W związku z wprowadzeniem Ogólnego rozporządzenia o ochronie danych osobowych powstało wiele pytań i wątpliwości na ten temat. O wyjaśnienia poprosiliśmy Inspektora Ochrony Danych, Zbigniewa Walickiego z firmy Optinex.
Kogo dotyczy RODO?
IOD: Rozporządzenie wprowadza nowe zasady dla wszystkich firm, także tych z sektora małych przedsiębiorstw, które oferują towary i usługi dla obywateli, które zbierają i analizują dane powiązane z obywatelami UE. RODO będzie stosowane od 25 maja 2018 roku. Do tej daty wszystkie te podmioty, które podlegają RODO, powinny być gotowe do jego stosowania. Nie będzie już żadnego okresu przejściowego.
Co to są dane osobowe i jakie czynności obejmuje rozporządzenie?
IOD: Dane osobowe to są dowolne informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W praktyce w firmach może to być np.: pracownik, którego dane osobowe przetwarza pracodawca klient sklepu internetowego, który podał swoje dane osobowe do wysyłki zamówienia każda osoba która w formularzu lub zgłoszeniu podaje swoje imię, nazwisko i adres email dane z bazy CEIDG, zapisy rozmów oraz monitoring.
Jest jeszcze wiele przykładów danych osobowych, które jako uporządkowany zestaw danych według określonych kryteriów tworzą zbiór danych. Według definicji RODO każda czynność, jaką z danymi będziemy robić, poczynając od zbierania i przechowywania, poprzez organizowanie czy przeglądanie, ale także ich przesyłanie, rozpowszechnianie czy wreszcie usuwanie i niszczenie stanowi przetwarzanie danych osobowych. Oprócz przetwarzania RODO definiuje również jak profilowanie, jest to czynność z którą się spotykamy najczęściej w internecie. Profilowanie, czyli zjawisko polegające na zbieraniu informacji o konsumencie na podstawie jego zachowań w sieci dotychczas nie było szczegółowo unormowane w polskim prawie. Używając prostego przykładu – ponieważ kupuję książki związane z tematyką RODO, skrypt księgarni oznaczy mnie w profilach: „rodo”, „ochrona danych osobowych”. Ze względu na to, iż jednocześnie kilkukrotnie kupiłem książki dla dzieci, trafiam również do kategorii „rodzic” – zaś analizując podane w formularzu zamówienia imię, zakwalifikowano mnie jako „mężczyznę” i w powiązaniu ze wcześniejszą informacją – „ojca”. Na podstawie tych danych wyświetlają mi się reklamy dotyczące książek i produktów z tych kategorii.
Jakie wymagania stawia RODO wobec każdej firmy?
IOD: Przede wszystkim obowiązkiem każdej firmy jest wprowadzenie polityki ochrony danych osobowych. Rozporządzenie wprowadza wiele obowiązków najważniejsze z nich to prawo dostępu do danych ich zabezpieczenie oraz zgłoszenie naruszeń. Wydaje mi się, że najczęściej wykorzystywane będzie prawo do bycia zapomnianym, czyli umożliwienie każdemu żądania usunięcia wszystkich informacji na jego temat. Odpowiednie zabezpieczenie danych osobowych jest kolejnym wymaganiem, które firmy muszą spełnić. Mówimy tu nie tylko o fizycznym zabezpieczeniu ale również o atakach na infrastrukturę informatyczną, są to wszelkiego rodzaju ataki na sprzęt i oprogramowanie, które są dzisiaj normą. Trzeba też pamiętać, że każde naruszenie musi zostać zgłoszone w ciągu maksymalnie 72 godzin. Istnieje również możliwość powództwa cywilnego ze strony osób fizycznych i bardzo wysokie kary administracyjne za nieprzestrzeganie przepisów.
O horrendalnych karach jest dosyć głośno, jak duże będą to kary za naruszenia przepisów RODO?
IOD: Rzeczywiście naruszenie przepisów może wiązać się z nałożeniem znaczących kar finansowych. W przypadku stwierdzenia naruszeń RODO organ nadzorczy dysponuje szeregiem środków naprawczych oraz administracyjnych kar pieniężnych, które mogą być stosowane łącznie, w zależności od okoliczności każdego indywidualnego przypadku. Te najbardziej łagodne to wydawanie ostrzeżeń, udzielanie upomnień oraz wydawanie nakazów przedsiębiorcom.
Stosując kary pieniężne organ nadzorczy ma obowiązek uwzględnić okoliczności każdego indywidualnego przypadku, natomiast kara ma być skuteczna, proporcjonalna oraz odstraszająca. Przykłady: naruszenie obowiązków administratora i podmiotu przetwarzającego wymienionych w RODO, jak np.: brak weryfikacji wyrażenia zgody przez opiekuna dziecka, które nie ukończyło jeszcze 16 roku życia, na przetwarzanie jego danych osobowych, brak prowadzenia rejestru operacji przetwarzania, brak powołania IOD w przypadkach obligatoryjnych, brak informowania organu nadzorczego o naruszeniach w zakresie ochrony danych osobowych, nieprzestrzeganie obowiązków związanych z certyfikacja przedsiębiorcy przez stosowny podmiot – kara 10 milionów euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa; naruszenie podstawowych zasad przetwarzania, w tym warunków zgód na przetwarzanie określonych w RODO; naruszenie praw osób, których dane są przetwarzane; naruszenie przepisów dotyczących przekazywania danych osobowych – kara 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.
Mając na uwadze ww. szeroki wachlarz sankcji, które grożą przedsiębiorcom za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych, warto już teraz upewnić się, czy dane przedsiębiorstwo spełnia wszystkie wymogi stawiane przez RODO oraz ustawę ochrony danych osobowych, aby uniknąć wysokich kar.
Więcej informacji:
Zbigniew Walicki, Inspektor Ochrony Danych: rodo@optinex.pl; www.rodo.optinex.pl
