Po czterech latach negocjacji, 25 maja 2016 roku weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych osobowych i znajdzie zastosowanie w pełni od 25 maja 2018 r. Skoro nowe przepisy zostały przyjęte w formie rozporządzenia, to znaczny, że muszą być stosowane bezpośrednio przez wszystkich przedsiębiorców przetwarzających dane osobowe na terytorium Unii Europejskiej. Również z Polsce nie ma konieczności implementacji tych przepisów. Przepisy mogą być stosowane wprost, nawet jeśli w danym kraju nie zostanie uchwalona jakakolwiek ustawa dot. tych kwestii. Takie rozwiązanie ma zapewnić jednolite zasady ochrony danych osobowych w całej Unii Europejskiej.
O rozmowę na temat RODO i jego znaczenia dla branży e-commerce poprosiliśmy Jarosława Kurzawskiego, radcę prawnego z Kancelarii JKKS.
Witaj Jarku, temat Rozporządzenia Ogólnego o Ochronie Danych Osobowych sieje obecnie postrach wśród przedsiębiorców e-commerce.
Czy faktycznie jest się czego bać😊?
Boimy się tego, czego nie znamy. Temat RODO jest nośny od niedawna, choć przepisy zostały uchwalone przeszło rok temu. Aktualny okres przejściowy należy wykorzystać na niezbędne analizy istniejących w danej organizacji rozwiązań, związanych z przetwarzaniem danych osobowych oraz wspierających je systemów IT, a także zidentyfikowanie potencjalnych luk, czyli obszarów niezgodności. Z tymi działaniami należy zdążyć przed 25 maja 2018 r.
W jaki sposób RODO definiuje dane osobowe?
Dane osobowe, to jakiekolwiek informacje odnoszące się do zidentyfikowanej lub identyfikowalnej osoby, w tym dane pseudoanonimowe. Nie ma przy tym znaczenie, czy chodzi o dane pracownika, klienta indywidualnego (czyli osoby nieprowadzącej działalności gospodarczej), czy o przedsiębiorcę prowadzącego działalność gospodarczą na podstawie wpisu do CEIDG.
Co się zatem zmieni w zakresie przetwarzania danych osobowych?
Oprócz już teraz znanych instytucji jak np. prawo do sprzeciwu przetwarzania danych przepisy RODO wprowadzają nowe lub uzupełniają zasady uzyskiwania ważnych i weryfikowalnych zgód na przetwarzanie danych osobowych od osób, których dane dotyczą. Osobom, których dane są gromadzone nadano dodatkowe uprawnienia w zakresie dostępu do danych, udzielania zgody na ich gromadzenie i przetwarzanie, w tym profilowanie na potrzeby marketingu. I tak, przepisy RODO wprowadzają np.:
- „prawo do bycia zapomnianym” (skierowane do osób, które życzą sobie, by ich dane osobowe zostały usunięte),
- uprawnienie do żądania przeniesienia danych,
a także wzmacniają prawo dostępu i wglądu obywatela w jego dane.
Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.
Co się kryje za pojęciami prywatność „by design” oraz prywatność „by default”?
Pierwsze z pojęć odnosi się do zasady prywatności w fazie projektowania, a drugie do zasady prywatności w ustawieniach domyślnych.
Prywatność w fazie projektowania wynika z art. 25 ust. 1 RODO, który wprowadza generalną zasadę, aby już na etapie projektowania systemu oraz na etapie wykorzystywania go do przetwarzania danych wprowadzone zostały odpowiednie środki techniczne i organizacyjne, które zapewnią ochronę danych użytkowników i ich przetwarzanie zgodnie z przepisami.
Z kolei prywatność w ustawieniach domyślnych zgodnie z art. 25 ust. 2 RODO zakłada jak najszerszą domyślną ochronę prywatności wszystkich użytkowników danego systemu. Jeśli ktoś chciałby zrezygnować z części swej prywatności, to powinien podjąć aktywne działania w tym kierunku.
Czy samo wdrożenie mechanizmów zabezpieczających dane wystarczy?
Niestety nie. Oprócz wdrożenia technicznych i organizacyjnych mechanizmów, które mają na celu zapewnić bezpieczeństwo zgromadzonych danych osobowych, niezbędne jest jeszcze zapewnienie procesu regularnego ich testowania oraz oceny skuteczności. Wykonanie takiej analizy będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak na przykład profilowanie na dużą skalę, czy wykorzystanie danych szczególnych kategorii (np. danych dotyczących zdrowia).
Czy za niezastosowanie się do przepisów grożą jakieś kary?
Niedostosowanie się do przepisów RODO będzie zagrożone możliwością nałożenia bardzo wysokich kar finansowych, które mogą wynieść do 4% globalnych przychodów lub 20 milionów EUR, w zależności od tego która z kar jest bardziej dotkliwa. Niezależnie od tego kraje członkowskie mogą uzupełnić katalog sankcji o dodatkowe elementy.
Czy RODO nakłada jakieś obowiązki związane z dokumentacją przetwarzanych danych?
Kontrolujący i przetwarzający dane będą zobowiązani od przygotowania i utrzymania wszechstronnych rejestrów dotyczących przetwarzanych danych, uwzględniających m.in.: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, adresatów danych, rejestry międzynarodowych transferów danych, rejestry naruszeń i incydentów, a także zapewnić rozwój i utrzymanie zasad ochrony prywatności, przechowywanie potwierdzonych zgód na przetwarzanie danych itd.
Czy każda firma przetwarzająca dane osobowe będzie musiała powołać Inspektora Ochrony Danych Osobowych?
Jednostki publiczne oraz podmioty, które w ramach podstawowej działalności regularnie i systematycznie monitorują i przetwarzają specjalne kategorie danych osobowych będą musiały powołać Inspektora Ochrony Danych Osobowych (DPO). Co do pozostałych organizacji, decyzja w tym zakresie powinna być podejmowana indywidualnie, biorąc pod uwagę faktyczną działalność i procesy zachodzące w danym przedsiębiorstwie. Podobnie jak kwestia możliwości outsourcowania funkcji DPO.
Jak zgodnie z RODO postąpić w przypadku naruszenia bezpieczeństwa danych?
Zgodnie z nowymi przepisami należy zgłosić naruszenie właściwemu organowi nadzorczemu nie później niż w terminie 72 godzin od stwierdzenia jego wystąpienia. Obowiązek ten dotyczy naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, jeśli wystąpi dużego ryzyka naruszenia jej praw lub swobód.
Jarku, bardzo dziękuję za rozmowę. Wiem, że RODO to szeroki temat i nie udało się odpowiedzieć na wszystkie pytania i rozwiać wszelkich wątpliwości, ale to dobry start, by przedsiębiorcy rozpoczęli przygotowania do wdrożenia odpowiednich mechanizmów w swoich firmach.
Pełen tekst Rozporządzenia znajduje się tutaj.
__________
Jarosław Kurzawski – radca prawny, członek Okręgowej Izby Radców Prawnych w Poznaniu, prowadzi własną praktykę w ramach Kancelarii.
Kancelaria świadczy kompleksowe usługi prawne w zakresie prawa nowoczesnych technologii oraz e-commerce. Oferta skierowana jest zarówno do podmiotów aktywnie świadczących usługi lub prowadzących sprzedaż z wykorzystaniem środków i urządzeń elektronicznych, jak i startupów wkraczających na ten rynek.
__________
Powyższy materiał ma jedynie charakter informacyjny. Żadna informacja nie stanowi porady prawnej, podatkowej, finansowej, czy rachunkowej. Autor nie ponosi odpowiedzialności za szkody będące następstwem jakichkolwiek interpretacji i/lub stosowania informacji lub ich fragmentów z powyższej publikacji.
