Czym jest RODO i jak przygotować się do zmian?

W ostatnich miesiącach wiele słyszymy o RODO, czyli przepisach o ochronie danych osobowych, które wejdą w życie 25 maja 2018 r. RODO to Ogólne Rozporządzenie o Ochronie Danych Osobowych, mające zastosowanie we wszystkich państwach członkowskich Unii Europejskiej. Czym właściwie jest RODO i kogo dotyczy? Zapraszamy do lektury!

Kto ma obowiązek zastosować się do nowych regulacji?

 Nowe rozporządzenie dotyczy wielu przedsiębiorców, trzeba mieć na uwadze, że nie tylko tych zatrudniających pracowników, ale również wszystkie firmy przetwarzające dane osobowe swoich klientów i kontrahentów. Bez znaczenia jest wielkość przedsiębiorstwa, co oznacza, że nawet osoby prowadzące niewielkie jednoosobowe działalności gospodarcze powinny szczegółowo zapoznać się z nowymi regulacjami i odnieść je do swojego biznesu.

 Rozporządzenie nie znajdzie natomiast zastosowania do przetwarzania danych osobowych:

  • w ramach działalności nie podlegającej prawu unijnemu,
  • przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu UE;
  • przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
  • przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Co oznacza „przetwarzanie danych osobowych”?

Pod pojęciem „przetwarzanie” należy rozumieć zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie danych osobowych stanowiących część zbioru (uporządkowanego zestawu) danych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany. Przetwarzanie danych osobowych może mieć zatem miejsce zarówno w systemie informatycznym, jak i poza nim.

Które dane są uznawane za dane osobowe?

Zgodnie z definicją zamieszczoną w rozporządzeniu możemy stwierdzić, że dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 Aby rozstrzygnąć, czy dana osoba fizyczna jest możliwa do zidentyfikowania trzeba natomiast wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

 Dodatkowo w celu ustalenia, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.

Przekładając te przepisy na język przedsiębiorcy w celu ustalenia, czy mamy do czynienia z danymi osobowymi trzeba rozważyć, czy podany zbiór informacji pozwoli w szybki i prosty sposób powiązać te dane z konkretną osobą fizyczną. Oznacza to, że np. samo imię i nazwisko nie zostanie uznane za dane osobowe, gdyż podmiot chcący zidentyfikować daną osobę potrzebowałaby znacznych nakładów finansowych i czasowych na osiągnięcie swojego celu. Jeżeli jednak wraz z imieniem i nazwiskiem zostałby podany numer telefonu to przyporządkowanie tych informacji do konkretnej osoby stałoby się znaczenie prostsze, a w konsekwencji mielibyśmy do czynienia z danymi osobowymi. Istnieją sytuacje, w których trudno jest jednoznacznie stwierdzić, czy gromadzone przez nas informacje stanowią dane osobowe, dlatego począwszy od 25 maja 2018 roku powinniśmy zachować szczególną ostrożność w zakresie przetwarzania takich danych.

Jakie sankcje mogą zostać zastosowane za naruszenie prywatności?

Przygotowanie się do zmian może nie być łatwe, jednak warto zastosować RODO w praktyce. Kary za nieprzestrzeganie przepisów RODO mogą być bowiem dotkliwe, wszystko zależy od stopnia naruszenia prywatności. Osoby prowadzące działalność gospodarczą mogą zostać pociągnięte do odpowiedzialności o charakterze karnym, administracyjnoprawnym oraz cywilnoprawnym.

 Najłagodniejszym sposobem ukarania przedsiębiorców będzie zastosowanie środków naprawczych w formie ostrzeżeń, upomnień czy nakazów. Najbardziej szkodliwe dla biznesu to oczywiście administracyjne kary pieniężne, zróżnicowane w zależności od wielkości przedsiębiorstwa, sięgające nawet 20 000 000 EUR. Pieniądze pochodzące z kar pieniężnych zasilą budżet państwa, a 1 % z tych środków będzie przeznaczona na Fundusz Ochrony Danych Osobowych. Trzeba mieć na uwadze, że poza karą administracyjną osoba prowadząca działalność gospodarczą ponosi też odpowiedzialność cywilną w stosunku do osoby, której dotyczy naruszenie prywatności (w postaci zaniechania działania, usunięcia szkodliwych jego skutków czy zapłaty odszkodowania). Odpowiedzialność karna natomiast dotyczyć ma wyłącznie najcięższych naruszeń przepisów i stanowić będzie uzupełnienie dla pozostałych rodzajów odpowiedzialności.

 „Zawody podwyższonego ryzyka” w zakresie RODO to m.in. administratorzy bezpieczeństwa informacji, pracownicy działów HR i działów sprzedaży.

 Kto skorzysta a kto straci na nowych przepisach?

RODO wprowadza szereg uregulowań w odniesieniu do ochrony danych osobowych, co oznacza że na nowych przepisach skorzystają przede wszystkim konsumenci, a więc każdy z nas. Stracić mogą Ci przedsiębiorcy, którzy nie zastosują rozporządzenia w praktyce, szczególnie prowadzący niewielkie biznesy, nie posiadający prawników, specjalistycznej wiedzy czy odpowiednich narzędzi mających zapewnić bezpieczeństwo danych osobowych pracowników czy klientów.


Usprawnij swoją pracę,
dołącz do nas!

do 6 miesięcy od daty utworzenia konta możesz wprowadzić 100 faktur sprzedaży, 100 faktur zakupu oraz 100 Poleceń Księgowania w bezpłatnej wersji programu.

Po osiągnięciu limitu ilości dokumentów lub upływie limitu czasu dla wersji darmowej podejmiesz decyzję o zakupie pierwszej licencji.