Temat RODO w ostatnim czasie budzi sporo gorących dyskusji, siejąc strach i przerażenie wśród przedsiębiorców. Wrze zarówno w startup-owych kuluarach, jak i na językach prawników! Obawy mają lekarze, księgowi, jak i sprzedawcy internetowi. O co chodzi?
RODO czyli rozporządzenie unijne
W dniu 25 maja 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie będzie bezpośrednio stosowane od 25 maja 2018 r. Do tego czasu państwa członkowskie mają obowiązek zapewnić jego skuteczne stosowanie poprzez przyjęcie właściwych przepisów wewnętrznych. Aktualnie trwają prace nad odpowiednią ustawą. Zastąpi ona obowiązującą obecnie ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Nowe krajowe prawo nie będzie jednak „przepisywało i porządkowało” wszystkich zagadnień z rozporządzenia unijnego. W ustawie znajdą się te przepisy, których konieczność uregulowania na poziomie krajowym wskazał prawodawca unijny oraz przepisy, które dotyczą materii pozostawionych w rozporządzeniu do swobodnej regulacji państw członkowskich. Większość nowych uprawnień z zakresu ochrony danych wprowadzą zmiany naniesione w przepisach szczególnych.
Dodam, że unijne rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Inaczej mówiąc, nie wymaga żadnej procedury wdrożenia do prawa krajowego (tzw. implementacji) lub ogłoszenia w krajowym dzienniku urzędowym. A bezpośredni skutek przejawia się możliwością wykorzystywania jego przepisów przez każdą osobę fizyczną i prawną w postępowaniu przed organami w swoim kraju.
RODO jest odpowiedzią na szybki postęp technologiczny i globalizację, które przyniosły nowe wyzwania w dziedzinie ochrony danych osobowych. Celem jest zapewnienie wysokiego i spójnego stopnia ochrony osób fizycznych oraz usunięcie przeszkód w przepływie danych osobowych w Unii.
Kogo dotyczy RODO?
Ochrona danych, o której mowa w rozporządzeniu, dotyczy ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Oznacza to, że podmioty przetwarzające dane osób fizycznych od 25 maja 2018 r. mają obowiązek dostosowania zapewnianej przez siebie ochrony danych do ujednoliconych wymogów unijnych.
RODO wprowadza pojęcie „administratora” oraz „podmiotu przetwarzającego”. Nakłada na nich szereg obowiązków w zakresie ochrony danych osobowych (omówię je w kolejnych wpisach). I tak przez „administratora” należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast „podmiotem przetwarzającym” jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administratorem lub podmiotem przetwarzającym może być zarówno duży korporacyjny przedsiębiorca, jak również prowadzący jednoosobową działalność gospodarczą, jeśli przetwarzają dane osobowe.
Ograniczenie stosowania
Zgodnie z propozycją Ministerstwa Cyfryzacji uzgodnioną z Ministerstwem Przedsiębiorczości i Technologii (oświadczenie z dnia 23.01.2018 r.) MŚP – czyli firmy zatrudniające mniej niż 250 osób, nieprzetwarzające danych wrażliwych oraz nieudostępniające danych innym podmiotom – mają być wyłączone ze stosowania art. 13 ust. 2. Nie oznacza to jednak, że mikro, małe i średnie przedsiębiorstwa będą zwolnione z obowiązku stosowania wymogów RODO!!! Najprawdopodobniej zostaną zwolnione z pewnych dodatkowych obowiązków informacyjnych wynikających z rozporządzenia. RODO bowiem umożliwia, w pewnych konkretnych sytuacjach, zastosowanie przez państwa członkowskie wyłączeń lub własnych regulacji.
Przykład: MŚP nie będą musiały informować swoich klientów o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania. Nadal jednak będą zobowiązane do poinformowania osób, których dane będą przetwarzane (na etapie ich gromadzenia) o swoich danych, celu i podstawie prawnej przetwarzania danych oraz danych kontaktowych inspektora ochrony danych (o ile takiego posiada). Względem MŚP nie wyłączono również obowiązku poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych. Wiąże się to z istnieniem odpowiedzialności za naruszenie prawa.
Kogo nie dotyczy RODO?
RODO nie będzie miało zastosowania w następujących przypadkach:
- przetwarzanie danych firmowych (danych przedsiębiorstw tj. nazwa czy dane kontaktowe),
- danych przetwarzanych w związku z działalnością dotyczącą bezpieczeństwa narodowego,
- przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, która pozostaje bez związku z działalnością zawodową lub handlową (np. korespondencja i przechowywanie adresów, podtrzymywanie więzi społecznych); przy czym rozporządzenie będzie już miało zastosowanie w odniesieniu do podmiotów udostępniających osobom fizycznym środki przetwarzania danych osobowych dla takiej działalności,
- przetwarzanie danych przez organy w ramach zapobiegania przestępczości, prowadzenia działań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar – przepływ takich danych uregulowany jest innym aktem prawnym,
- przetwarzania anonimowych informacji (w tym przetwarzania do celów statystycznych lub naukowych),
- przetwarzania danych osób zmarłych, przy czym państwo członkowskie w tym zakresie może przyjąć odrębne regulacje,
- przetwarzanie danych w ramach działalności nieobjętej prawem Unii.
System ochrony danych
Rozporządzenie nie wskazuje konkretnych wytycznych i rozwiązań wymaganych dla ochrony danych osobowych (brak wzorów i szablonów). Prawodawca unijny, mając na uwadze szybki postęp technologiczny oraz różnorodność branż uznał, iż ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik.
W związku z powyższym, każdy przedsiębiorca przetwarzający dane osób fizycznych w celu zapewnienia właściwej ochrony musi indywidualnie dopracować konkretne metody zabezpieczania i przetwarzania danych. Powinny one odpowiadać charakterowi działalności. Oznacza to, że przedsiębiorca musi najpierw dokonać analizy danych, którymi dysponuje. Następnie powinien ocenić ryzyko związane z ich przetwarzaniem. Po czym dobrać adekwatne środki ochronne minimalizujące to ryzyko. Ostatecznie zaś powinien być w stanie wykazać, że podejmowane przez niego czynności przetwarzania danych są zgodne z rozporządzeniem oraz skuteczne.
Co zmienia RODO?
Poniżej przedstawiam wybrane zmiany wynikające z rozporządzenia:
- rozbudowanie obowiązków informacyjnych względem osób fizycznych, których dane będą przetwarzane,
- bezpośrednia odpowiedzialność przetwarzającego dane,
- obowiązek rejestrowania czynności przetwarzania danych (wewnętrzne rejestry),
- zniesienie obowiązku rejestracji zbiorów w GIODO,
- nadanie nowych uprawnień osobom, których dane są przetwarzane, w tym: „prawo do bycia zapomnianym”, wzmocnienie prawa do wglądu i poprawiania swoich danych, prawo przenoszenia danych,
- ograniczenie profilowania – obowiązek uzyskania zgody na profilowanie przed rozpoczęciem gromadzenia danych,
- obowiązek zgłaszania poważnych naruszeń ochrony danych (72h),
- możliwość nałożenia wysokich kar pieniężnych za naruszenie bezpieczeństwa danych (maksymalnie 20 mln euro albo do 4 proc. obrotu),
- zmiana statusu i roli ABI (administratora bezpieczeństwa informacji) poprzez wyznaczenie Inspektora Ochrony Danych Osobowych (IOD) – w niektórych przypadkach wyznaczenie IOD będzie obowiązkiem,
- szczególna ochrona dzieci (zgoda opiekuna/rodzica),
- rozszerzenie definicji danych wrażliwych,
- nowy wymiar współpracy administratora danych z podmiotem przetwarzającym,
- wprowadzenie koncepcji „privacy by design” poprzez poszanowanie prywatności już na etapie projektowania,
- nowe rozwiązania w ochronie danych dla grup kapitałowych.
Źródła
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.