Czym jest RODO? Najważniejsze informacje

RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, wprowadziło prawdziwą rewolucję w dziedzinie przetwarzania danych osobowych. Choć przepisy dyrektywy obowiązują z powodzeniem od 25 maja 2018, dla wielu przedsiębiorców wciąż stanowią przedmiot żywej dyskusji. Czym dokładnie jest RODO i kogo właściwie dotyczy?

Kogo dotyczy RODO?

Przepisy RODO (z ang. General Data Protection Regulation; GDPR) dotyczą przedsiębiorstw zarejestrowanych na terenie Unii Europejskiej, które gromadzą i wykorzystują dane osób fizycznych, a także firm spoza obszaru UE, które oferują produkty i usługi klientom z krajów Wspólnoty. Rozporządzenie zwiększa prawa osób fizycznych odnośnie przetwarzania ich danych, a także wymusza zmianę podejścia przedsiębiorstw do organizacji i zapewnienia ochrony tych danych. W tym miejscu należy zaznaczyć, że RODO nie dotyczy ściśle wszystkich przedsiębiorstw. Do wytycznych obligatoryjnie muszą się dostosować firmy zatrudniające powyżej 250 pracowników. Co z mniejszymi podmiotami? Te są objęte rozporządzeniem w sytuacji, gdy przetwarzają dane wrażliwe oraz wówczas, gdy podczas przetwarzania danych osobowych może dojść do naruszenia prawa i/lub wolności osób, których te dane dotyczą. Każda firma musi wykazać iż posiada podstawy prawne do przetwarzania danych. Wymagana jest bezpośrednia zgoda osoby, której dane mają być przetwarzane (np. na umowie o pracę).

Kogo RODO nie dotyczy?

Częstym pytaniem, padającym w kontekście Rozporządzenia o Ochronie Danych Osobowych, jest zależność pomiędzy przepisami rozporządzenia, a przetwarzaniem danych przez osoby fizyczne. W tym przypadku odpowiedź jest jednoznaczna. Osoby fizyczne, które przetwarzają dane osobowe niezwiązane z działalnością zawodową (czyli np. gromadzą nieformalną korespondencję prowadzoną ze znajomymi), nie są objęte przepisami RODO. Dyrektywa nie obejmuje też swoim działaniem organów odpowiadających za bezpieczeństwo narodowe, instytucji unijnych i dyplomatycznych, jak również organów walczących z przestępczością.

Inspektor ochrony danych osobowych

Z wprowadzeniem RODO wiąże się powołanie instytucji  inspektora ochrony danych. Jest on swoistym odpowiednikiem uprzednio działającego na gruncie przepisów UODO administratora bezpieczeństwa informacji i stanowi wsparcie dla administratorów danych oraz pozostałych podmiotów, które przetwarzają dane osobowe. Głównym zadaniem inspektora jest więc zapewnienie właściwej ochrony danych osobowych. Wyznaczenie inspektora to w wielu przypadkach obowiązek, a nie jak wcześniej uprawnienie administratora danych. Obowiązek ten jest konieczny w trzech kategoriach podmiotów: publicznych (z wyjątkiem sądów; kategoria obejmuje też podmioty prywatne realizujące zadania publiczne), przetwarzających dane w sposób, wymagający monitorowania osób, których dane dotyczą oraz przetwarzających dane wrażliwe. Do głównych zadań inspektora należy m.in. informowanie administratorów i pracowników o obowiązkach spoczywających na nich na mocy RODO i innych przepisów unijnych, monitorowanie przestrzegania założeń rozporządzenia, organizowanie szkoleń, udzielanie wskazówek i prowadzanie audytów firmowych. Co ważne, funkcję inspektora może pełnić osoba fizyczna, ale i jednostka organizacyjna powołana przez administratora, jak i procesora. Funkcja ta może być świadczona na zasadach outsourcingu. Takie usługi oferuje coraz więcej firm. Przykładem służy firma Audytel i strona rodoradar.pl.

Obowiązki administratora danych osobowych

Zgodnie z RODO, administrator danych osobowych jest zobowiązany do dostosowania systemów informatycznych w taki sposób, aby dane dało się całkowicie usunąć lub przenieść do innego przedsiębiorstwa. Wszystkie operacje z udziałem danych osobowych powinny być planowane ostrożnie i z rozmysłem, tak aby zminimalizować ryzyko wycieku danych i ewentualne konsekwencje tego zdarzenia. Co ważne, administrator powinien być w stanie udzielić informacji dotyczących danych osobowych osobie, której te dane dotyczą. W świetle przepisów, koordynator musi odpowiedzieć na złożone zapytanie w ciągu jednego miesiąca.

Konsekwencje nieprzestrzegania RODO

Za zaniedbania dotyczące przetwarzania danych osobowych, administrator odpowiada bezpośrednio – nawet wówczas, gdy zlecenie przetwarzania danych zostało powierzone podwykonawcy (obowiązuje wówczas solidarna odpowiedzialność). Wszelkie naruszenia przepisów RODO powinny być zgłaszane w ciągu 72 godzin od ich wykrycia do właściwego organu nadzoru, czyli Urzędu Ochrony Danych Osobowych. Szczególną wagę mają naruszenia, które mogą powodować pogwałcenie praw i wolności osób, których dane dotyczą. Za złamanie przepisów grożą dotkliwe sankcje – 10 mln euro/2% rocznego globalnego obrotu przedsiębiorstwa bądź też 20 mln euro/4% rocznego globalnego obrotu przedsiębiorstwa (w zależności które przepisy zostały złamane). W przypadku administracji publicznej, górny próg kar wynosi natomiast 100 tys. złotych. Należy przy tym pamiętać, że nie wszystkie przewinienia są karane. Wiele zależy od stopnia przewin, celowości i innych okoliczności łagodzących/obciążających. Ważnym elementem działania RODO jest również aspekt edukacyjny. Niektóre wykroczenia kończą się upomnieniem oraz uświadomieniem o popełnionych błędach wraz ze wskazaniami, jak tych błędów nie popełniać w przyszłości. Widać wyraźnie, że przepisy RODO nie mają być straszakiem, zaś u ich podstaw leży przede wszystkim wprowadzenie nowej jakości w zakresie administrowania danymi osobowymi.