61 847 55 18 kontakt@osobowedane.pl

Co to jest RODO

 

RODO to nieformalne określenie na Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie Ogólne Rozporządzenie o Ochronie Danych).  Rozporządzenie to zwane jest również jako GDPR (od angielskiej skróconej nazwy General Data Protection Regulation), jednak w Polsce powszechnie przyjął się skrót RODO.

WAŻNE!!! RODO to rozporządzenie PE i Rady UE. Rozporządzenia takie są bezpośrednio stosowane w państwie członkowskim UE. W odróżnieniu od dyrektyw nie wymagają implementacji (wdrożenia) do jego systemu prawnego. Są one narzędziem harmonizacji, uwspólniania pewnych kwestii na terenie całej Unii. Dla przykładu obowiązująca jeszcze dziś ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych stanowi implementację dyrektywy 95/46/WE Parlamentu  Europejskiego i Rady 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. RODO zacznie obowiązywać bezpośrednio w krajowych porządkach prawnych już od 25 maja br.

Co ciekawe, RODO zostawia pewne pole do ukształtowania przez prawodawcę krajowego, np. możliwość obniżenia z 16 lat granicy wiekowej dla dzieci, po ukończeniu której będą one mogły samodzielnie wyrazić zgodę na przetwarzanie swoich danych osobowych (nie niżej jednak niż do 13 lat), czy też obowiązek ustanowienia organu nadzorczego (według projektu nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych).

 

Co to są dane osobowe i ich przetwarzanie

 

RODO definiuje dane osobowe jako  informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Definicję tę próbuje wytłumaczyć preambuła rozporządzenia (preambuły aktów prawa unijnego mają niebagatelne znaczenie w ich rozumieniu m. in. wyjaśniają powody, motywy działania prawodawcy) –  „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.”

Czyli za dane osobowe należy uznać w zależności od okoliczności, np. imię i nazwisko, PESEL, adres e-mail, numer telefonu, czy adres IP, ponieważ jak wskazuje prawodawca „Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób.”

Przetwarzaniem danych osobowych jest każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Jeżeli więc zbierasz w celu dokonania wysyłki towaru takie informacje jak: imię i nazwisko, adres, numer telefonu klienta, to bezsprzecznie przetwarzasz jego dane osobowe.

 

Kogo i od kiedy będzie dotyczyć RODO

 

RODO ma  zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii (art. 3 ust. 1 RODO). Czyli stosować się do niego musi zarówno mały, średni, jak i duży przedsiębiorca, gmina, powiat, szkoły, przedszkola.

Jak już pisaliśmy, RODO zacznie obowiązywać bezpośrednio w krajowych porządkach prawnych już od 25 maja br., więc pozostaje mało czasu na jego wdrożenie.

 

Jakie są najważniejsze nowe obowiązki związane z RODO

 

Podstawowym obowiązkiem jest wynikający z art. 5 Rozporządzenia obowiązek przestrzegania zasad przetwarzania danych osobowych:

  1. zasady zgodności z prawem, rzetelności i przejrzystości – przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,     
  2. zasady ograniczenia celem – zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, choć z pewnymi wyjątkami dot. dalszego przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych,
  3. zasady minimalizacji danych – adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
  4. zasady prawidłowości – prawidłowe i w razie potrzeby uaktualniane, RODO nakazuje podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
  5. zasady ograniczenia przechowywania – przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, choć tu też wyjątkiem jest przechowywanie danych m. in. w celach archiwalnych,
  6. zasady integralności i poufności – przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,

Dodatkowo ważny jest wynikający z tzw. zasady rozliczalności obowiązek wykazania przestrzegania powyższych zasad. To na Tobie będzie ciążył obowiązek dowiedzenia, że przetwarzasz dane osobowe zgodnie z prawem.

Ponadto, RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu – już podczas pozyskiwania danych musisz podać

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  10. informacje o prawie wniesienia skargi do organu nadzorczego;
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Ponadto, zobowiązany jesteś do poinformowania, czy podanie danych i tym samym ich przetwarzanie jest dobrowolne, czy też obowiązkowe – a w tym ostatnim wypadku należy wskazać skąd wynika taki obowiązek – może on wynikać np. z umowy lub z ustawy.

Niezastąpiona w tym zakresie będzie dobrze przygotowana polityka prywatności.

 

Jakie są podstawowe kroki, aby być gotowym na RODO

 

Nie ma jednej złotej recepty dostosowania się do RODO – przepisy te są na tyle nowe, że trudno tutaj mówić o jakiejś wypracowanej praktyce. Będzie się ona dopiero tworzyła na podstawie kolejnych decyzji i wytycznych organu nadzorczego, którym będzie dotychczasowe GIODO. Brak jednoznacznych wytycznych nie zwalania nas jednak z podjęcia próby dostosowania się do RODO i wdrożenia go we własnej firmie.

W zakresie sposobu wdrożenia warto na pewno odesłać do przydatnego naszym zdaniem poradnika – Przewodnik po RODO dla małych i średnich przedsiębiorców przygotowanego przez Ministerstwo Przedsiębiorczości i Technologii (link). Wyróżnia on poniższe etapy wdrożenia RODO w firmie – naszym zdaniem od tego warto zacząć:

  1. Identyfikacja procesów przetwarzania danych osobowych (w skrócie jakie dane i w jakich celach przetwarzamy)
  2. Weryfikacja podstawowych parametrów procesów przetwarzania danych (określamy podstawy przetwarzania, zakres oraz treść obowiązków z tym związanych)
  3. Wdrożenie podejścia opartego na ryzyku (określamy poziom ryzyka związanego z przetwarzaniem danych)
  4. Przeprowadzenie procedury oceny skutków dla ochrony danych (nie zawsze jest to obowiązkowe, ale zalecamy jej przeprowadzenie)
  5. Powierzenie przetwarzania danych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia )
  6. Nowe prawa osób, których dane dotyczą (zapewniamy możliwość korzystania z nowych prawa – np. prawa do bycia zapomnianym)
  7. Incydenty bezpieczeństwa (wdrażamy zasady zgłaszania naruszeń)

Większość z tych informacji będzie zawarta w wewnętrznej dokumentacji firmy – np. w polityce bezpieczeństwa (nie mylić z polityką prywatności). Zadaniem sprzedawcy jest przygotować i wdrożyć taką dokumentację w swojej firmie.

 

A co grozi w przypadku nie stosowania się do RODO

 

Przedsiębiorcy straszeni są olbrzymimi karami za nie przestrzegania RODO. To niestety prawda – za złamanie podstawowych zasad przetwarzania danych osobowych organ nadzoru może nałożyć karę pieniężną w wysokości do 20 mln EURO lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, przy decydowaniu o nałożeniu kary powinien zwrócić on uwagę m. in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także na szereg czynników (szer. art. 83 RODO).

Jak będzie karał Urząd Ochrony Danych Osobowych tego nie wiemy, czas pokaże. Jednak nie warto ryzykować, lepiej już dziś podjąć działania, żeby przetwarzać dane osobowe zgodnie z prawem.