowanie w przypadku gdy przedsiębiorca prowadzący firmę posiada siedzibę na terenie Unii Europejskiej bez względu na to, gdzie świadczone są usługi i gdzie dochodzi do faktycznego przetwarzania danych osobowych. Jednak warto pamiętać, że jeśli siedziba firmy znajduje się poza UE, ale firma przetwarza dane osobowe osób fizycznych zamieszkujących kraje Unii Europejskiej, to również zobowiązana jest do przestrzegania RODO. Dodatkowo przedsiębiorstwa spoza Unii Europejskiej, które w jakikolwiek sposób przetwarzają dane osobowe obywateli Wspólnoty Europejskiej, są zobowiązane do wyznaczenia swojego przedstawiciela na terenie wspólnoty.
Dane osobowe są informacjami, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby, która zwana jest również podmiotem danych. Dane osobowe dotyczą takich informacji jak:
- imię i nazwisko,
- adres,
- numer dowodu tożsamości/paszportu,
- dochody,
- cechy kulturowe,
- adres IP,
- dane będące w posiadaniu szpitala lub lekarza.
Warto również wspomnieć, że całkowicie zabronione jest przetwarzanie danych osobowych, które dotyczą:
- pochodzenia rasowego lub etnicznego,
- orientacji seksualnej,
- poglądów politycznych,
- przekonań religijnych lub filozoficznych,
- przynależności do związków zawodowych,
- danych genetycznych, biometrycznych i zdrowotnych, poza szczególnymi przypadkami,
- danych osobowych dotyczących wyroków skazujących i naruszeń prawa, chyba że pozwala na to prawo unijne lub krajowe.
Jakie firmy muszą przestrzegać RODO?
W Polsce rozporządzenie jest znane pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Międzynarodowa nazwa tego dokumentu jest znana jako rozporządzenie GDPR (ang. General Data Protection Regulation) i weszło ono w życie 25 maja 2018 roku, obejmując cały obszar Unii Europejskiej.
Nowe przepisy są wiążące dla każdego przedsiębiorcy, a więc dotyczą każdej firmy, która w jakikolwiek sposób świadczy swoje usługi osobom fizycznym, czyli prywatnym, na terenie UE. Co ważne, rozporządzenie dotyczy również działalności, które nie posiadają swojej siedziby w żadnym kraju Wspólnoty Europejskiej, ale świadczy swoje usługi klientom zamieszkującym te kraje.
Dotyczy to nie tylko ogólnoświatowych korporacji, ale również małych przedsiębiorstw, które działają na rynkach lokalnych, jak na przykład sklepów internetowych, które gromadzą informacje o klientach w celu realizacji złożonych zamówień.
Kiedy musisz zaakceptować RODO?
Nowe rozporządzenie przewiduje ścisłe zasady dotyczące przetwarzania danych wrażliwych na podstawie wcześniej uzyskanej zgody. Ich głównym celem jest przede wszystkim zapewnienie osoby fizycznej o bezpieczeństwie, jednak w taki sposób, aby w pełni rozumiała, na co wyraża swoją zgodę.
Oznacza to, że uzyskanie zgody musi być w pełni dobrowolne, konkretne, świadome i jednoznaczne. Z kolei zapytanie osoby fizycznej o zgodę powinno być wyrażone w jasny sposób i możliwie najprostszym językiem. Zgoda musi zostać wyrażona w formie działania potwierdzającego, co oznacza, chociażby zaznaczenie pola wyboru na stronie www lub podpisanie stosownego formularza.
W pewnych przypadkach, kiedy uzyskane dane osobowe nie są już potrzebne, osoba fizyczna ma prawo do usunięcia swoich danych. Jednak przedsiębiorca nie musi tego robić w przypadku gdy przetwarzanie danych konieczne jest do poszanowania wolności wypowiedzi oraz informacji lub gdy obowiązek przechowywania tych informacji dotyczy przedsiębiorstwa z mocy prawa. Dane osobowe są niezbędne do ustalenia roszczeń lub muszą być przechowywane ze względów bezpośrednio związanych z interesem publicznym.
Co grozi za złamanie RODO?
Naruszenie w jakikolwiek sposób ochrony danych osobowych dotyczy przypadkowego lub niezgodnego z obowiązującym prawem ujawnienia informacji osobowych nieupoważnionym osobom, za które odpowiedzialny jest przedsiębiorca lub administrator. Do złamania przepisów RODO zalicza się również spowodowanie czasowej niedostępności danych osobowych lub ich modyfikacja, zmiana.
W przypadku gdy dojdzie do naruszenia rozporządzenia RODO, co zagraża prawom i wolności osoby fizycznej, administrator zobowiązany jest w przeciągu maksymalnie 72 godzin od potwierdzenia złamania ochrony danych, poinformować odpowiedni organ ochrony danych. W Polsce taką jednostką jest UODO, czyli Urząd Ochrony Danych Osobowych.
Jeśli dojdzie do sytuacji, kiedy naruszenie ochrony danych osobowych stanowi zbyt wysokie ryzyko dla osób, których informacje dotyczą, firma ma również obowiązek poinformowania w odpowiedni sposób wszystkich potencjalnych poszkodowanych. Jeśli na przykład wyciekną dane wrażliwe z platformy sprzedażowej, która przechowuje na nasz temat sporo informacji, to właściciel sklepu powinien rozesłać maila do osób, wobec których istnieje prawdopodobieństwo wycieku tych informacji, a więc i potencjalnych szkód.
Naruszenie przepisów wiąże się z ryzykiem nałożenia na przedsiębiorstwo stosownej kary finansowej, która może sięgać nawet do 20 mln euro lub 4% wartości rocznego globalnego obrotu przedsiębiorstwa. Organ ochrony danych osobowych ma również możliwość nakazania konieczności podjęcia dodatkowych środków i sposobów naprawczych, np. zaprzestania przetwarzania danych osobowych, a nawet zaprzestania wykonywania działalności.
Podsumowanie
Ochrona danych osobowych jest wrażliwym tematem. Wprowadzenie RODO wymagało od wielu przedsiębiorstw nie tylko wprowadzenia nowych procedur, ale i dostosowania tych już istniejących. Warto pamiętać, że poinformowanie osoby fizycznej o przetwarzaniu jej danych osobowych jest kluczowe w celu uzyskania świadomej zgody i ewentualnego podjęcia odpowiednich kroków w przypadku wykrycia nieprawidłowości.
RODO wprowadza dość istotne zmiany, które zwłaszcza na początku mogą stanowić problem dla przedsiębiorców. Dotyczą one przede wszystkim informacji, które należy przekazać osobie fizycznej, jak również momentu, w którym powinny one być przekazane. Dlatego warto zapoznać się ze szczegółowymi informacjami o rozporządzeniu. Może to w znaczący sposób zmniejszyć ryzyko wycieku danych i uchronić nas przed karą finansową.
