RODO. Czy jest jeszcze ktoś, kto choćby przypadkiem nie słyszał tego słowa? W ostatnich miesiącach RODO jest przedmiotem licznych artykułów, komentarzy i dyskusji, tak wśród specjalistów zajmujących się ochroną danych osobowych, jak i wśród przedsiębiorców, przerażonych wizją olbrzymich kar finansowych. Akt ten już obowiązuje, ale będzie stosowany od 25 maja 2018 r., zatem przedsiębiorcy mają już dosłownie ostatnie chwile na dostosowanie swojej działalności do nowych wymogów. Co należy podkreślić – nie będzie już żadnego okresu przejściowego.
Na początek – czym jest RODO?
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jak każde rozporządzenie unijne, RODO będzie stosowane bezpośrednio w każdym kraju UE, zatem i również w Polsce. RODO zastąpi obowiązującą dotychczas ustawę o ochronie danych osobowych, zaś nowa ustawa będzie jedynie uzupełniająca wobec przepisów RODO. Nie można zatem czekać na polskie przepisy, tylko trzeba wprost stosować RODO.
Kogo dotyczy RODO?
Po pierwsze, RODO dotyczy każdego przedsiębiorcy, który prowadzi działalność w Unii Europejskiej i przetwarza dane osobowe. Będzie to zatem zarówno taki przedsiębiorca, który prowadzi małą, 1-osobową firmę, jak i olbrzymie międzynarodowe korporacje. Oczywiście rozmiar prowadzonej działalności będzie miał wpływ na konkretne środki, które należy wdrożyć, ale wymaga podkreślenia, że nowe przepisy co do zasady znajdą zastosowanie do wszystkich przedsiębiorców.
Czyje dane osobowe ma chronić RODO?
Nowe przepisy mają za zadanie chronić dane osobowe wszystkich osób fizycznych. Wszystkich, to znaczy nie tylko osób prywatnych, lecz również osób prowadzących 1-osobową działalność gospodarczą i widniejących w CEIDG. Należy pamiętać, że choć osoby prawne (np. spółki) nie mają danych osobowych, to mają je osoby fizyczne je reprezentujące lub dla nich pracujące. Danych osobowych nie mają osoby zmarłe.
A czym są właściwie dane osobowe?
Zgodnie z definicją wynikającą z samego RODO: „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Mówiąc prościej, danymi osobowymi będą przede wszystkim takie dane, jak imię i nazwisko, adres zamieszkania, PESEL czy NIP, ale także wizerunek (co ma znaczenie np. w sytuacji prowadzenia monitoringu).
Czym jest przetwarzanie danych?
Zgodnie z RODO przetwarzanie danych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Jak widać, definicja ta jest bardzo szeroka i obejmuje właściwie każdą czynność związaną z danymi osobowymi.
Na czym polega wdrożenie RODO?
Na to pytanie niestety trudno jest odpowiedzieć generalnie, ponieważ – jak już wskazano – dostosowanie działalności do wymagań RODO u każdego przedsiębiorcy będzie wiązało się z innymi czynnościami. Generalnie chodzi jednak o to, aby: dokonać analizy własnej działalności pod kątem przetwarzania danych osobowych (przede wszystkim czyje i jakie dane, w jakich sytuacjach są przetwarzane) i ocenić ryzyko, zastosować działania zapewniające bezpieczeństwo danych (środki fizyczne i elektroniczne), ustalić podstawy prawne przetwarzania danych, zapoznać się z obowiązkami wynikającymi z RODO (m. in. obowiązkiem informacyjnym, prowadzenia rejestru czynności przetwarzania danych czy powołania inspektora danych osobowych) i oczywiście je wykonać.
Stan prawny aktualny na dzień 13.05.2018 r.
Zapraszamy do kontaktu.
