Co w Prawie Piszczy | RODO – dlaczego i jak się za nie zabrać?
7189
post-template-default,single,single-post,postid-7189,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

RODO – dlaczego i jak się za nie zabrać?

Zanim w naszym cyklu przedstawimy poszczególne zmiany i obowiązki wprowadzane przez RODO, proponujemy cofnąć się o krok i wyjaśnić dlaczego i w jakim zakresie RODO obowiązuje także polskiego przedsiębiorcę, oraz jak zabrać się za jego wdrożenie.

 

Rozporządzenie to nie dyrektywa – co to znaczy?

Ustawodawca unijny zdecydował, że RODO będzie miało formę rozporządzenia, a nie np. dyrektywy. Oznacza to, że od dnia 25 maja 2018 r. przepisy RODO stosujemy bezpośrednio, właściwie niezależnie od nowej, opartej na RODO ustawy o ochronie danych osobowych, która również powinna wejść w życie tego samego dnia. Stosowanie RODO wymaga więc, mówiąc wprost, posługiwania się jego tekstem, uzupełnianym tylko przepisami polskiej ustawy (zawierającej zresztą przede wszystkim regulacje systemowe, które dla większości przedsiębiorców nie mają na etapie wdrożenia RODO istotnego znaczenia praktycznego).

Polskich przepisów nie należy jednak ignorować, choć zwracamy uwagę, że bardziej wartościowa może być lektura nie samej ustawy o ochronie danych osobowych, lecz przepisów ją wprowadzających. To w tym drugim akcie prawnym znalazły się zmiany takich ustaw jak kodeks pracy (precyzujące jakie dane pracownika lub kandydata może przetwarzać pracodawca), ustawa o zakładowym funduszu świadczeń socjalnych, prawo bankowe, ustawa o świadczeniu usług drogą elektroniczną czy prawo telekomunikacyjne.

Przyjęcie formy rozporządzenia oznacza też wprowadzenie jednolitych zasad w całej UE, co stanowi ułatwienie dla przedsiębiorców działających na różnych rynkach – przyjęte zgodnie z RODO rozwiązania co do zasady zapewniają przestrzeganie przepisów w całej Unii. Należy jednak pamiętać, że RODO w pewnych obszarach daje państwom członkowskim margines swobody w zakresie ich uregulowania, stąd możliwe są różnice między poszczególnymi ustawami krajowymi.

 

(Prawie) każdy przedsiębiorca przetwarza dane, dlatego RODO ma do niego zastosowanie.

Kolejnym krokiem do zrozumienia wynikających z RODO obowiązków jest uświadomienie sobie, że praktycznie każdy przedsiębiorca przetwarza dane osobowe, a skoro je przetwarza, to jest zobowiązany do stosowania rozporządzenia.

Danymi osobowymi są przecież np. dane naszego pracownika czy kontrahenta (a także jego pracowników – np. imię i nazwisko obsługującej naszą firmę osoby kontaktowej); dane, które zbieramy w celu wystawienia faktury (np. adres osoby fizycznej); informacje, które wpisujemy opisując drugą stronę zawieranej umowy. Przetwarzanie nawet tych powszechnie zbieranych danych musi przebiegać zgodnie z przepisami.

W tym miejscu zwracamy jednak uwagę na zapowiedzi Ministerstwa Cyfryzacji, pracującego nad projektem nowej ustawy, o planowanym złagodzeniu części wymogów RODO w stosunku do przedsiębiorców zatrudniających do 250 pracowników, przetwarzających dane osobowe wyłącznie na własne potrzeby. Projekt zawierający tę zmianę nie został jeszcze opublikowany, ale na pewno będziemy śledzić te informacje.

 

Sankcje, czyli dlaczego RODO robi różnicę.

Porównując przepisy rozporządzenia do obowiązującej obecnie ustawy o ochronie danych osobowych dojdziemy do wniosku, że zmiany nie są aż tak rewolucyjne, jak mogłoby się wydawać. Wiele określonych w RODO obowiązków funkcjonuje w polskich przepisach, dlatego dla tych przedsiębiorców, którzy także na dotychczasowym stanie prawnym dbali o zgodność swoich działań z przepisami o ochronie danych osobowych, wdrożenie RODO powinno być mniej problematyczne.

Zasadniczą zmianą i, nie ukrywajmy, motywacją do poważnego podejścia do nowych przepisów, jest jednak wprowadzony system sankcji za naruszenie ochrony danych osobowych. RODO przewiduje możliwość nałożenia kary w wysokości do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorcy, które będą nakładane bez uprzedzenia czy wzywania do usunięcia naruszeń. To zasadnicza zmiana w porównaniu do dotychczasowych kompetencji Generalnego Inspektora Danych Osobowych, którego decyzje w przypadku naruszenia ochrony danych osobowych sprowadzały się przede wszystkim do nakazania przywrócenia stanu zgodnego z prawem lub ewentualnie do nałożenia niewysokiej (zwłaszcza w porównaniu do wysokości nowych kar) kary grzywny.

 

RODO to cele, a nie środki.

Ze względu na formę i sposób redakcji RODO, odbiegającą od stosowanych przez nas na co dzień ustaw, jego zrozumienie może przysporzyć pewnych problemów polskiemu przedsiębiorcy. Dlatego analizując jego przepisy należy pamiętać, że stanowią one w dużej mierze nie gotowe rozwiązania i konkretne wymogi, ale pewne wytyczne i ogólne zasady. Jednym z założeń RODO jest technologiczna neutralność, co oznacza, że to administrator decyduje jakie metody i środki wdroży – ważne, aby zapewniły one realizację wyznaczonych przez RODO zadań związanych z bezpieczeństwem informacji.

Świadome wdrożenie RODO wymaga więc przede wszystkim zrozumienia jego celów i zasad (którym szczegółowo poświęcimy odrębny wpis). Ich przyswojenie przez wszystkie osoby zaangażowane w przetwarzanie danych (a więc w praktyce dużą część personelu) jest też warunkiem stosowania RODO już po wdrożeniu, w czasie zawierania umów, zatrudniania pracowników, prowadzenia akcji marketingowych czy aktywności online. Wdrożenie RODO nie może być czynnością jednorazową, a myślenie o wszechobecnych danych osobowych powinno stać się dla przedsiębiorców oczywistością.

 

Jak więc zabrać się za RODO?

Do wdrażania RODO trzeba podejść systematycznie i kompleksowo, a przede wszystkim nie odkładać jego rozpoczęcia na ostatnią chwilę. Pierwszym krokiem powinno być rozpoznanie obszarów wymagających zmian czy ulepszeń, które można osiągnąć poprzez przyjrzenie się swojej firmie, zadanie sobie i pracownikom pytań przede wszystkim o to, jakie dane, w jakim celu, w jaki sposób i w jakim zakresie są przetwarzane.

Pomocne mogą być pojawiające się na rynku rozwiązania, np. specjalne aplikacje czy programy, których celem jest ułatwienie wdrożenia. Także nasi doradcy, we współpracy z ekspertami z SI-Consulting opracowali innowacyjne narzędzie dla przedsiębiorców, mające im ułatwić radzenie sobie z danymi osobowymi, które będzie wzbogacone także o funkcjonalności dedykowane spółkom giełdowym opracowywane we współpracy ze Stowarzyszeniem Emitentów Giełdowych.  Jego premiera planowana jest na początek 2018 r., a szczegółowe informacje zaprezentujemy wkrótce.

Zachęcamy też oczywiście do śledzenia naszych kolejnych wpisów, w których przyjrzymy się bardziej szczegółowo poszczególnym przepisom RODO.

 

Uwaga: RODO to jeszcze nie koniec.

Wdrażając RODO warto pamiętać, że jego wdrożenie nie oznacza końca zmian – aktualnie toczą się prace nad kolejnym dotykającym przetwarzania danych osobowych rozporządzeniem, tj. rozporządzeniem w sprawie prywatności i łączności elektronicznej (rozporządzenie ePrivacy). W zakresie ochrony danych osobowych dotyczyć ma ono m.in. zasad przetwarzania treści e-maili, SMSów, MMSów, a także informacji o lokalizacji geograficznej używanego urządzenia, dacie, czasie trwania połączeń i możliwości wykorzystania tych danych przez dostawców usług telekomunikacji elektronicznej. Rozporządzenie ma również modyfikować zasady pobierania zgód na wykorzystywanie plików cookies, w celu ochrony użytkowników Internetu przed śledzeniem ich aktywności np. przez reklamodawców.

Ostateczny kształt rozporządzenia nie jest jeszcze znany, polecamy jednak uważne śledzenie informacji na jego temat wszystkim dostawcom usług telekomunikacyjnych i Internetu – jego wejście w życie może wymusić zasadnicze zmiany w stosowanym przez nich obecnie modelu biznesowym.

 

Autor: Dominika Leszczyńska

SENIOR KONSULTANT / APLIKANT RADCOWSKI

M: dominika.leszczynska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj