Poradnik Przedsiębiorcy

6 najczęściej zadawanych pytań o RODO i zwięzłe odpowiedzi

Mimo, że Rozporządzenie o ochronie danych osobowych w skrócie RODO, weszło w życie 25 maja 2018 r. to w dalszym ciągu powstają nowe pytania z nim związane. Co nadal sprawia przedsiębiorcom problem? Jakie pytania najczęściej są zadawane? Przeczytaj nasz artykuł, w którym odpowiadamy na 6 najczęściej zadawanych pytań dotyczących RODO!

1. Co to jest RODO i od kiedy obowiązuje?

RODO to Ogólne Rozporządzenie o Ochronie Danych Osobowych (GDPR – General Data Protection Regulation), stosowane we wszystkich krajach członkowskich Unii Europejskiej. Prawną podstawą wprowadzenia RODO jest art. 16 ust. 2 Traktatu o Funkcjonowaniu Unii Europejskiej. RODO zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r.
Rozporządzenie określa szczegółowe zasady przetwarzania, wykorzystywania i przechowywania danych osobowych oraz nakłada wiele nowych obowiązków na podmioty, które w jakikolwiek sposób przetwarzają dane osób fizycznych.

Regulacje prawne związane z RODO muszą być realizowane począwszy od 25 maja 2018 roku.

2. Czym są dane osobowe i co oznacza ich przetwarzanie?

Na początek wyjaśnijmy, co dokładnie możemy uznać za dane osobowe oraz ich przetwarzanie.

Definicja 1.
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Aby rozstrzygnąć, czy mamy do czynienia z danymi osobowymi, należy zatem przeanalizować, czy użyte przez nas informacje dają możliwość ustalenia tożsamości danej osoby fizycznej w łatwy i szybki sposób (np. korzystając z internetu), bez konieczności ponoszenia znacznych kosztów.

Przykładowe dane osobowe to:

  • imię i nazwisko,

  • PESEL,

  • numer dowodu osobistego,

  • adres,

  • adres e-mail,

  • numer telefonu.

Definicja 2.
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

3. Kogo dotyczą nowe regulacje prawne?

Przepisy związane z RODO odnoszą się do wszystkich podmiotów zbierających i przetwarzających dane osób fizycznych.

Definicja 3.
Administrator danych osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administrator Danych Osobowych jest zatem odpowiedzialny za dobranie i zastosowanie w praktyce odpowiednich rozwiązań organizacyjnych i technicznych, zapewniających ochronę danych osób fizycznych w rozumieniu nowego rozporządzenia.

W przypadku osób prowadzących jednoosobowe działalności gospodarcze, administratorami danych osobowych są przedsiębiorcy.

Definicja 4.
Podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Jak widzimy, administratorem i podmiotem przetwarzającym może być również przedsiębiorca prowadzący jednoosobową działalność gospodarczą, o ile przetwarza dane swoich klientów czy pracowników.

4. Jak zabezpieczyć dane w kontekście RODO?

Nowe regulacje prawne nie określają konkretnych czynności, jakie powinny zostać zastosowane przez przedsiębiorców, definiują jedynie zbiór reguł, których należy przestrzegać. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Ważne!
Wdrożenie RODO w odniesieniu do każdego przedsiębiorstwa jest kwestią indywidualną, trzeba wziąć bowiem pod uwagę wiele aspektów związanych z przetwarzaniem danych osobowych. Specyfika prowadzonej działalności ma istotny wpływ na sposób zastosowania RODO do konkretnej organizacji. Każdy przedsiębiorca powinien zatem dobrać stosowne rozwiązania organizacyjne i techniczne gwarantujące odpowiednie zabezpieczenie danych osobowych.

Wytyczne zapewniające ochronę danych osobowych to m.in.:
  • pseudonimizacja i szyfrowanie danych osobowych,

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

5. Jaki jest cel wprowadzonych zmian i jakie uprawnienia zyskują osoby fizyczne?

Głównym celem RODO jest ujednolicenie regulacji związanych z ochroną danych osobowych obowiązujących na terenie Unii Europejskiej oraz potwierdzenie stanowiska, że ochrona danych osobowych jest nadrzędnym prawem każdego obywatela.

Osoba fizyczna, której dane są przetwarzane, zyskuje m.in. następujące uprawnienia:

  • prawo dostępu do danych,

  • prawo do sprostowania lub uzupełnienia danych,

  • prawo sprzeciwu wobec przetwarzania danych,

  • prawo do przeniesienia danych,

  • prawo do bycia zapomnianym,

  • prawo do domagania się odszkodowania.

6. Jakie przewidziane są sankcje za niedostosowanie się do RODO?

Nowe regulacje prawne przewidują dotkliwe kary, dlatego każdy przedsiębiorca zbierający i przetwarzający dane osób fizycznych powinien szczegółowo przeanalizować Ogólne Rozporządzenie o Ochronie Danych Osobowych.

Złamanie przepisów może się wiązać z odpowiedzialnością o charakterze karnym, administracyjnoprawnym oraz cywilnoprawnym. Przewidziane kary finansowe sięgają 10 mln euro lub 2 proc. rocznego światowego obrotu firmy osiągniętego w poprzednim roku obrotowym, a w razie szczególnego naruszenia przepisów nawet do 20 mln euro bądź 4 proc. obrotu.