RODO – ryzyko czy szansa dla przedsiębiorcy ?

Rozporządzenie Ogólne o Ochronie Danych Osobowych tzw. RODO lub GDPR (General Data Protection Regulation) z perspektywy wielu przedsiębiorców jawi się jako następna formalność stawiania przez rządzących lub wręcz jako zagrożenie dla prowadzonej działalności, któremu należy przeciwdziałać. Zapewne dla innych przedsiębiorców problematyka RODO jest odległa, gdyż wychodzą z założenia, że pewnie to ich nie dotyczy lub „niech zajmą się za tych dużych”.

Niestety oba te zapatrywania są bardzo mylne i mogą prowadzić do nałożenia na nierozważnych przedsiębiorców dotkliwych sankcji, w tym kar nawet do 20 milionów euro lub do wysokości 4 % całkowitego rocznego obrotu. Do podjęcia działania jednak nie zostało wiele czasu, gdyż przepisy RODO zostaną stosowane już od dnia 25 maja 2018r.

Czym jest RODO?

Pod akronimem RODO kryje się Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. RODO w krajowym porządku prawnym zastąpi regulacje zawarte w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Na mocy czekających na wprowadzenie przepisów zostaną na administratorów danych nałożone nowe obowiązki, a to np. uzyskania zgody klientów / kontrahentów na przetwarzanie ich danych osobowych, a samo zapytanie o zgodę musi być złożone w formie łatwej do zrozumienia i odróżnienia od pozostałych informacji. Oznacza to, iż wielu przedsiębiorców będzie musiało odpowiednio zmienić formularze zgód, którymi się posługują. Przedsiębiorca ma obowiązek na żądanie klienta poprawić, przenieść lub usunąć (prawo do bycia zapomnianym) jego dane, a klient ma prawo cofnąć wyrażoną zgodę lub wnieść sprzeciw w stosunku do przetwarzania jego danych osobowych.

W stosunku do kogo znajduje zastosowanie RODO?

Wbrew obiegowej opinii regulacje ochrony danych osobowych zawarte w  tzw. RODO znajdują zastosowanie do bardzo szerokiego grona podmiotów. Aby ustalić czy RODO znajduje zastosowanie do konkretnego przedsiębiorcy należy odpowiedzieć na pytanie czy przetwarza dane osobowe? Pod pojęciem danych osobowych na gruncie RODO kryją się informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności imię, nazwisko, numer identyfikacyjny, identyfikator internetowy, dane lokalizacji lub informacje określające jego wygląd fizyczny, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość. W związku z tym jako dane osobowe mogą być postrzegane nie tylko imię nazwisko i numer PESEL lub NIP, ale także adres mail lub zapis obrazu na monitoringu. Jako administratora danych na gruncie RODO kwalifikuje się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe. Znając już powyższe kryteria można wskazać, iż z pewnością pod przepisy RODO podlegają nie tylko wielkie przedsiębiorstwa zarządzające bazami danych jak np. Facebook, ale także mniejsi przedsiębiorcy jak np. biura podróży, kwiaciarnie, które z okazji Walentynek wysyłają mailem do swoich klientów oferty na czerwone róże, kawiarnie i restauracje, które za pośrednictwem newsletterów informują klientów o nowym menu, w związku z tym, znajduje zastosowanie także względem jednoosobowych działalności gospodarczych.

RODO – ryzyko czy szansa dla przedsiębiorcy?

Odpowiadając na zadane pytanie warto w pierwszej szczególności poddać analizie dotychczasowe obowiązki przedsiębiorców z zakresu ochrony danych osobowych. Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych gromadzone dane osobowe w systemie informatycznym, muszą być po pierwsze zabezpieczone zgodnie z wymaganiami technicznymi opisanymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004r.  w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – poziom wysoki – m.in.  obowiązek rejestracji z loginu i hasła każdego odrębnego użytkownika (pracownik), który dokonuje czynności w bazie danych.  Hasło ma się składać z 8 znaków dużych, małych liter, cyfr i znaków specjalnych. System ma być zabezpieczony przed wirusami i utratą danych na skutek awarii zasilania. Połączenia z Internetem muszą być szyfrowane, a sama baza danych musi być zabezpieczona mechanizmami logicznej ochrony. Należy mieć na uwadze, obowiązki wynikające z samej ustawy o ochronie danych osobowych tj. m.in. obowiązki w zakresie zarejestrowania bazy danych osobowych w GIODO (Generalny Inspektor Ochrony Danych Osobowych) wraz z dokumentowaniem każdej dokonywanej czynności przetwarzania danych osobowych w zbiorze danych.

RODO nie przewiduje kazuistycznie określonych metod ochrony danych osobowych, tak jak dotychczasowa ustawa.  Nowa regulacja nakładać będzie na administratora danych jedynie obowiązek samodzielnego zaprojektowania systemu ochrony danych osobowych. System ochrony danych osobowych względem każdego z osobna przedsiębiorców będzie się różnić w zależności od skali i celu przetwarzania danych osobowych oraz możliwości technicznych i finansowych danego przedsiębiorcy.

Co istotne, RODO wprowadza zasadę „rozliczalności” przedsiębiorcy z wprowadzonych metod ochrony danych osobowych. Oznacza, to iż na żądanie organu kontrolnego tj. Urzędu Ochrony Danych Osobowych przedsiębiorca będzie musiał wykazać, iż podjął niezbędne kroki w celu ochrony danych osobowych. Wśród tych niezbędnych kroków wskazać można opracowanie wewnętrznych dokumentów tj. kodeksu postępowania z danymi osobowymi lub oceny skutków dla ochrony danych osobowych, a także opinii prawnej kancelarii adwokackiej, gdzie zawarte będą wprowadzone przez przedsiębiorcę mechanizmy ochrony danych osobowych. W opracowaniu takich dokumentów lub mechanizmów z pewnością pomocna będzie fachowa obsługa adwokata, która zagwarantuje, iż przepisy RODO stworzą szansę do opracowania systemu ochrony danych osobowych w sposób prostszy, bardziej przejrzysty, a w konsekwencji także bardziej ekonomiczny do wprowadzenia niż przewidziany przez obecne przepisy.

Podsumowując, mając fachową pomoc prawną, nie taki diabeł straszny jak go malują.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *