Strona główna / Aktualności / Uwaga – nadchodzi RODO

Uwaga – nadchodzi RODO

8 lutego 2018

(informacja skrócona o RODO)

Co to jest RODO?

RODO to skrót nazwy rozporządzenie Parlamentu Europejskiego i Rady 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. W odniesieniu do powyższego Rozporządzenia w obrocie funkcjonuje również skrót GDPR (ang. General Data Protection Regulation). W istocie więc skróty RODO i GDPR mogą być używane zamiennie, stanowią bowiem odwołanie do tego samego aktu prawnego regulującego na gruncie unijnym kwestię ochrony danych osobowych.

Założenia RODO

RODO to zmiana podejścia do ochrony danych osobowych. Z jednej strony RODO pozostawia przedsiębiorcy decyzyjność w zakresie wyboru stosowanych metod ochrony danych osobowych, z drugiej – nakłada na przedsiębiorcę pełną odpowiedzialność za decyzje nietrafione. Aktualnie sfera ochrony danych osobowych uchodzi w Polsce za dziedzinę prawa, w której organy uprawnione do sprawowania nadzoru nad przestrzeganiem tego prawa, faktycznie nie mają instrumentów umożliwiających im efektywne egzekwowanie swoich decyzji w tej sferze. RODO poprzez wprowadzenie kar finansowych za naruszanie przepisów o ochronie danych osobowych zmienia ten stan rzeczy, tj. daje organom nadzoru konkretne instrumenty egzekwowania nowych przepisów oraz stwarza realny do stosowania i egzekwowania system karania za ich nieprzestrzeganie. Założeniem RODO jest nakładanie na podmioty nieprzestrzegające jego postanowień kar finansowych, a możliwość odstąpienia od nałożenia kary finansowej stanowi wyjątek, który może mieć miejsce przy zaistnieniu szczególnych okoliczności. W związku z tym, że wpływy z nakładanych kar finansowych mają stanowić dochód budżetu Państwa, domniemywać można, że organy nadzoru będą efektywnie korzystać z nowych możliwości jakie stworzy im RODO.

Dlaczego RODO jest istotne dla przedsiębiorcy?

RODO wprowadza bezpośrednio do prawa polskiego szereg nowych obowiązków związanych z przetwarzaniem przez przedsiębiorców danych osobowych zarówno kontrahentów będących osobami fizycznymi, jak i danych osób fizycznych będących członkami organów osób prawnych oraz danych osobowych pracowników (np. obowiązek prowadzenia rejestru czynności przetwarzania). Co więcej, RODO wprowadza administracyjną karę pieniężną za nieprzestrzeganie jego postanowień, w wysokości do 10 000 000 EUR lub do 20 000 000 EUR, a w przypadku przedsiębiorstw –
do 2 % lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W praktyce postanowienia RODO rodzą konieczność wdrożenia polityki ochrony danych osobowych, a tam gdzie ona funkcjonuje – aktualizacji jej zapisów tak, aby odpowiadały RODO (dla przykładu uwzględnienia w stosowanej polityce nowego katalogu praw osób, których dane są przetwarzane jak: prawa do bycia zapomnianym, czy prawa do przenoszenia danych).

Kogo dotyczy RODO?

RODO dotyczy wszystkich administratorów danych osobowych. Administratorem danych osobowych zgodnie z RODO jest każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych w związku z działalnością zawodową lub handlową tego podmiotu. Tak szeroka definicja powoduje, że obowiązek stosowania postanowień RODO spoczywa na każdym przedsiębiorcy, który w zakresie prowadzonej działalności zbiera, przechowuje i wykorzystuje w jakiejkolwiek formie dane osobowe osób fizycznych (kandydatów do pracy, pracowników, kontrahentów).

Dlaczego RODO dotyczy właśnie Ciebie?

RODO dotyczy właśnie Ciebie bowiem:

albo Twoimi klientami są osoby fizyczne (i wcale Twoja działalność nie musi przybierać formy call center czy sklepu internetowego – wystarczy np. zwykła sprzedaż w związku z którą przechowujesz dane tych klientów, czy to w celach marketingowych, czy z uwagi na wystawianie faktur imiennych czy też w celu realizacji ich uprawnień gwarancyjnych);
albo Twoimi klientami są tylko osoby prawne, lecz Twoja firma zatrudnia pracowników, a zatrudnianie pracowników wiąże się przecież ze zbieraniem, przechowywaniem i wykorzystywaniem ich danych osobowych. Outsorcingowanie usług kadrowo – płacowych poza firmę nie uwalnia od postanowień RODO, wiąże się natomiast z koniecznością dopełnienia dodatkowych wymogów formalnych, np. w postaci zawarcia stosownej umowy o powierzenie przetwarzania danych osobowych, która z kolei musi zawierać zapisy wymagane przez RODO.

Zatem, każdy kto zatrudnia pracowników podlega RODO, bez względu na to jaką działalność prowadzi i do kogo ją kieruje.

Dlaczego o RODO należy pomyśleć już teraz?

RODO wprowadza bardziej restrykcyjne wymagania co do zapisów umów o powierzeniu danych osobowych, które powinny być zawarte z podmiotami zewnętrznymi przetwarzającymi pozyskiwane przez firmę dane, np. z biurem rachunkowym czy firmą informatyczną. Stworzenie tego typu umów stanowi proces wymagający czasu. Ponadto dostosowanie polityki danych osobowych do wymagań RODO może wiązać się z koniecznością wprowadzenia nowych rozwiązań IT w firmie, czy w prowadzonym sklepie internetowym. RODO stawia bowiem m. in. nowe wymagania procesom pozyskiwania zgód na przetwarzanie danych osobowych oraz nowe wymagania samym treściom udzielanych zgód. Dla przykładu RODO wymaga informowania o możliwości wycofania zgody na przetwarzanie danych osobowych zanim powstanie możliwość wyrażenia takiej zgody czy zapewnienia możliwości wycofania złożonej zgody w sposób równie łatwy jak jej wyrażenie. Tym samym wszystkie zgody, które zostały wyrażone dotychczas, a które nie spełniają kryteriów RODO, z dniem jego wejścia w życie, stracą swoją ważność. Dla przykładu dotyczyć będzie to zgód wyrażanych poprzez systemy informatyczne skonstruowane w ten sposób, że najpierw pojawia się okienko dotyczące wyrażenia zgody i dopiero potem informacja o możliwości jej wycofania albo w ten sposób, że odwołanie zgody wymaga więcej zachodu niż jej udzielenie, np. nie ma postaci checkboxu, ale rodzi konieczność wypełniania formularza, czy składania pisemnego oświadczenia. Dalsze przetwarzanie danych osobowych na podstawie takich zgód będzie niezgodne z prawem i będzie rodzić odpowiedzialność cywilną, karną i administracyjną z tego tytułu. Warto zatem już teraz dokonać audytu firmy i prowadzonej przez nią działalności pod kątem spełniania wymagań nakładanych przez RODO. Jeżeli okaże się, że aktualnie posiadane zgody na przetwarzanie danych osobowych nie spełniają wymagań RODO, istnieje realna szansa na to, aby do czasu wejścia w życie RODO pozyskać je na nowo.

Data wejście w życie RODO.

RODO wchodzi w życie w dniu 25 maja 2018 r. Z tym dniem przetwarzający dane osobowe osób fizycznych muszą wykazać pełną zgodność stosowanych procedur z nowymi przepisami.

Z uwagi na powyższe rekomendujemy zapoznanie się z rozbudowaną informacją na temat nowych standardów ochrony danych osobowych: RODO bez tajemnic i w razie pytań czy wątpliwości zapraszamy do kontaktu z Kancelarią.

Antkowiak Gębiak Kaszkowiak. Adwokaci i radcowie prawni.

Uwaga – nadchodzi RODO

Aktualności

Dylematy frankowiczów po ogłoszeniu upadłości Getin Noble Bank

Co dalej z kredytem frankowym po ogłoszeniu upadłości Getin Noble Bank?

Upadłość Getin Noble Bank S.A.