RODO w praktyce, czyli wszystko co musisz wiedzieć

RODO to słowo, które wielu z Was na pewno spędzało sen z powiek w ostatnich miesiącach, a części zapewne spędza go po dziś dzień. W połowie roku ustawa o ochronie danych osobowych dosłownie zatrzęsła polskimi firmami i instytucjami, które zobowiązane zostały do przestrzegania nowych zasad uchwalonych przez Parlament Europejski. Wiele osób jednak wciąż nie do końca rozumie o co chodzi z tym całym RODO, jaki ma wpływ na nasze codzienne życie, w jaki sposób zmieniły się zasady przetwarzania danych osobowych, jakie prawa zyskali zwykli ludzie, a jakie obowiązki spoczywają teraz na instytucjach pobierających nasze dane.

Z tego artykułu dowiesz się m.in:

• Co to jest RODO
• Kiedy uchwalono RODO,
• Kogo dotyczy RODO,
• Jakie kary grożą za nieprzestrzeganie RODO,
• W jaki sposób pobierać zgodę na przetwarzanie danych osobowych,
• Na czym polega personalna odpowiedzialność szefa instytucji,
• Kim jest Inspektor Danych Osobowych.

Kogo dotyczy nowa ustawa o ochronie danych i czy należy się bać? Wszystko co, co powinieneś wiedzieć o RODO znajdziesz w tym artykule, do którego lektury serdecznie zapraszamy.

Uchwalenie RODO przez Unię Europejską

Na początek kilka faktów, które na pewno uporządkują naszą wiedzę na temat RODO, czyli Ogólnego Rozporządzenia O Ochronie Danych. Jest to zbiór zasad, który mają kierować się instytucje na terenie Unii Europejskiej w zakresie przetwarzania, przechowywania, rozporządzania danymi osobowymi. Głównym celem uchwalenia RODO był zharmonizowanie prawa na terenie wszystkich państw członkowskich UE. Jest to z założenia więc projekt, który ma usprawnić pracę firm działających na skalę międzynarodową. Od momentu wejścia w życie uchwały przedsiębiorstwa te nie będą musiały stosować innych zasad zbierania danych osobowych w zależności od kraju, na terenie którego aktualnie prowadzi się działalność. RODO zostało uchwalone przez Parlament Europejski 27 kwietnia 2016 roku (tutaj pełna treść uchwały – KLIK), a zaczęło prawnie obowiązywać na terenie całej Unii po okresie próbnym dwóch lat, a dokładnie 25 maja 2018 roku. Wtedy to też, również u nas w Polsce wielu przedsiębiorców zaczęło się poważnie zastanawiać nad tym, czy czasem nie łamią prawa podczas wykonywania swych codziennych obowiązków i realizacji zleceń dla klientów. Co się zmieniło po wejściu w życie zasad RODO? Postaramy się odpowiedzieć na to pytanie.

(Przepisy RODO wprowadziły niemało zamieszania)

Ustawa RODO o ochronie danych osobowych – dostosowanie prawa krajowego do RODO

W Polsce nad zapisami RODO i dostosowywaniem obowiązującego prawa do zapisów rozporządzenia UE pracowało Ministerstwo Cyfryzacji. Zwieńczeniem jej prac było uchwalenie przez Sejm Rzeczypospolitej Polskiej 10 maja 2018 roku ustawy o ochronie danych osobowych (treść ustawy tutaj: KLIK), która sprawiła, że polskie prawo zostało uporządkowane w taki sposób, aby umożliwić wprowadzenie do ogólnego obiegu zasad RODO. Jedną z najważniejszych zmian, jakie wprowadziła w życie ta ustawa jest zastąpienie Generalnego Inspektora Ochrony Danych Osobowych nowym urzędem tj. Prezesem Urzędu Ochrony Danych Osobowych.

Zgoda na przetwarzanie danych osobowych a RODO

Jednym z najważniejszych punktów RODO, które wprowadziły bardzo dużo zamętu w rodzimych przedsiębiorstwach była procedura zdobywania zgody na przetwarzanie danych osobowych. Wszyscy dobrze znamy ten temat, wszak każdy z nas niejednokrotnie udzielał takich zgód przy najrozmaitszych okazjach: podczas wypełniania formularzy, zakupów online, rejestracji w serwisach itd. W zasadzie można uznać, że robiliśmy to niejako z automatu, nawet bez czytania dołączonych do formularza regulaminów. Kiedy RODO wchodziło w życie pojawiło się wiele plotek, a większość z nich dotyczyła właśnie zgody na przetwarzanie danych osobowych. Mówiło się wiele o bajońskich sumach, które grożą jako kary za niezgodne z RODO pobieranie danych osobowych. Czytając różnego typu wątki w internecie co rusz natrafia się na nie mające oparcia w faktach rewelacje dotyczące surowych restrykcji RODO. Jak jest więc naprawdę z pobieraniem zgody na przetwarzanie danych osobowych w kontekście RODO.

Jest kilka punktów, których należy bardzo mocno przestrzegać w kontekście RODO i pobierania danych osobowych. Jeśli prowadzimy stronę internetową, biznes online lub w jakikolwiek innych sposób pobieramy dane osobowe musimy przestrzegać tych kilku zasad:

1. Pobieranie danych musi odbywać się za zgodą osoby zainteresowanej. Jeśli więc chcemy pozyskać od kogoś dane osobowe (np. adres e-mail podczas pobieranie e-booków) musimy mieć jego całkowitą i świadomą zgodę.
2. Zgoda ta musi być konkretna i specyficzna tj. dotyczyć konkretnego przypadku użycia danych osobowych, a nie całego zakresu przypadków bądź przypadków, o których użytkownik danych nie jest informowany, a jedynie zezwala na ich przetwarzanie w określonym czasie,
3. Osoba udzielająca zgody na przetwarzanie danych osobowych musi być świadoma tego, co robi. Wbrew pozorom ten punkt ma bardzo duże znaczenie dla wszelkiego rodzaju biznesów internetowych, gdzie jak wspomniałem wcześniej, przyzwyczajono użytkowników do automatycznego klikania we wszelkiego zgody.
4. Warunkiem koniecznym jest również proste wycofanie udzielonej zgody na przetwarzanie danych. Jeśli więc tylko wyrazimy taką chęć powinniśmy w sposób szybki i łatwy móc wycofać naszą zgodę, a administrator danych nie ma prawa nam tego utrudniać bądź uniemożliwiać.
5. Administrator musi również za każdym razem, podczas pobierania danych wyjawić swoje dane i tożsamość, tak aby przestał być osobą anonimową, a każdy zainteresowany wiedział dokładnie, na czyje ręce składa swoje dane osobowe,
6. Administrator za każdym razem zobowiązany jest poinformować o celu zbierania danych. Czy będą to cel reklamowe? A może w przyszłości wysłany zostanie newsletter? To wszystko musi zostać wyjaśnione,
7. Jeśli podczas procesu przetwarzania danych osobowych występują sytuacje, w których dane są wysyłane do krajów trzecich (w przypadku korporacji bardzo częste) lub są poddawane automatycznym procesom (marketing internetowy, dobór grup docelowych z wykorzystaniem narzędzi), wówczas należy użytkownika poinformować o tym fakcie.

Jak widać liczba zasad, których należy przestrzegać po wejściu w życie RODO jest naprawdę spora, choć przyznać trzeba, że wiele z nich już wcześniej było stosowanych przez większość administratorów. Teraz ta sytuacja zostanie poddana harmonizacji na wszystkich, co w gruncie rzeczy jest pozytywnym aspektem wejścia w życie rozporządzenia. Co jednak z tymi danymi osobowymi, które pozyskane zostały, za zgodą użytkownika, przed 25 maja 2018 roku? Jak mają zachować się administratorzy, którzy posiadają dane użytkowników np. utworzonego przez siebie forum internetowego lub sklepu online?

Dane osobowe zebrane przed RODO – co z nimi?

Pamiętajmy, że przetwarzanie danych osobowych to nie tylko ich wykorzystywanie w celach reklamowych, marketingowych, sprzedażowych ale również zwykłe przechowywanie. Jeśli więc dysponujemy danymi naszych użytkowników zebranymi przed 25 maja 2018 roku musimy poważnie zastanowić się nad tym, czy w ogóle mamy prawo to robić. Kary bowiem są wysokie (o czym nieco później), a zgodnie z prawem przechowywać możemy tylko te dane zebrane przed RODO, które zostały pozyskane zgodnie z zasadami RODO. Oznacza to ni mniej, ni więcej niż to, że w świetle nowych regulacji powinniśmy, jeśli zachodzi taka konieczność, wszystkich właścicieli posiadanych przez nas danych jeszcze raz poprosić o zgodę na przetwarzanie danych osobowych. Brzmi niewykonalne? To między innymi dlatego RODO tak mocno namieszało wielu przedsiębiorcom w ich planach w połowie tego roku. Wszystko dlatego, że jak mówi stara zasada wywodząca się jeszcze z prawa rzymskiego Lex retro non agit, czyli prawo nie działa wstecz. Kierując się tą regułą, dane zebrane za zgodą użytkownika przed 25 maja powinny być dalej pełnoprawną własnością administratora danych, który je pobrał.

Jak jest w rzeczywistości. Otóż zgodnie z zapisami RODO, jeśli pozyskaliśmy dane od użytkowników przed 25 maja to wydana wówczas zgoda wciąż obowiązuje. Wyjątkiem są wszelkie sytuacje, w których udostępnione dane administrator zamierza wykorzystać w innym celu niż poinformowany został o tym użytkownik. Wówczas zezwolenie na wykorzystanie danych osobowych musi zostać uzyskane raz jeszcze. Dodatkowo pozyskane wcześniej dane można wykorzystywać tylko i wyłącznie w zgodzie z regulacjami RODO.

Dane, których od wprowadzenia RODO przetwarzać nie można

To, o czym pamiętać należy to fakt istnienia w świetle nowego prawa takiego rodzaju danych, których przetwarzanie jest zakazane. Są to dane, których wykorzystanie jest zabronione, więc jeśli pozyskaliśmy je przed wprowadzeniem RODO do Polski i UE powinniśmy się ich pozbyć i zaprzestać ich pobierania. Mowa tutaj m.in. o pochodzeniu etnicznym użytkowników, rasowym, upodobaniach religijnych lub seksualnych, a także zdrowotnej sytuacji właściciela danych. Jeśli więc Twoja działalność gospodarcza polega np. na sprzedaży online przedmiotów służących praktykom religijnym (krzyże, modlitewniki, różańce), musisz poważnie zastanowić się nad sposobem w jaki zbierasz dane swoich klientów.

Udostępniane, usuwanie lub przenoszenie danych na życzenie klienta

RODO wprowadziło jeszcze jedną bardzo istotną zmianę, która sprawia, że wielu przedsiębiorców złapało się za głowę na samą myśl, o tym ile pracy może im nowe prawo dołożyć. Na szczęście, jak pokazują pierwsze miesiące działania nowych regulacji, jakoś sobie z nowymi rozporządzeniami radzimy. Wspomnianą zmianą jest fakt, że osoba udostępniająca swoje dane jakiemukolwiek podmiotowi ma prawo zażądać w każdej chwili ich:

1. Udostępnienia – każdy z nas może zawsze zadać pytanie o to, jakie dana instytucja czy firma posiada na nasz temat, mówiąc wprost co na nas mają,
2. Przenoszenia – zawsze możemy poprosić o przeniesienie tych danych do innej instytucji, w formie możliwej do odczytania (zapis pliku) np. między urzędami,
3. Usunięcia – jeśli nie chcemy dłużej widzieć swoich danych osobowych w archiwach danej instytucji wystarczy, że zgłosimy ten fakt, a administrator danych powinien niezwłocznie je skasować.

Sprawia to, że jednostka zyskuje bardzo duże prawa po wejściu w życie RODO. Wcześniej przez myśl wielu ludziom nie przechodziło nawet by jakaś wielka firma pofatygowała się by spośród milionów zebranych danych wyszukać właśnie nasze i usunąć. Dziś jest do tego prawnie zobligowana. Od strony przedsiębiorców nie wygląda to jednak tak kolorowo. Jeśli bowiem ktoś z użytkowników sklepu internetowego wystosuje prośbę o usunięcie wszystkich swoich danych z bazy sklepu, trzeba będzie poświęcić sporo czasu na wyszukanie ich w systemach. A jak wiadomo w biznesie czas to pieniądz. Co gorsza, niezastosowanie się do tych przepisów grozi surowymi karami. Jakimi?

Kary za nieprzestrzeganie RODO

Kary za brak przestrzegania RODO to coś, czego rodzimy przedsiębiorcy najbardziej się obawiają. Nic dziwnego. W ogólnym chaosie, jaki nastał w czasie bezpośrednio przed wejściem w życie nowych regulacji dotyczących danych osobowych wiele osób zupełnie nie rozumiało, co oznaczają nowe zapisy prawne. Ludzie nie mieli więc pojęcia jak się do nich stosować. Na wieść o milionowych karach ciarki przechodziły im po skórze. Jak bowiem bronić się przed karą, gdy nawet nie rozumiemy za co można ją dostać!? A kary są niemałe. Różnią się w zależności od tego, czy mamy do czynienia z prywatną firmą czy instytucją Państwową. W tym pierwszym przypadku kary za niestosowanie RODO są wręcz zatrważające bo mogą wynieść nawet 20 milionów euro! Tak wysokie kary czekają jednak tylko na największe przedsiębiorstwa niestosujące się do nowych zasad pobierania danych. Generalnie kary wynosić mają od 2 do 4% rocznego obrotu firmy na terenie całego świata (nie tylko Unii Europejskiej) lub od 10 do 20 milionów euro. Zapis, że kara dotyczy całego globu jest bardzo istotny, ponieważ marki takie jak Coca Cola czy Facebook, działające na całym świecie generują wielokrotnie wyższe obroty niż tylko na terenie Unii Europejskiej. Takie 4% od światowego obrotu dla PEPSI czy Adidasa za nieprzestrzeganie RODO np. w Bułgarii może poważnie naruszyć finanse firmy. Dlatego też przedsiębiorstwa bardzo mocno przykładają się do przestrzegania i zapoznania swoich pracowników z nowymi przepisami.

Jeśli zaś chodzi o instytucje administracji publicznej, które w sposób niezgodny z prawem przetwarzały nasze dane to dla nich kary przewidziano znacznie mniejsze niż dla biznesu. Przewidziane kary to 100 tysięcy złotych w zależności od skali naruszenia przepisów. Można więc śmiało stwierdzić, że w porównaniu do firm prywatnych administracja państwowa lekką ręką przejdzie przez RODO w przypadku nieprawidłowego zarządzania danymi osobowymi.

Poza samymi karami, które istotnie są bardzo wysokie ciekawe jest również to, kto bezpośrednio będzie ukarany.

Kto odpowiada za brak RODO – kogo spotka kara?

To, co jest bardzo mocno akcentowane podczas wprowadzania RODO w życie to fakt, że za jego funkcjonowanie w firmie czy instytucji odpowiada bezpośrednio szef firmy lub osoba zarządzająca danym urzędem. Jest to więc pewnego rodzaju nowość w prawie. Nawet jeśli właściciel firmy przekaże innej firmy za pomocą outsourcingu lub wewnątrz firmie (osobie mu podległej) obowiązki w zakresie przetwarzania i zbierania danych osobowych to i tak on sam, personalnie odpowiada za to, aby przypilnować by wszystko przebiegło zgodnie z nowym prawem. Śmiało możemy stwierdzić, że jest to jeden z tych zapisów nowych regulacji, które zjeżyły włos na głowie prezesom dużych spółek jak i tym, którzy zarządzają mniejszymi firmami. Jak widać RODO wprowadza niemałe zmiany, a nad ich przebiegiem czuwać będzie nowa jednostka administracyjna – Inspektor Ochrony Danych.

(RODO w szczególności martwi małych przedsiębiorców)

Inspektor Ochrony Danych – kim jest?

Nowe regulacje to również nowe jednostki administracyjne. Nie tylko wspomniany już przez nas wcześniej Prezes Urzędu Ochrony Danych Osobowych ale również Inspektor Ochrony Danych, który zastąpił Administratora Bezpieczeństwa. W przypadku Inspektora Ochrony Danych jest to osoba, wyznaczona z ramienia firmy bądź instytucji do zajmowania się ochroną danych zbieranych i przetwarzanych przez firmę. Taką osobę w firmie należy powołać zawsze, gdy główna działalność firmy polega właśnie na przetwarzaniu danych osobowych. Na pewno więc wszystkie większe agencje marketingu internetowego, które bazują na wielu danych powinny zadbać o utworzenie w firmie takiej jednostki i powierzenie jej nowych zadań. Zapewne w wielu firmach odbędzie się to na zasadzie łączenia obowiązków.

Ważne jest, aby Inspektora Ochrony Danych posiadała każda instytucja pracująca na przetwarzanych danych, a nie tylko administrator. Jeśli więc jako administratorzy przekazujemy zewnętrznej firmie dane naszych klientów, to ta zewnętrzna firma również powinna posiada wśród swoich pracowników Inspektora Ochrony Danych. Więcej na temat IOD przeczytacie na stronie Urzędu Ochrony Danych Osobowych (KLIK).

Jak widać, RODO, czyli nowe regulacje prawne w zakresie ochrony danych osobowych wprowadziło szereg bardzo istotnych zmian w prawie Unii Europejskiej. Wiele się zmieniło, niektóre rzeczy mniej, inne bardziej, a do tego wprowadzono drakońskie kary za nieprzestrzeganie przepisów i personalną odpowiedzialność za ich wdrażanie i wykonywanie. 25 maja 2018 roku, kiedy to przepisy dotyczące RODO weszły w życie w Polsce i całej UE na pewno zamknęliśmy pewną epokę – epokę wolnej amerykanki w dziedzinie zbierania i przetwarzania danych. Pytanie tylko, czy nowe prawo nie wprowadzi jeszcze większego chaosu? Jak do tej pory, świat się nie zawalił jednak ludzie dopiero uczą się swoich praw i obowiązków w zakresie RODO i zapewne jeszcze nie jeden raz usłyszymy o kwestii przetwarzania danych osobowych w kontekście RODO. Mamy nadzieję, że choć w części udało nam się wyjaśnić co to jest RODO i jakie niesie za sobą konsekwencje.

Bibliografia:

• Sprostowanie do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
• Skonsolidowany tekst rozporządzenia PE i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
• RODO – informacje ze strony Ministerstwa Cyfryzacji
• Ustawa o ochronie danych osobowych z 10 maja 2018 roku