Czym jest RODO, jaki jest cel jego wprowadzenie i kogo dotyczy?

4 kwietnia 2019, 15:54

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Obowiązuje ono od dnia 25 maja 2018r. Wprowadzenie tych przepisów miało na celu ujednolicenie prawa dotyczącego przetwarzania danych osobowych na terenie całej Unii Europejskiej, a w szczególności dbałość o ochronę prawa do prywatności. Rozporządzenie wprowadziło przepisy, które mówią przedsiębiorcom jak i konsumentom jakie mają prawa i obowiązki w zakresie danych osobowych. Przepisy te obowiązują każdego przedsiębiorcę, który świadczy swoje usługi w całej Unii Europejskiej, oraz przedsiębiorców, którzy nie posiadają swojej siedziby w państwie członkowskim, lecz oferują swoje usługi osobom tam zamieszkującym.

Odpowiedzialność związana z wejściem w życie RODO

Wejście w życie RODO nałożyło na przedsiębiorców konieczność większej dbałości związanej z kwestiami przetwarzania danych osobowych m.in. z zabezpieczeniem informacji, monitorowaniem zasobów firmowych i nadzorem nad uprawnieniami do dostępu do takich informacji. Dzięki nowym regulacjom konsumenci są bardziej świadomi co się dzieje z danymi, które udostępniają o sobie oraz w jaki sposób i do czego zostaną wykorzystane. Dla przedsiębiorców nowe przepisy unijne wprowadziły wymogi dostosowania firm do RODO. Takie uporządkowanie informacji gromadzonych przez firmy przynoszą przedsiębiorcom wiele korzyści, m.in. ograniczenia w utracie danych, bardziej efektywne zarządzanie informacjami, co prowadzi w konsekwencji do ograniczenia ryzyka utraty danych, a także zwiększenia zysków przedsiębiorstwa. Sprostanie tym wszystkim wymaganiom niesie ze sobą również dodatkowe koszty, jednak niedostosowanie się do nowego prawa unijnego pociąga za sobą negatywne skutki w postaci kar. W rozporządzeniu przewiduje się dwa maksymalne progi grzywien. Pierwszy z nich to 10 mln euro (lub 2 % całkowitego rocznego obrotu) za niewypełnianie obowiązku informacyjnego, braki w systemach ochrony danych, nieprawidłowe prowadzenie rejestrów. Drugi zaś to 20 mln euro (4% całkowitego rocznego obrotu) za złamanie podstawowych zasad przetwarzania danych, złamanie praw konsumenckich, niedozwolone udostępnianie i przekazywanie danych osobowych.

Kary za złamanie RODO

W marcu 2019 r. Urząd Ochrony Danych Osobowych nałożył w Polsce pierwszą w swej historii karę w wysokości 943 tys. zł, na warszawską spółkę, która nie poinformowała wszystkich osób, których dane przetwarzała. Wykroczenie polegało na tym, iż firma poinformowała wyłącznie przedsiębiorców, którzy podali swoje adresy internetowe w oficjalnych rejestrach. Reszty osób nie poinformowano, ponieważ wiązałoby się to z dużymi kosztami i niewspółmiernym wysiłkiem wysłania listów, jak spółka tłumaczyła. To nie pierwsza kara w związku z nowym obowiązującym prawem wspólnotowym. W listopadzie w Niemczech nałożono grzywnę 20 mln euro na spółkę zajmującą się mediami społecznościowymi. We wrześniu doszło do ataku hackerskiego, czego skutkiem było ujawnienie ponad 8 tyś adresów i haseł użytkowników. W Portugalii nałożono grzywnę w wysokości 400 tys. euro na szpital, który przekazywał informacje o danych pacjentów osobom postronnym. Jednak największą jak dotąd karę za złamanie RODO nałożono na firmę Google, za niedostatecznie jasny sposób informowania internautów o wykorzystywaniu ich danych. Nałożona kara przez francuski Urząd Ochrony Danych Osobowych to 50 mln euro.

Zgody na przetwarzanie danych osobowych

Od 25 maja 2018 roku zgody na przetwarzanie danych osobowych muszą być wyrażane przez klientów w sposób świadomy i jednoznaczny. Wyrażenie zgody to wyodrębnione działanie przedsiębiorstwa w postaci czytelnego i zrozumiałego komunikatu potwierdzenia lub oświadczenia przez klienta takich treści. Nie ma możliwości skrócenia informacji o kilku zgodach w jednym zdaniu czy punkcie. Każda z nich musi być dokładnym przedstawieniem informacji, na co wyraża zgodę potencjalny konsument i w jaki sposób jego dane będą przetwarzane. Dzięki temu zabiegowi klienci będą bardziej świadomi co się dzieje z danymi, które udostępnia o sobie oraz w jaki sposób i do czego zostaną wykorzystane. RODO wprowadza obowiązek zmiany treści regulaminów i rozszerzenie ich o klauzule związane z gromadzeniem, przetwarzaniem i udostępnianiem danych osobowych. W przedsiębiorstwach, które przetwarzają dane osobowe konieczne jest wyznaczenie osoby na stanowisko Inspektora Ochrony Danych (IOD), która zastąpi Administratora Bezpieczeństwa Informacji. RODO wprowadza także instytucję współadministratorów danych osobowych. W dużych korporacjach dzięki temu rozwiązaniu możliwe jest wspólne zarządzanie danymi osobowymi, co wprowadza wiele ułatwień poszczególnym oddziałom czy filiom takiego przedsiębiorstwa. Administratorzy Danych Osobowych muszą zgłaszać w ciągu 72 godzin każdy "wyciek" informacji, który mógł skutkować trafieniem prywatnych informacji w niepowołane ręce. Informacje o tych naruszeniach muszą być ujawnione w specjalnym rejestrze naruszeń. Na Administratorach ciąży obowiązek prowadzenia rejestru czynności przetwarzania danych. Taki rejestr zawiera informacje o tym, kto zajmuje się przetwarzaniem danych osobowych, jaki jest cel ich przetwarzania, a także listę osób, którym dane te zostaną udostępnione i sposoby zabezpieczenia tych danych. Dla konsumentów nowe przepisy zwiększają szereg uprawnień dostępu do ich danych osobowych. Konsumenci mogą uzyskać informacje jakie dane na ich temat są gromadzone, mają możliwość ich aktualizacji, a także mogą zgłosić żądanie o usunięcie informacji zgromadzonych na ich temat - prawo do bycia zapomnianym.

Nowelizacja przepisów w 2019 roku: zmiany w przepisach sektorowych

Sejm Rzeczypospolitej Polskiej uchwalił ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 - RODO. Tzw. Ustawa sektorowa wejdzie w życie 4 maja 2019 r. i dotyczy około 160 aktów prawnych, związanych z informacjami o danych osobowych. Należą do nich m. in.: Ustawa o świadczeniu usług drogą elektroniczną, Prawo telekomunikacyjne, Kodeks pracy, Ustawa o prawach konsumenta, Kodeks postępowania administracyjnego, Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, jak również szereg ustaw dotyczących prawa ubezpieczeniowego, sektora medycznego oraz szkolnictwa. W wielu przypadkach wprowadzone zmiany będą zbliżone. Podobne przepisy dotyczyć będą m.in. np. zastosowania określonych środków w celu ochrony danych osobowych, przechowywania danych osobowych, a także upoważnień do przetwarzania danych. Ustawa sektorowa wprowadza np. obowiązek posiadania pisemnego upoważnienia do przetwarzania danych osobowych, przede wszystkim gdy jest mowa o szczególnych kategoriach danych. Kolejnym przykładem jest wprowadzenie ułatwienia dla mikro przedsiębiorców (z wyłączeniem przedsiębiorców gromadzących dane wrażliwe), które zmniejszają koszty informowania konsumentów o przetwarzaniu, gromadzeniu i udostępnianiu danych osobowych, poprzez możliwość umieszczenia na stronie internetowej lub w widocznym miejscu w lokalu przedsiębiorstwa takiej informacji. Ustawa sektorowa jest aktem prawnym skupiającym szereg zmian w poszczególnych przepisach ustaw, wprowadzając nowe regulacje. Dotyczy ona osób fizycznych, których dane przetwarzane są na podstawie znowelizowanych ustaw, a także przedsiębiorców, organów i innych podmiotów, które stały się administratorami takich danych. Nowe przepisy otwierają pole dla stosowania kar. Przedsiębiorcy powinni zwrócić uwagę i zapoznać się z nowelizacją przepisów, które dotyczą ich sektora. Dostosowanie się do nowych regulacji pozwoli ochronić ich od kar finansowych, a także zachowają oni dobrą reputację, co w tych czasach jest szczególnie istotne.

W kolejnym artykule postaramy się omówić najważniejsze zmiany wprowadzone do Kodeksu pracy, które są ważne dla przedsiębiorców zatrudniających pracowników.

Autorem tekstu jest Izabela Rak

NOTA PRAWNA: Artykuły zamieszczone w naszym serwisie są przygotowane z należyta starannością, oparte na rzetelnej wiedzy i doświadczeniu, oraz znajomości branży. Nie mogą być one traktowane jako wyłączne źródło informacji w danym zakresie, bowiem są subiektywnymi opiniami autorów tekstów. Serwis Doradzanie.eu oraz autorzy treści nie ponoszą odpowiedzialności za wnioski wyciągnięte przez Czytelnika, ani wszelkie decyzje podjęte na ich podstawie. Zawartość merytoryczna na naszych stronach opisywana jest przez praktyków w dziedzinie finansów, prawa, ekonomii i bankowości.