Czym jest i jak działa RODO?

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i ich swobodnym przepływem to dla wielu polskich przedsiębiorców prawdziwa rewolucja. Wszystko za sprawą przełomowych zmian, jakie za sobą niesie.

Mówiąc w sporym uproszczeniu — RODO na dobre zmieni zasady i reguły przetwarzania danych osobowych. Od 25 maja 2018 r., czyli od chwili wejścia w życie nowych przepisów, firmy będą bowiem przetwarzać dane osobowe w zupełnie inny sposób. Nowym prawem będą objęci mikroprzedsiębiorcy, małe i średnie firmy, ogromne korporacje oraz organy administracji publicznej.

Czym są dane osobowe?

Wyjaśnienie zmian w zasadach przetwarzania danych rozpoczniemy od wytłumaczenia, czym tak naprawdę są same dane osobowe i co w praktyce oznacza ich przetwarzanie. Zgodnie z prawem termin dane osobowe oznacza nie tylko imię i nazwisko, ale również wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. I tak: dane w postaci imienia i nazwiska (np. Jan Kowalski) nie pozwolą zidentyfikować konkretnej jednostki. Osób o identycznych personaliach może być bowiem setki, a nawet tysiące. Powiązanie Jana Kowalskiego z nazwą firmy czy adresem można już określić mianem danych osobowych. Takimi mogą być także informacje dotyczące lokalizacji, statusu majątkowego czy społecznego, a nawet… zdrowia fizycznego i psychicznego.
Przetwarzanie danych jest natomiast każdą czynnością związaną z ich użyciem:

• zbieranie danych,
• przechowywanie danych,
• opracowywanie danych,
• udostępnianie danych.

Po co RODO?

Głównym celem wprowadzenia nowych procedur i czynności jest ujednolicenie i unowocześnienie przepisów dla wszystkich krajów członkowskich Unii Europejskiej. Nowe zasady będą bowiem identyczne we wszystkich państwach należących do UE. Zamierzeniem ustawodawców było także podkreślenie faktu, że ochrona danych osobowych stanowi główne i bezsprzeczne prawo każdego obywatela. Wprowadzając większą transparentność danych oraz szereg istotnych regulacji, RODO będzie skutecznie chronić zwłaszcza interesy osób prywatnych.

Co się zmieni?

Poniżej przedstawiamy najważniejsze zmiany, wynikające z wejścia w życie zapisów RODO.

Odpowiedzialność za przetwarzanie danych

Bezpośrednią odpowiedzialność za przetwarzanie danych (w tym również za złamanie zapisów ustawy) będą ponosić podmioty, które dokonują przetwarzania. Ma to szczególne znaczenie np. w sytuacji, kiedy przetwarzaniem danych w konkretnej firmie zajmuje się zewnętrzny podmiot, a nie stworzona do tego celu wewnętrzna komórka. Powołanie Inspektora Ochrony Danych Osobowych, czy wynajęcie zewnętrznej firmy, nie zwolni przetwarzającego z odpowiedzialności.

Obowiązek zgłoszenia naruszenia

Jeśli w procesie przetwarzania danych dojdzie do naruszenia, które zostanie wykryte, obowiązkiem osoby odpowiedzialnej będzie zgłoszenie tego faktu do właściwego organu nadzoru w ciągu 72 godzin. Ma to szczególne znaczenie w przypadku nadużyć, których efektem może być zagrożenie praw i swobód osób, których dane naruszono.

Zwiększenie praw osób, których dane są przetwarzane

RODO wprowadza szereg nowych praw dla osób, których dane są przetwarzane. Wśród nich znajdują się:

• prawo dostępu do danych,
• prawo korekty niepoprawnych danych,
• prawo bycia zapomnianym,
• prawo niestosowania marketingu bezpośredniego,
• prawo niestosowania automatycznego podejmowania decyzji i profilowania,
• prawo przenoszenia danych.

Szczególnie istotne z punktu widzenia osób fizycznych jest prawo do bycia zapomnianym. Gwarantuje ono możliwość całkowitego usunięcia swoich danych z konkretnej bazy.

Konieczność wyznaczenie Inspektora Ochrony Danych Osobowych

Obecnie w wielu przedsiębiorstwach osobą odpowiedzialną za gromadzenie i przetwarzanie danych jest ABI, czyli Administrator Bezpieczeństwa Informacji. Po wprowadzeniu w życie zapisów RODO, ABI-ego będzie musiał zastąpić odpowiednio przeszkolony Inspektor Ochrony Danych Osobowych. Czy wszystkie firmy będą musiały powołać Inspektora Ochrony Danych Osobowych? Do stworzenia takiego stanowiska będą zobligowane:

• organy lub podmioty publiczne (z wyjątkiem sądów);
• administratorzy i podmioty przetwarzające, których główna działalność opiera się na przetwarzaniu danych wymagających regularnego i systematycznego monitorowania osób, których dane są przetwarzane;
• podmioty przetwarzające, których główna działalność polega na przetwarzaniu szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Konieczność wyrażenia zgody na przetwarzanie danych

Aby administrator danych osobowych mógł przetwarzać dane konkretnej osoby, musi uzyskać od niej wyraźną zgodę na tę czynność. Powinna mieć ona charakter wyraźnego działania – oświadczenia lub potwierdzenia. Także treść i forma formularza zgody na przetwarzanie danych nie mogą budzić wątpliwości co do swojego przeznaczenia.

Zasada określonego celu

Zgodnie z RODO, dane osobowe mogą być pozyskiwane oraz przetwarzane jedynie w konkretnych, prawnie uzasadnionych celach. Zbieranie, gromadzenie oraz przetwarzanie danych w sposób z nimi niezgodny nie będzie więc możliwe. Co ważne, cel przetwarzania danych musi być konkretny i jasno określony już na etapie ich pozyskiwania, a udzielona przez właściciela zgoda obowiązuje wyłącznie do jednego, konkretnego procesu przetwarzania. Konieczności powtórnego przetworzenia danych wiąże się z potrzebą pozyskania kolejnej zgody.

Obowiązek prowadzenie rejestru czynności przetwarzania

Ustawa nakłada na podmioty obowiązek prowadzenia rejestru czynności przetwarzania. Jego prowadzenie będzie niezbędne dla:

• przedsiębiorstw, zatrudniających więcej niż 250 osób,
• firm, przetwarzających wrażliwe dane, czyli dane:
• A. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową;
• B. o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym;
• C. dotyczące skazań, kar, mandatów, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Dotkliwe kary finansowe

Jedną z istotnych zmian, wynikających z wprowadzenia RODO będą dotkliwe kary finansowe dla przedsiębiorców, którzy nie wdrożyli wymaganych procedur lub nie przestrzegają nowych przepisów dot. ochrony danych osobowych. Kary pieniężne mogą wynosić od 10 do 20 mln euro lub od 2% do 4% wartości rocznego światowego obrotu!

Niewielka świadomość zmian

Jak pokazują wyniki badania, przeprowadzonego przez IDC1, prawie 80 proc. osób decyzyjnych z działów IT nie jest w pełni świadomych konsekwencji Rozporządzenia o Ochronie Danych Osobowych lub w ogóle nie słyszało o RODO. Wśród pozostałych badanych jedynie 20 proc. spełnia nowe wytyczne, 59 proc. jest w trakcie prac, mających na celu wdrożenie niezbędnych zmian, a 21 proc. deklaruje, że nie jest na nie przygotowana. Niestety, takie dane nie napawają optymizmem. Zwłaszcza biorąc pod uwagę fakt, że do ostatecznej daty wdrożenia nowych przepisów zostało dosłownie „kilka dni”.