Już 25 maja 2018 r. wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Nowe przepisy dotyczą każdego podmiotu działającego na terenie UE, począwszy od jednoosobowych działalności gospodarczych po duże międzynarodowe korporacje. Nowe przepisy wprowadzają szereg obowiązków, nowe rodzaje odpowiedzialności, ale też sankcje finansowe – mówi w rozmowie z Prestiżem Eliza Łuczkiewicz z Lex Educatio, firmy szkoleniowo - doradczej.
RODO – jest się czego bać?
RODO definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w mocno odmienny sposób niż dotychczas. Nowe przepisy wprowadzają zarówno bardzo dużo zmian, jak i nowości, a co za tym idzie na przedsiębiorcę spadnie sporo nowych wymagań oraz obowiązków, o których bardzo duża liczba przedsiębiorców nie zdaje sobie na ten moment sprawy. Zatem jeśli Twoje przedsiębiorstwo choćby w minimalnym stopniu zbiera, przechowuje, przesyła dane osobowe, to rozporządzenie dotyczy również Twojej firmy. Dlaczego? To proste – RODO dotyczy absolutnie każdego podmiotu, który przetwarza dane osobowe w innym celu niż domowy, czy osobisty. Każdego, czyli zarówno wielkie korporacje, jak i mikro przedsiębiorstwa czy organizacje pozarządowe.
Co to są dane osobowe, co oznacza ich przetwarzanie?
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czyli jej imię i nazwisko, imienny adres email, pesel, adres zamieszkania, czy dane biometryczne, które są nowością w RODO, ponieważ do tej pory takie dane nie były przez nas przetwarzane. Przykładem takich danych będzie nasz odcisk palca czy zdjęcie twarzy przy logowaniu się do komputera czy telefonu. Ponadto, danymi osobowymi będą również adresy IP, czy numer księgi wieczystej. Również danymi osobowymi będą nasze poglądy polityczne, pochodzenie rasowe, wiara, stan zdrowia, nałogi. One będą stanowiły katalog danych osobowych wrażliwych.
Jakie obowiązki ma przedsiębiorca w związku z wprowadzeniem RODO?
Nowe przepisy w całości przerzucają odpowiedzialność za wdrożenie procedur ochrony danych na przedsiębiorcę. Przedsiębiorca będzie musiał w momencie gromadzenia danych osobowych poinformować w sposób zrozumiały i zwięzły dla każdej osoby o miejscu przetwarzania danych, celu, podmiotach, którym nasze dane mogą zostać udostępnione oraz o prawach, jakie nam w związku z tym przetwarzaniem przysługują. Będzie on musiał w momencie gromadzenia danych osobowych poinformować w sposób zrozumiały i zwięzły dla każdej osoby o miejscu przetwarzania danych, celu, podmiotach, którym nasze dane mogą zostać udostępnione oraz o prawach, jakie nam w związku z tym przetwarzaniem przysługują. Przedsiębiorca zobowiązany będzie dopełnić obowiązku informacyjnego, jak i podawać podstawy prawne tego, na jakiej podstawie przetwarzać będzie nasze dane. Pamiętajmy, że po 25 maja osoba fizyczna uzyskuje cały pakiet praw, którymi może się posługiwać w celu zapewnienia ochrony i możliwości świadomej kontroli nad tymi danymi. RODO wprowadza również obowiązek ciążący na przedsiębiorcach, czyli Administratorach Bezpieczeństwa Informacji, związany ze zgłaszaniem w ciągu 72 godzin od wykrycia jakiegokolwiek przypadku naruszeń, które mogłyby w jakikolwiek sposób zagrozić swobodzie osób, których dane zostały naruszone.
Co RODO oznacza dla instytucji, która musi dokonać jego wdrożenia?
Przedsiębiorca będzie zmuszony zidentyfikować każdy proces zachodzący w jego firmie, w którym pojawiają się dane osobowe, a następnie znaleźć podstawę prawną potrzebną przy ich przetwarzaniu. Kolejno, istotnym działaniem jest opracowanie klauzul informacyjnych dla osób, których dane będą przez nas przetwarzane.
Co grozi przedsiębiorcom za niedostosowanie się do RODO?
Rozporządzenie przewiduje 2 pułapy kar, w zależności od poziomu naruszenia. W pierwszym pułapie wysokość kar dochodzi do 10.000.000 EUR, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Drugi pułap jest znacznie wyższy, bo tam poziom kar to wysokość do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Oczywiście poziom kar finansowych będzie zależał od poziomu przewinienia danej instytucji oraz od jej wielkości. Natomiast należy pamiętać jeszcze o jednym. Poza karami finansowymi, organ nadzorujący i kontrolujący może wydać postanowienie o wstrzymaniu przetwarzania danych osobowych w naszej firmie, co oznaczać będzie, że zbierane przez nas dane osobowe będą np. czasowo „ zamrożone”.
Za co konkretnie może zostać przedsiębiorca ukarany?
Kary będą m.in. za wycieki danych, brak spełnienia obowiązku informacyjnego, bezprawne udostępnianie innym podmiotom danych.
Jak się przygotować do wprowadzenia w życie RODO?
Przede wszystkim wybierz odpowiedni sposób wdrożenia przepisów. Nowe przepisy można oczywiście wprowadzić przy pomocy własnych pracowników. Niemniej jednak alternatywną opcją jest wybór firmy zewnętrznej, posiadającej odpowiednie narzędzia, zasoby osobowe o odpowiednich kompetencjach. Ochrona danych osobowych wg RODO nie oznacza wykonania kilku ogólnie określonych czynności, a raczej zaprojektowanie pełnego systemu ochrony, zarówno pod względem formalno-prawnym,
jak i teleinformatycznym.