Przez ostatnie tygodnie na nasze skrzynki mailowe spływały dziesiątki wiadomości z RODO w tytule - były to maile z firm marketingowych, newsletterów, banku, dostawcy naszej poczty elektronicznej czy nawet - serwisów, o których istnieniu już dawno nie pamiętaliśmy... A wszystko to z uwagi na fakt, iż, w świetle nowych przepisów, firmy muszą mieć pewność, że ich klienci zgadzają się na (dalsze) przetwarzanie ich danych osobowych. Jeśli nie zapoznaliśmy się z treścią licznie nadsyłanych wiadomości, być może już wkrótce odczujemy różnicę w ilości otrzymywanej korespondencji - część z firm z pewnością bowiem poprosiła o wiadomość zwrotną, będącą wyrażeniem zgody na dalsze przetwarzanie danych.

Choć o RODO słyszeliśmy wiele w ostatnich miesiącach czy nawet - tygodniach, na zapoznanie się z nowymi przepisami przedsiębiorcy mieli aż dwa lata. Przyjęte już w maju 2016 roku przez UE ogólne Rozporządzenie o Ochronie Danych Osobowych miało na celu ujednolicenie tych przepisów na terenie całej Wspólnoty.

W momencie wejścia w życie podpisanej przez prezydenta ustawy, czyli 25 maja 2018 r., w Polsce przestała obowiązywać ustawa z sierpnia 1997 r., z wyjątkiem przepisów dotyczących przetwarzania danych w związku z zapobieganiem, wykrywaniem i zwalczaniem przestępstw, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu.

RODO w Polsce. RODO w Unii

- Rozporządzenie posiada zasięg ogólny, wiąże w całości, co do wszystkich zawartych w nim postanowień i jest bezpośrednio stosowane we wszystkich państwach członkowskich. W konsekwencji staje się ono częścią krajowych systemów prawnych bez potrzeby dokonywania jakichkolwiek czynności transpozycyjnych i wywiera skutki bezpośrednie w stosunku do jednostek - czytamy na stronie prezydent.pl. W pewnym jednak zakresie, RODO przewiduje uzupełnienie własnych regulacji przepisami krajowymi: - Zawarte odesłania do prawa krajowego mają na celu przede wszystkim doprecyzowanie lub ograniczenie stosowania w tymże prawie krajowym przepisów Rozporządzenia. Do grupy obligatoryjnych przepisów krajowych, uchwalonych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, zaliczyć można przepisy dotyczące organu nadzorczego, środków ochrony prawnej, odpowiedzialności i sankcji, zagadnień proceduralnych, a także przepisy odnoszące się do certyfikacji i akredytacji w zakresie ochrony danych osobowych - czytamy na ww. stronie.

Na oficjalnej stronie Prezydenta RP wyjaśniono, że ustawodawca zdecydował się wprowadzić do ustawy przepis wyłączający stosowanie Rozporządzenia do przetwarzania danych przez niektóre jednostki sektora finansów publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej oraz inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, o ile przewidziane są niezbędne środki ochrony praw i wolności osoby, której dane dotyczą.

- Ponadto wyłączono stosowanie niektórych przepisów Rozporządzenia do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, wypowiedzi w ramach działalności literackiej, wypowiedzi w ramach działalności artystycznej oraz wypowiedzi akademickiej - czytamy.

Co się zmieniło?

Zgodnie z RODO, pod pojęciem danych osobowych powinniśmy rozumieć wszystkie dane, które pozwalają na identyfikację osoby. Z jednej strony jest więc to np. imię i nazwisko, numer PESEL czy płeć, ale także m.in. adres poczty elektronicznej, historia dokonywanych zakupów, dane dotyczące stanu zdrowia a nawet - poglądy polityczne czy religijne.

Przepisy ustawy w Polsce ustanowiły nowy organ właściwy w sprawie ochrony danych osobowych - Prezesa Urzędu Ochrony Danych Osobowych. Z dniem wejścia w życie nowej ustawy GIODO stało się Prezesem Urzędu, Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych, a pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych - pracownikami tego Urzędu.

Najważniejsza zmiana z perspektywy przedsiębiorców, jaką wprowadza RODO, to konieczność posiadania dokumentu, w którym firma wymienia m.in., jakie dane swoich klientów zamierza przetwarzać, w jaki sposób są one chronione oraz kto administruje danymi i ma do nich dostęp. RODO narzuca również ograniczenie w kwestii zbierania przez przedsiębiorców danych oraz ogranicza tzw. profilowanie - to oznacza, że każda firma, która chce przetwarzać więcej danych, niż jest to konieczne w danym momencie - musi mieć na to zgodę klienta. Klienci zyskali też prawo do tzw. bycia zapomnianym, czyli żądania niezwłocznego usunięcia danych m.in. w sytuacji, gdy nie są one już potrzebne do celów, w których były przetwarzane.

Unijne Rozporządzenie o Ochronie Danych Osobowych nie wyjaśnia przedsiębiorcom wprost, jakie dokumenty, procedury bezpieczeństwa i polityki trzeba wdrożyć. Firmy mają jednak obowiązek zachowania szczególnej ostrożności podczas przetwarzania danych osobowych. Nowe przepisy są uniwersalne, żeby mogły zachować swoją aktualność we wciąż zmieniających się warunkach.

Czy powinniśmy obawiać się kar?

Znajomość nowych przepisów jest ważna zarówno z punktu widzenia klienta, jak również (a może nawet ważniejsza) - z punktu widzenia przedsiębiorcy. Za nieprzestrzeganie RODO firmom grożą bowiem kolosalne kary finansowe, których wysokość sięgać może nawet 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Jak jednak uspokaja Ministerstwo Cyfryzacji, za wszelkie uchybienia, szczególnie w początkowym okresie obowiązywania RODO, kary nakładane będą w ostateczności. W pierwszej kolejności urzędnicy skupiać się mają na pouczaniu i ostrzeganiu przedsiębiorców.

 

Artykuł opracowany we współpracy z firmą SOFT-IB Ireneusz Burek, oferującą wdrożenia Polityki Bezpieczeństwa Informacji, zgodnej z przepisami RODO.

Katarzyna Krentusz