Od kilku miesięcy, regularnie jesteśmy zalewani informacjami (często sprzecznymi) o przepisach RODO, a poczta zapełnia się mailami o nowych politykach prywatności. Tymczasem większość małych i średnich firm nie zdaje sobie sprawy z tego, czym jest RODO ani czego dotyczy.

Czy jest się czego obawiać? Sprawdź z nami RODO, zanim nowe przepisy zaczną obowiązywać 25 maja 2018 r. 

Przez najbliższe dni przeprowadzimy Was przez najważniejsze zagadnienia związane z RODO.
Dzisiaj krok 1 – co powinieneś wiedzieć o RODO

RODO na skróty
• Skrót RODO oznacza Rozporządzenie o Ochronie Danych Osobowych, tj. Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

• Wprowadzenie RODO jest odpowiedzią na szybki postęp techniczny i rozwój technologii internetowych, które niosą ze sobą realne zagrożenia dla osób fizycznych, jak kradzież danych osobowych służąca np. wyprowadzeniu środków z konta bankowego.

• Regulacje RODO dotyczą ochrony danych osobowych i ich przetwarzania przez podmioty profesjonalne. Nie dotyczą przetwarzania danych osobowych przez osoby fizyczne w celach prywatnych.

• Unijne rozporządzenie zacznie obowiązywać 25 maja br. i zastąpi polską ustawę o ochronie danych osobowych z 1997 r.

Każdy przedsiębiorca przetwarza dane osobowe
Część przedsiębiorców na pewno zastanawia się, czy przetwarza dane osobowe i w związku z tym, czy należy interesować się tą tematyką. Odpowiedź jest prosta: każdy przedsiębiorca przetwarza dane osobowe. Począwszy od danych osobowych swoich pracowników, kończąc na informacjach dotyczących klientów.

„Dane osobowe” oznaczają informacje zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to taka, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Dane osobowe to – ogólnie rzecz biorąc – wszystkie informacje, które pozwalają zidentyfikować konkretną osobę. Obok imienia i nazwiska, loginu do konta w banku, wymyślonego pseudonimu, informacji o tym, gdzie dana osoba przebywa danymi osobowymi mogą być także wizerunek osoby fizycznej, np. zdjęcie przedstawiające konkretną osobę czy informacja do jakiej grupy społecznej należy dana osoba.

Natomiast przetwarzanie danych osobowych oznacza wszystkie operacje (czynności) wykonywane na nich, co szczegółowo wymienia RODO: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Nie ma przy tym znaczenia narzędzie, jakiego w tym celu używamy. Niezależnie, czy zapisujemy imiona i nazwiska na kartce papieru, czy wprowadzamy dane do komputera, które następnie zapisujemy „w chmurze” (na dysku zewnętrznym), już dokonujemy czynności z danymi osobowymi.

Zatrudniam pracowników – podlegam RODO
Jak łatwo zauważyć -  posiadanie jakichkolwiek danych osobowych obliguje przedsiębiorcę do stosowania przepisów RODO. Oczywistym przykładem przetwarzania takich danych w firmie są czynności związane z zatrudnianiem pracowników. Inny przykład może stanowić tworzenie bazy danych klientów lub kontrahentów – wpisywanie informacji o nich w popularnym pliku Excel to nic innego jak przetwarzanie danych osobowych. Podstawowe pytanie, na które każdy przedsiębiorca powinien odpowiedzieć przed 25 maja 2018 r., brzmi: czy przetwarzam dane osobowe zgodnie z przepisami RODO?

Odpowiedź jest o tyle istotna, że nieprzestrzeganie przez przedsiębiorców przepisów RODO może wiązać się ze sporą odpowiedzialnością finansową. Przepisy rozporządzenia przewidują administracyjne kary pieniężne w wysokości od 10 000 000 mln euro (lub 2% całkowitego obrotu z roku poprzedniego) do 20 000 000 mln euro (lub 4% całkowitego obrotu z roku poprzedniego) w zależności od tego, które przepisy rozporządzenia zostaną naruszone. Warto przy tym zauważyć, że kary pieniężne mają być skuteczne, proporcjonalne i odstraszające.

Nie takie RODO straszne...
Czy należy zatem obawiać się przepisów RODO i wysokich kar finansowych? Niekoniecznie. Co prawda, wdrożenie przepisów RODO może nastręczać pewnych trudności, ale praca związana z wdrożeniem przepisów RODO w przedsiębiorstwie wykonana raz powinna zabezpieczyć przedsiębiorcę przed odpowiedzialnością opisaną w przepisach rozporządzenia. Co do czynności, które należy podjąć celem wdrożenia RODO to są to m. in. pozyskanie zgody na przetwarzanie danych osobowych, inwentaryzacja własnych zasobów danych osobowych, wdrożenie dokumentacji i procedur opisujących politykę ochrony danych osobowych. Należy także sporządzić rejestr czynności przetwarzania danych oraz podpisać umowy dotyczące powierzenia danych osobowych.

RODO wprowadza również prawo osoby fizycznej do tzw. bycia zapomnianym i do wglądu w historię przetwarzania danych, które również rodzą pewne obowiązki po stronie przedsiębiorcy. Trzeba mieć na uwadze, że przewidziane w rozporządzeniu kary administracyjne mają być nakładane przez organ nadzorczy oprócz lub zamiast innych środków opisanych w rozporządzeniu, takich jak wydanie ostrzeżenia czy udzielenie upomnień administratorowi danych osobowych w związku z naruszeniem. Organ nadzorczy przed wydaniem decyzji o nałożeniu administracyjnej kary pieniężnej, decydując, czy w ogóle ją nałożyć, obowiązany jest rozważyć indywidualnie m.in. charakter naruszenia, jego umyślność czy stopień współpracy z organem nadzorczym w celu usunięcia naruszenia i złagodzenia jego ewentualnych skutków. Zatem należałoby uznać, że owszem istnieje zagrożenie ukarania przedsiębiorcy administracyjnymi karami pieniężnymi, natomiast jest ono o wiele mniej realne niż chociażby zagrożenie ze strony różnego rodzaju oszustów żerujących na niskiej świadomości prawnej przedsiębiorców.

Czego tak naprawdę powinniśmy się bać?
Nowe przepisy dotyczące ochrony danych osobowych zintensyfikowały działania przestępców działających np. przez internet. Już teraz przedsiębiorcy otrzymują SMS-y i wiadomości e-mail, w których oszuści próbują wymóc na odbiorcach pobranie nowej aktualizacji oprogramowania w związku z wejściem w życie RODO, instalację certyfikatu lub zakup oprogramowania rzekomo wymaganego przez nowe przepisy RODO. Oczywiście wszystkie te działania zmierzają do wyłudzenia od przedsiębiorców pieniędzy, względnie udzielenia dostępu do wykorzystywanego sytemu komputerowego i następnie wyłudzenia pieniędzy. Do wszelkich tego typu informacji należy podchodzić z daleko posuniętą ostrożnością. Należy pamiętać, że przepisy RODO nie przewidują obowiązku podejmowania tego typu działań.

Chcąc uchronić się przed karami finansowymi za nieprzestrzeganie przepisów o ochronie danych osobowych i przed próbami oszustw i wyłudzeń, każdy przedsiębiorca powinien zapoznać się z przepisami RODO, a następnie wdrożyć je w swoim przedsiębiorstwie. Wszystkim tych, którzy obawiają się, że nie zdołają przystosować firmy do przepisów RODO, polecam skontaktować się z prawnikiem – adwokatem lub radcą prawnym, który zajmuje się tematyką ochrony danych osobowych. Prawnik pomoże zapoznać się z obowiązującymi przepisami, a także spełnić wymagania stawiane przedsiębiorcom.

adw. Karolina Szmit

Masz pytanie? Skontaktuj się: tel. 601 530 742 lub mailowo: karolina.szmit@kancelariakrs.pl