RODO to rozporządzenie o ochronie danych osobowych, które działa od maja 2018 roku. Wzbudzało ono wiele emocji, jeszcze przed samym wejściem w życie, jednak jak się okazało, największym problemem było niezrozumienie zasad jego działania i czemu miało to służyć, a także, kogo obowiązywać. Czym jest RODO? Kto musi dostosować się do przepisów o ochronie danych osobowych?
Definicja i zakres rozporządzenia o ochronie danych osobowych
RODO to skrót oznaczający rozporządzenie o ochronie danych osobowych, które zostało opracowane przez Unię Europejską i opublikowane w kwietniu 2016 roku. Od tamtego czasu wszystkie państwa członkowskie zostały zobowiązane do tego, by dostosować nowe przepisy do prawa krajowego. W Polsce weszły one w życie dwa lata później w maju 2018 roku. O co dokładnie chodzi w RODO? Mówiąc w skrócie, przepisy te dotyczą ochrony danych osobowych osób fizycznych, związanych z przetwarzaniem ich oraz o możliwości swobodnego przepływu danych osobowych. Rozporządzenie ustanawia precyzyjne reguły określające, w jaki sposób administratorzy mogą zbierać, przechowywać i wykorzystywać informacje identyfikujące konkretne osoby. Dodatkowo wprowadza obowiązek uzyskania wyraźnej zgody na przetwarzanie danych w przypadku większości operacji, co eliminuje praktykę domyślnego zaznaczania zgód marketingowych.
Cele harmonizacji prawa unijnego w zakresie ochrony danych
Podstawowym celem nowelizacji prawa unijnego było dostosowanie przepisów tak, by niezależnie od kraju były one w pełni harmonijne i jednolite. Ma to także pomóc w lepszej kontroli nad danymi osobowymi przez mieszkańców całej UE, a także ograniczyć biurokrację firmom. Dzięki ujednoliceniu regulacji przedsiębiorstwa działające w wielu państwach członkowskich mogą stosować jeden zestaw zasad zamiast dostosowywać się do różnych wymogów krajowych. Oczywiście istotne będzie tutaj także wypracowanie większego zaufania klientów względem firm, z których usług korzystają, co przekłada się na długoterminową lojalność i gotowość do udostępniania informacji potrzebnych do personalizacji oferty.
Chodziło tutaj też o odświeżenie dotąd obowiązujących praw, które nie do końca współgrały ze współczesnym światem i gwałtownym rozwojem nowoczesnych technologii oraz nowych zagrożeń, jakie się z tym wiązały. Poprzednie dyrektywy pochodziły z lat 90., kiedy Internet miał zupełnie inny charakter, a przetwarzanie danych w chmurze czy analiza big data nie istniały na dzisiejszą skalę. Rozporządzenie uwzględnia 现nowe modele biznesowe oparte na profilowaniu użytkowników, śledzeniu ich aktywności w sieci czy stosowaniu algorytmów uczenia maszynowego — obszary, których wcześniejsze przepisy w ogóle nie regulowały.
Uprawnienia osób fizycznych wynikające z rozporządzenia
W przepisach RODO chodzi przede wszystkim o to, by klienci mieli większe prawo do zarządzania własnymi danymi osobowymi i wiedzy o tym, co się z nimi dzieje. Dzięki temu mają do nich łatwiejszy dostęp, wraz z informacjami, jak i gdzie przetwarzane są te informacje. Dodatkowo uzyskują oni prawo do ich przenoszenia, usuwania, a także w razie ataku hakerskiego prawo do natychmiastowego zawiadomienia o zagrożeniu. Osoba, której dane dotyczą, może również wnieść sprzeciw wobec przetwarzania w celach marketingowych lub zażądać ograniczenia przetwarzania w określonych sytuacjach. Za złamanie przepisów RODO grożą wysokie kary administracyjne, które mogą wynieść nawet 10–20 mln euro w zależności od wielkości przedsiębiorstwa lub do 4% rocznego globalnego obrotu — w zależności od tego, która kwota jest wyższa.
Prawo do bycia zapomnianym w praktyce
Jednym z najbardziej rewolucyjnych elementów rozporządzenia jest prawo do usunięcia danych, potocznie nazywane prawem do bycia zapomnianym. Osoba fizyczna może zażądać natychmiastowego usunięcia swoich danych, jeśli nie są już niezbędne do celów, dla których zostały zebrane, albo gdy została cofnięta zgoda na ich przetwarzanie. Administrator ma obowiązek zrealizować takie żądanie bez zbędnej zwłoki, chyba że zachodzą nadrzędne podstawy prawne wymagające dalszego przechowywania danych — na przykład obowiązki wynikające z prawa podatkowego czy umowy zawartej z klientem.
Prawo do przenoszenia danych między dostawcami
Rozporządzenie gwarantuje także prawo do przenoszenia danych w ustrukturyzowanym, powszechnie używanym formacie, co umożliwia łatwiejsze zmienianie dostawców usług bez utraty historii działań, preferencji czy treści. To rozwiązanie ma na celu wzmocnienie konkurencji na rynku cyfrowym i zapobiega efektowi zamknięcia użytkownika w ekosystemie jednego dostawcy.
Obowiązki administratorów i procesorów danych
RODO to nie tylko prawa, ale i obowiązki, zwłaszcza ze strony firm i przedsiębiorstw. Z tego powodu muszą powołać Inspektora Ochrony Danych (o ile spełniają określone kryteria, takie jak przetwarzanie danych na dużą skalę lub danych wrażliwych), informować o przeciekach informacji w ciągu 72 godzin od ich wykrycia, a także mają obowiązek dokumentowania wszystkich przetwarzanych danych, wraz z wyjaśnieniem, jakie są te dane, w jakim celu są zbierane, przez kogo i gdzie.
- Prowadzenie rejestru czynności przetwarzania danych
- Wdrożenie odpowiednich środków technicznych i organizacyjnych zabezpieczających dane
- Przeprowadzanie oceny skutków dla ochrony danych (DPIA) w przypadku wysokiego ryzyka
- Zawieranie umów powierzenia przetwarzania danych z podmiotami trzecimi
- Zapewnienie możliwości realizacji praw osób, których dane dotyczą
- Stosowanie zasady minimalizacji danych — zbieranie wyłącznie informacji niezbędnych do realizacji celu
- Przestrzeganie zasady ograniczenia celu — wykorzystywanie danych tylko w zakresie zgodnym z pierwotnym przeznaczeniem
Rola inspektora ochrony danych w organizacji
Inspektor Ochrony Danych (IOD) pełni funkcję wewnętrznego doradcy i kontrolera w zakresie przestrzegania przepisów o ochronie danych osobowych. Jego zadaniem jest monitorowanie zgodności działań administratora z RODO, prowadzenie szkoleń dla pracowników, współpraca z organem nadzorczym oraz doradztwo w zakresie oceny skutków dla ochrony danych. IOD musi działać niezależnie i nie może otrzymywać poleceń dotyczących wykonywania swoich zadań, co gwarantuje obiektywizm jego ocen.
Obowiązek zgłaszania naruszeń ochrony danych
W przypadku naruszenia ochrony danych administrator ma 72 godziny na poinformowanie organu nadzorczego o incydencie, chyba że naruszenie nie stwarza ryzyka dla praw i wolności osób fizycznych. Jeśli naruszenie wiąże się z wysokim ryzykiem dla osób, których dane dotyczą, administrator zobowiązany jest także poinformować bezpośrednio te osoby bez zbędnej zwłoki. Oznacza to, że firmy muszą posiadać wypracowane procedury reagowania na incydenty bezpieczeństwa oraz narzędzia do szybkiej identyfikacji i oceny zagrożenia.
Podmioty objęte obowiązkiem stosowania przepisów
Przepisy prawa unijnego związane z RODO dotyczą tak naprawdę nas wszystkich — przedsiębiorców, którzy mają kontakt z klientami i gromadzą informacje o nich, a także wszystkich konsumentów, którzy w ten sposób mają większą kontrolę nad informacjami, jakie przekazują.
Jeżeli jednak chodzi o firmy, to każda z nich, niezależnie czy jest to działalność nierejestrowana, spółka czy przedsiębiorstwo działające w Polsce lub w innych krajach członkowskich UE — każda z nich musi się dostosować do przepisów RODO. I nie ma też tutaj znaczenia narodowość osoby, której dane osobowe są przetwarzane, a także to, gdzie odbywa się to przetwarzanie i gdzie fizycznie znajdują się serwery. Rozporządzenie stosuje się zarówno w przypadku przetwarzania danych w ramach działalności unijnego administratora, jak i wtedy, gdy administrator spoza UE oferuje towary lub usługi osobom znajdującym się w Unii albo monitoruje ich zachowanie.
Firmy stacjonarne i działające wyłącznie online
Do przepisów muszą się zastosować więc zarówno firmy mające swoje fizyczne siedziby, jak i te działające tylko online (sklepy internetowe, platformy oferujące usługi cyfrowe, także spoza UE), a też przedsiębiorstwa spoza UE, ale działające na jej terenie oraz odwrotnie — firmy pochodzące z terenów UE, ale kierujące swoje usługi i produkty poza jej granice również. Jeżeli dane przedsiębiorstwo przetwarza dane za pomocą chmury, także podlega RODO. Jeżeli prowadzimy biuro rachunkowe i swoje usługi oferujemy wyłącznie innym firmom, także musimy liczyć się z rozporządzeniem o ochronie danych osobowych, ponieważ przetwarzamy dane pracowników oraz przedstawicieli firm-klientów. Dotyczy to również aplikacji mobilnych, które zbierają dane lokalizacyjne, zachowania użytkownika czy dostęp do kontaktów — wszystkie te funkcje muszą być zgodne z zasadami rozporządzenia.
Branże szczególnie narażone na kontrole
Szczególną uwagę na zgodność z RODO powinny zwrócić podmioty z sektora medycznego, edukacyjnego, finansowego oraz e-commerce. Przetwarzają one bowiem dane wrażliwe (np. dane o stanie zdrowia) lub gromadzą duże ilości informacji o klientach w celach marketingowych i analitycznych. Również organizacje non-profit, które zbierają dane darczyńców i wolontariuszy, muszą respektować te same zasady co firmy komercyjne. Sektory te są częściej kontrolowane przez organ nadzorczy ze względu na wrażliwość przetwarzanych danych oraz potencjalnie wyższe ryzyko naruszenia praw osób, których dane dotyczą.
Sytuacje wymagające szczególnej ostrożności
Przedsiębiorstwa korzystające z narzędzi do automatycznego profilowania klientów, stosujące systemy analityczne oparte na sztucznej inteligencji lub przetwarzające dane biometryczne (np. odcisk palca, rozpoznawanie twarzy) zobowiązane są do przeprowadzania oceny skutków dla ochrony danych już na etapie projektowania takich rozwiązań. Dotyczy to także firm wdrażających systemy monitoringu wizyjnego w miejscach publicznie dostępnych — muszą one wykazać, że monitoring jest proporcjonalny i niezbędny do realizacji uzasadnionego celu, na przykład zapewnienia bezpieczeństwa osób lub ochrony mienia.
