Wraz z końcem maja tego roku, na polskich przedsiębiorców padł blady strach. Wprowadzano wtedy nowe regulacje dotyczące prywatności danych, a kary, jakie groziły za niedopełnienie procedur wydawały się kosmiczne. RODO, bo o nim mowa, jest już z nami od prawie 3 miesięcy. Co o nim wiemy? Jak je interpretować?

RODO – o co chodzi?

Jest to regulacja prawna, która obowiązuje w Polsce oraz innych krajach Unii Europejskiej. Wprowadzona 25 maja 2018 w życie, ostatecznie zakończyła okres wdrożeniowy jaki trwał od jakiegoś czasu.

Głównym zamysłem RODO jest ochrona zwykłych ludzi przed handlem ich danymi. Do tej pory było tak, że firmy dosyć swobodnie żonglowały wymianą danych na temat różnych osób. Nasze informacje osobiste spokojnie wędrowały pomiędzy firmami i instytucjami, co szczególnie nasiliło się w dobie Internetu. Wprowadzenie RODO miało zapobiec takim praktykom, a przy tym unowocześnić system prawny panujący w krajach Unii Europejskiej. Zresztą – nie oszukujmy się. Dotychczasowe prawo było też dosyć nieaktualne i nie brało pod uwagę nowoczesnych technologii.

O co cały ten krzyk?

Krótko mówiąc – o dane. Nie od dziś wiadomo, że dane i różnego rodzaju informacje osobowe stanowią niezwykle cenny towar. Wszelkiego typu informacje, które pozwalają na identyfikację osoby stanowią, od momentu wprowadzenia RODO, dane chronione.

O jakie dane chodzi? Cóż, definicja jest bardzo szeroka. Każda informacja, która umożliwia ustalenie tożsamości danej osoby jest taką daną. Dotyczy to zatem różnych cech fizycznych, ekonomicznych czy społecznych. Takie informacje jak choćby numer NIP czy PESEL  jak najbardziej należ zaliczyć do tej grupy.

Kogo dotknęło RODO?

Praktycznie każdego przedsiębiorcę. Pamiętajmy, że jako przetwarzanie danych ustawodawca rozumie każdą czynność związaną z ich zapisaniem, przetrzymywaniem w formie cyfrowej czy też modyfikacjami tychże danych. Szczególnie jednak widoczny jest wpływ RODO na branżę marketingu bezpośredniego. Zauważyliście, jak bardzo zmniejszyła się liczba telefonów z natrętnych call center? No właśnie…Trzeba przyznać, że branża marketingowa nie ma teraz łatwo – każdy kontakt z klientem wymaga oddzielnej zgody. Dotyczy to zarówno telefonów, jak również komunikacji mailowej.

Co musi firma?

Zgodnie ze wspomnianym już Rozporządzeniem, każde przedsiębiorstwo zarządzające danymi osobowymi ma szereg obowiązków względem osób, jakie się w owej bazie znalazły. Dodatkowo, prawo nakłada na przedsiębiorców również określone zobowiązania, które muszą wypełnić, jak choćby powołanie Inspektora Ochrony Danych Osobowych czy zgłaszanie wszelkiego rodzaju naruszeń ustawy do odpowiednich organów. 

Zatem – jakie są obowiązki przedsiębiorców?

Absolutnie podstawowa kwestia to uzyskanie zgody ludzi na korzystanie z ich danych. Otrzymuje się taką zgodę na podstawie pisemnego pozwolenia, udzielanego przez klienta choćby w trakcie zakupów w danym sklepie internetowym czy też w innej formie. Kolejna kwestia to posiadany przez przedsiębiorcę rejestr czynności przetwarzania danych. Taki dokument każda firma powinna mieć sporządzony i gotowy do przedstawienia, jeżeli pojawiłaby się taka potrzeba. 

Niezwykle istotnym obowiązkiem jest także zapewnienie bezpieczeństwa przetwarzanym danym. Tego rodzaju informacje nie mogą wykroczyć poza ścisłą relację firma-klient. Nie należy ich zatem sprzedawać/udostępniać osobom/podmiotom trzecim. To właśnie za takie praktyki grożą ogromne kary.

Ile może wynieść mandat?

Trzeba przyznać, że wysokość potencjalnych kar za naruszenie RODO jest dosyć odstraszająca. Teoretycznie, grożą one za takie czynności jak:

• złamanie zasad przetwarzania danych
• nieprawidłowe przekazanie danych innym osobom/podmiotom trzecim
• łamanie praw osób, których dane znajdują się w rejestrze

Z jakimi karami muszą liczyć się przedsiębiorcy? Nawet 20 milionów euro! Oczywiście, jest to najwyższy wymiar kary i raczej nie ma się co obawiać, że zwykła firma będzie musiała taki mandat zapłacić. Poza tym, nawet sam ustawodawca przewiduje, że kara za naruszenia przepisów RODO powinna, przede wszystkim, pełnić funkcję odstraszającą, ale jest dostosowana do każdego przypadku indywidualnie. Czyli – mała firma z Polski raczej nie zapłaci 20 milionów euro kary!

A co może klient?

I dochodzimy do najważniejszej kwestii – czyli, co może klient. Ostatecznie, to właśnie o dane tych osób rozpętała się cała afera związana z RODO. 

Otóż prawa osoby, której dane są przetwarzane potrafią być dosyć szerokie. W każdej chwili właściciel danych może zażądać dostępu do ich treści. Firma ma obowiązek umożliwić dysponentowi danych usunięcie oraz modyfikację różnego rodzaju informacji na jego temat. Dodatkowo, każdy obywatel Unii Europejskiej może zażądać, aby jego dane były pseudonimizowane (tj. ukryte w sposób uniemożliwiający jednoznaczną identyfikację), jak również szyfrowane.