Czym jest RODO?

W maju tego roku weszło w życie rozporządzenie unijne, pospolicie nazywane w skrócie RODO. Chodzi oczywiście o Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Ten akt będzie stosowany w Polsce bezpośrednio. Oznacza to, że nie musimy czekać, aż przepisy te zostaną wprowadzone kolejną ustawą, ponieważ rozporządzenie automatycznie stało się częścią polskiego ustawodawstwa. Nie oznacza to, że dotychczasowa ustawa o ochronie danych osobowych utraciła moc, niemniej tylko jej przepisów pozostała w mocy i to w takim zakresie, w jakim RODO nie reguluje tych kwestii odmiennie.

Dlaczego RODO wywoływało u przedsiębiorców tyle emocji? Głównie dlatego, że zmienia podejście do ochrony danych osobowych o przysłowiowe 180 stopni oraz wymusza na przedsiębiorcy aktywne podejście do ochrony danych. Należy pamiętać, że dane osobowe to nie tylko imię i nazwisko, ale i wszelkie dane, które identyfikują lub mogą identyfikować osobę, a więc także: numer identyfikacyjny, dane o lokalizacji, login, mail, czynniki pozwalające określić fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Sankcje

Tym, co od razu rzuca się w oczy to kary. Limity kar, jakie przewiduje RODO do 10 albo 20 milionów euro oraz 2% albo 4% rocznych obrotów przedsiębiorcy. Obłędna wysokość tych kar zmusza każdego przetwarzającego dane osobowe do stworzenia odpowiedniego systemu ochrony. Co istotne, kary te mają charakter uniwersalny i obowiązujący na terenie całej Unii Europejskiej bez względu na kraj, w którym doszło do naruszeń. Co do wysokości kar, jakie faktycznie będą nakładane trudno obecnie dyskutować, gdyż jeszcze takich nie nałożono. To jednak kwestia czasu. Można jednak założyć, że w mniejszych przypadkach wysokość kar będzie adekwatna do naruszenia.

Kogo dotyczy RODO? Dotyczy każdego, kto przetwarza dane osobowe!

Często rozmawiając z małymi i średnimi przedsiębiorcami słyszę „ależ mnie RODO nie dotyczy, ja mam tylko dwóch pracowników i wystawiam kilka faktur miesięcznie”. Takie podejście do prosta droga do kłopotów. Teraz bowiem, to co przed rządami RODO wydawało się normalną wymianą maili między kontrahentami, dziś jest już przetwarzaniem danych osobowych (imię, nazwisko, mail). Oznacza to, że przepisy RODO dotyczą niemal wszystkich podmiotów przetwarzających dane osobowe: od instytucji publicznych, przez osoby fizyczne po przedsiębiorców. Słowem: każdy, kto pozyskuje dane osobowe – winien stosować RODO. Nawet jeżeli przedsiębiorca wykonuje usługi lub sprzedaje towar na rzecz wyłącznie innych przedsiębiorców, przetwarza takie dane jak adresy email, imiona i nazwiska pracowników kontrahenta. To samo tyczy się własnych pracowników i procesu rekrutacyjnego – tutaj też dochodzi do przetwarzania danych osobowych.

W zasadzie przepisy RODO dotyczą niemal wszystkich podmiotów przetwarzających dane osobowe: podmiotów publicznych jak i prywatnych przedsiębiorstw, nawet osób fizycznych prowadzących działalność gospodarczą na niewielką skalę, jeśli przetwarzają one dane osobowe innych osób fizycznych (np. pracowników, kandydatów do pracy, kontrahentów, klientów, osób współpracujących) i przez to przetwarzanie stają się administratorem tych danych, z wyłączeniem podmiotów, które wskazuje RODO w art. 2 tj. RODO nie ma zastosowania, m.in. do osób fizycznych przetwarzających dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze czyli w charakterze nie związanym z działalnością gospodarczą lub też do organów państwowych, które przetwarzają dane osobowe do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Co ze starą dokumentacją, dotyczącą ochrony danych osobowych

Zebrana dokumentacja z okresu przed wejścia w życie RODO nie traci na aktualności. Trzeba jednak pamiętać, że przepisy RODO wymagają wprowadzenia dodatkowej dokumentacji. Za przykład może posłużyć rejestr czynności przetwarzania, rejestr naruszeń ochrony danych, czy też wzór zgłoszenia naruszenia. Do tworzenia i bieżącego prowadzenia tych dokumentów zobowiązuje RODO. Część tych dokumentów będzie miała podobny kształt, ale ich treść zależy zawsze od konkretnej aktywności, w ramach której dochodzi do przetwarzania danych osobowych. Samo posiadanie „pouczenia” o przetwarzaniu danych jest niewystarczające i z pewnością nie oszczędzi nam problemów podczas kontroli Urzędu Ochrony Danych Osobowych.

Podejście proaktywne

Kiedy pisałem na wstępie, że RODO wymusza zmianę podejścia do ochrony danych osobowych, miałem na myśli także zmianę w mentalności przedsiębiorców. O ile zawsze ochrona danych osobowych była obowiązkiem przetwarzającego, o tyle zmienia się podejście do samego procesu. Mówimy tutaj o dwóch zasadach: privacy by design oraz privacy by default.

Zasada privacy by design wyrażona jest w art. 25 ust. 1. RODO. Zgodnie z jego brzmieniem „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”.

Powyższa reguła wymaga, by administrator już na etapie projektu, ale także w trakcie korzystania z systemu, stosowane były środki i rozwiązania pozwalające na ochronę danych zgodnie z wymogami RODO.

Przepis ten wprowadza generalną zasadę, na podstawie której administrator danych będzie zobowiązany zapewnić, aby już na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych wprowadzone do niego zostały odpowiednie środki techniczne i organizacyjne, które zapewnią ochronę danych użytkowników i ich przetwarzanie zgodnie z Rozporządzeniem.

Reguła privacy by default wyrażona jest w ust. 2 art. 25 RODO. Zgodnie z jego brzmieniem administrator zmuszony jest do zastosowania takich środków, aby przetwarzane były jedynie takie dane, jakie konieczne są do osiągnięcia celu przetwarzania. Ma to zastosowanie do ilości danych, celu i okresu ich przetwarzania, oraz zabezpieczeń przed ujawnieniem osobom nieupoważnionym.

Podsumowując, przedsiębiorca musi nie tylko z własnej inicjatywy zaprojektować odpowiedni system, ale także udoskonalać go. To bowiem, czy system spełnia wymagania dla konkretnego przedsięwzięcia przedsiębiorca będzie musiał udowodnić w trakcie kontroli.

Kiedy system spełnia wymagania?

Największym niebezpieczeństwem, jakie płynie z RODO jest dosyć ogólne sformułowanie zawartych tam postanowień. W połączeniu z drakońskimi karami tworzy się niepożądany stan niepewności. Skąd bowiem piekarz, czy mechanik ma wiedzieć, czym są „odpowiednie środki” i czy aby te, które są stosowane, są „odpowiednie”. Niestety, lwia część przedsiębiorców nie będzie miała odpowiedniej wiedzy i doświadczenia, aby przeprowadzić te działania skutecznie i na własną rękę. To jednak nie powód do rozpaczy. Prawnik nie wypiecze przecież dobrego bochenka, a piekarz może nie podołać wprowadzeniu rozwiązań zgodnych z RODO. Do tego zdecydowanie potrzebna jest pomoc prawnika, który nie tylko przeprowadzi audyt, ale także zaproponuje korzystne rozwiązania i przygotuje niezbędną dokumentację.

Leave a reply