RODO - czym jest RODO i o co tyle zamieszania?

Za powszechnie przyjętym skrótem "RODO" kryje się w rzeczywistości rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W powszechnym obrocie RODO znane jest również pod nazwą GDPR (od angielskiego general data protection regulation).

Od kiedy obowiązuje RODO? RODO weszło w życie już w 2016 r., jednakże uznano (słusznie), iż implementacja jego postanowień, zarówno przez kraje członkowskie Unii Europejskiej (w szczególności organy publiczne), jak i przez jednostki z sektora prywatnoprawnego wymaga czasu. Stąd też stosowanie RODO odroczono do dnia 25 maja 2018 r. i od tego właśnie dnia zobowiązani jesteśmy stosować jego postanowienia.

Kogo dotyczy RODO? Tak jak wskazujemy w innych wpisach - RODO dotyczy zasadniczo każdego polskiego (i unijnego) przedsiębiorcy, a także każdego przedsiębiorcy, który oferuje swoje towary i usługi na terenie Unii Europejskiej. W rozmowach z potencjalnymi klientami słyszymy czasem, że danych osobowych w zasadzie nie przetwarzają - bo np. nie sprzedają niczego konsumentom. Trzeba natomiast pamiętać, że ochroną objęte są również dane osobowe naszych pracowników, współpracowników, dostawców, ich przedstawicieli, a także klientów będących przedsiębiorcami jednoosobowymi, wspólnikami spółki cywilnej oraz dane osobowe wszelkiego rodzaju przedstawicieli (pracowników, prokurentów, wspólników, członków zarządu) naszych klientów. Biorąc pod uwagę powyższe, trudno doprawdy wyobrazić sobie przedsiębiorcę, który danych osobowych nie przetwarza.

Dlaczego o RODO jest tak głośno? Oczywiście z dwóch podstawowych powodów: ze względu na kary za naruszenie jego postanowień (aż do 20 mln EUR, a w przypadku największych przedsiębiorców nawet wyższe - do 4% rocznego światowego obrotu przedsiębiorcy), a także ze względu na obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od wykrycia naruszenia. RODO to jednak znacznie więcej niż kary i obowiązek notyfikacyjny. RODO oznacza konieczność gruntownej zmiany sposobu myślenia o ochronie danych osobowych oraz traktowanie jej w sposób priorytetowy. RODO niesie za sobą szereg obowiązków, o których więcej piszemy w innych wpisach. RODO wprowadza również instytucję pozwów cywilnoprawnych, które wnoszone mogą być przez podmioty danych (osoby, których dane dotyczą) w związku ze szkodą materialną lub niematerialną (krzywdą) poniesioną przez nie w związku z nieprawidłowym lub bezprawnym przetwarzaniem ich danych osobowych.

RODO to przede wszystkim:

  • minimalizacja przetwarzania danych - przetwarzamy jak najmniej, jak najkrócej, jedynie w określonych celach i udostępniamy jak najmniejszej liczbie podmiotów;

  • projektowanie prywatności - uwzględnianie ochrony danych osobowych już na etapie projektowania określonych procesów biznesowych;

  • szacowanie ryzyka związanego z przetwarzaniem danych osobowych - w sposób rzetelny, obiektywny i powtarzalny;

  • rozliczalność - obowiązek wykazania przetwarzania danych osobowych w sposób zgodny z prawem.

Czy RODO należy się bać? I tak i nie. Przedstawiciele Ministerstwa Cyfryzacji przekonują, iż kary za naruszenie wymogów RODO to ostateczność, a przynajmniej w początkowym okresie stosowania RODO przeważać będzie edukacja a nie represja. Czy pomimo powyższych zapewnień Prezes Urzędu Ochrony Danych Osobowych będzie mógł nałożyć na nas karę pieniężną? Oczywiście TAK. Czy w razie nałożenia na nas kary będziemy mogli powołać się na powyższe zapewnienia Ministerstwa Cyfryzacji? Próbować zawsze można, zapewnienia Ministerstwa Cyfryzacji nie mają jednakże jakiejkolwiek mocy prawnej i nie ograniczają możliwości stosowania kar przewidzianych przez RODO. W naszej ocenie bać należy się przede wszystkim roszczeń cywilnoprawnych, z którymi występować mogą osoby, których dane przetwarzamy. Warto mieć na względzie, iż o wniesieniu przeciwko nam powództwa związanego z niezgodnym z prawem przetwarzaniem danych osobowych sąd powiadomić będzie zobowiązany Prezesa Urzędu Ochrony Danych Osobowych. Wydaje się, że w pierwszym okresie stosowania RODO kontrole Prezesa Urzędu Ochrony Danych Osobowych (PUODO) wszczynane będą przede wszystkim w związku z pozwami wnoszonymi do sądów przez podmioty danych, a także w związku ze skargami składanymi bezpośrednio do PUODO przez podmioty danych. Odpowiadając na wcześniej postawione pytanie, to z RODO jest podobnie jak z górami czy jazdą samochodem w ulewie nocą: trochę bać się chyba jednak warto, nie warto natomiast na pewno wpadać w popłoch czy panikę. Stan przygotowania przedsiębiorstwa do wymogów RODO oraz zakres działań, które warto podjąć by zapewnić przetwarzanie danych osobowych zgodne z RODO, dobrze skonsultować z kancelarią prawną oraz obsługą IT, specjalizującymi się w tematyce ochrony danych osobowych.  

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Obowiązek informacyjny RODO.

Rejestr czynności przetwarzania danych osobowych.

Analiza ryzyka.

Kary pieniężne wynikające z RODO.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

Zgoda wg RODO.

Kontrola zgodności z RODO.

Środki naprawcze wg RODO.

Polityka ochrony danych osobowych

Powierzenie przetwarzania danych osobowych.

Data publikacji: 03.08.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz