RODO
Aktualności Porady

RODO należy stosować już teraz! Kto powinien się bać?

Obowiązek należytej ochrony danych osobowych istnieje już teraz i wynika z krajowej ustawy o ochronie danych osobowych. Przepisy RODO mają dwa podstawowe cele: ujednolicenie zasad ochrony danych osobowych we wszystkich krajach UE oraz wprowadzenie szerszych gwarancji ochrony praw osób, których dane są przetwarzane.

Na nasze wątpliwości w temacie RODO odpowiada Jan Prasałek, legal expert z Kancelarii RK Legal.

Jakie konsekwencje przynosi RODO dla sektora MŚP?

Konsekwencje RODO dla MŚP można rozpatrywać w kilku płaszczyznach:

  • konieczność dostosowania istniejących procedur i polityk ochrony danych osobowych do nowych przepisów.

    Do tej pory, co do zasady, w ustawie wskazane były niemalże gotowe rozwiązania i procedury, które powinny zostać wdrożone w życie. RODO wprowadza zasadę, w myśl której to sam administrator danych osobowych ma wdrożyć rozwiązania zabezpieczające dane na poziomie odpowiednim do rodzaju świadczonych usług, po wcześniejszej analizie ryzyk związanych z konkretnym rodzajem przetwarzania. Czyli zamiast gotowych wzorców wynikających z ustawy, przedsiębiorca musi samodzielnie ocenić to, jakie dane przetwarza i w jaki sposób, a następnie zapewnić (i potrafić udowodnić przed organem ochrony danych osobowych), że poziom ochrony danych jest odpowiedni.

  • konieczność uwzględnienia konkretnych zmian wynikających z RODO w strukturach baz danych i systemów.

    Przykładowo, zmiany takie muszą uwzględniać wprowadzane tzw. „prawo do zapomnienia” (każdy może żądać, by jego dane osobowe zostały usunięte u danego administratora, ale także by ten administrator przekazał informację o konieczności usunięcia danych wszystkim innym podmiotom, którym takie dane udostępnił), prawo do przekazania danych innemu administratorowi danych (np. możemy zażądać od naszego operatora telefonii komórkowej, że by przekazał innemu operatorowi wszystkie nasze dane osobowe. Nie musimy wówczas składać ich u nowego operatora), czy obowiązek wskazania, jakie jest źródło pozyskania danych osobowych i ewidencjonowania wniesionych sprzeciwów wobec przetwarzania danych, czy rejestrowania i informowania o naruszeniach bezpieczeństwa danych.

  • zagrożenie karami.

    RODO, za naruszenia przepisów ustawy, przewiduje możliwość nałożenia na wszelkie podmioty przetwarzające dane (zarówno jako ich administrator, jak i podmiot, któremu powierzono przetwarzanie), wysokich kar finansowych, nawet do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa.

Jakiego typu firmy (z tego sektora) muszą się szczególnie przygotować do zmian?

Wymóg dostosowania się do RODO obciąża wszystkie podmioty, niezależnie od sektora.

Zasady są jednolite dla wszystkich przedsiębiorców, niezależnie od branży.

Szczególnie jednak RODO dotyczyć będzie podmiotów, które w skali masowej przetwarzają dane osobowe, w ramach świadczonych usług. Dotyczyć to będzie m.in. konieczności aktualizacji uzyskanych wcześniej zgód na przetwarzanie danych osobowych (w tym udostępniania formularzy umożliwiających cofnięcie takiej zgody). Dodatkowe obowiązki rozporządzenie nakłada także na podmioty, które powierzają przetwarzanie danych osobowych innym podmiotom. W tym zakresie zobowiązane one będą do aktualizacji zawartych umów powierzenia przetwarzania i ich dostosowania do obowiązujących przepisów. Zaostrzono ponadto wymogi dotyczące przekazywanie danych osobowych do krajów spoza UE.

Szczególne wymogi

Jeżeli dany przedsiębiorca świadczy usługi obejmujące przetwarzanie tzw. „danych wrażliwych” (dotyczących stanu zdrowia, światopoglądu, rasy, pochodzenia, wyznania, preferencji seksualnych, wyroków karnych itp.), zobowiązany będzie do uzyskania wyraźnej zgody na przetwarzanie takich danych lub spełnienia innych, rygorystycznych przesłanek ich przetwarzania. W każdym przypadku, w przypadku kontroli ze strony organu ochrony danych, zobowiązany będzie do wykazania podstaw do przetwarzania tych kategorii danych.
Szczególne wymogi dotyczące ochrony danych będą dotyczyły także podmiotów, które prowadzą monitoring w skali przemysłowej. Podmiot taki będzie zobowiązany do przeprowadzania oceny skutków nagrywania wizerunków osób dla ochrony ich danych osobowych, o ile prowadzi
monitoring w sposób systematyczny, w miejscach dostępnych publicznie i na dużą skalę. Będzie zobowiązany także do powołania inspektora ochrony danych. RODO precyzuje także, że danymi szczególnie chronionymi („wrażliwymi”) będą także tzw. dane biometryczne (wizerunek, głos, odciski palców, zdjęcia siatkówki), o ile będą one pozwalały na identyfikację danej osoby. Ich przetwarzanie, co do zasady, wymagało będzie uzyskania wyraźnej zgody osoby, której dane są przetwarzane.

Które z dotychczasowych praktyk marketingowych będą odtąd niedozwolone lub ulegną zmianom?

rzepisy RODO nie zmieniają w sposób zasadniczy kwestii związanych z działaniami marketingowymi. Tak jak do tej pory, podstawą do wykorzystywania danych danego podmiotu w kampanii marketingowej, będzie zgoda osoby zainteresowanej. RODO wprowadza w tym zakresie zmiany dotyczące samej zgody (musi być ona wyraźna, wyodrębniona od innych zgód i postanowień umowy, równie łatwe co wyrażenie zgody musi być jej cofnięcie) oraz obowiązków informacyjnych na rzecz osoby, której dane są przetwarzane. Ograniczona zostanie także możliwość przekazywania uzyskanych w ten sposób danych podmiotom trzecim oraz profilowania potencjalnych odbiorców kampanii marketingowych, zwłaszcza w przypadku profilowania opartego wyłącznie na automatycznym przetwarzaniu pozyskanych danych.

Co zmieni się w pracy firmy remontowej, a co w działalności średniej wielkości klubu fitness po 25 maja?

Co do zasady, zarówno przed 25 maja, jak i po 25 maja, niezależnie od branży, każdy przedsiębiorca zobowiązany będzie do przetwarzania danych osobowych zgodnie z przepisami prawa i w sposób zapewniających bezpieczeństwo ich przetwarzania, ich policzalność i integralność. Po 25 maja rośnie natomiast zagrożenie wynikające z możliwości nałożenia na przedsiębiorcę kar administracyjnych w bardzo dużej wysokości. Niezależnie od tego, czy dane osobowe przetwarza firma remontowa, czy klub fitness, zobowiązane są one do zapewnienia należytego poziomu ochrony danych.

Dziękujemy za udzielenie wyczerpujących odpowiedzi!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *