Wchodzące w życie 24 maja 2018 roku Rozporządzenie o Ochronie Danych Osobowych (w skrócie RODO) budzi niepokój w sercach wielu przedsiębiorców. Atmosfera panująca wokół jego tematu, jak również brak zdeklarowanych przepisów utrudniają skuteczne wdrożenie przepisów wynikających z treści rozporządzenia. Dlatego też warto rozjaśnić najbardziej podstawowe kwestie związane z RODO – okazuje się, że nie jest ono tak straszne, jak je malują.
RODO budzi niepokój – zarówno wśród pracowników wielkich korporacji, jak i posiadaczy mniejszych biznesów. Jest to jednak w dużej mierze kwestia niedoinformowania i widma horrendalnych kar nakładanych za nieprzestrzeganie przepisów.
Wbrew pozorom, RODO dotyka wielu materii pominiętych przez dotychczas obowiązującą ustawę zd. 29 sierpnia 1997 o ochronie danych osobowych. Nowe warunki – będące wynikiem digitalizacji informacji – wymagają nowego podejścia; tą filozofią kierowali się unijni urzędnicy, kreując przepisy zawarte w rozporządzeniu. Z tego podejścia wynika płynność wytycznych – zostały one skonstruowane tak, aby zapewnić uniwersalność i jak najdłuższą aktualność przepisów.
Pamiętając o tym, omówmy podstawowe zagadnienia związane z RODO. Poprawne wdrożenie zasad w życie firmy wymaga pewnej dozy kreatywności – jednak wiedza, w jaki sposób interpretować poszczególne przepisy pomoże w oswojeniu się z największą od 20 lat zmianą w przepisach o ochronie danych osobowych.
Kto jest objęty RODO?
Zastanówmy się nad tym, kogo nowe przepisy dotykają; duże korporacje, małe przedsiębiorstwa, jednoosobowe działalności? Poprawna odpowiedź brzmi: każdego, kto na terenie Unii Europejskiej przetwarza dane osobowe w celach innych, niż prywatne.
Tak więc, rozporządzenie tyczy się każdego usługodawcy i sprzedawcy na terenie Unii Europejskiej. Dotyka to również osoby, które przetwarzają dane, nie prowadząc działalności gospodarczej.
Czym jest przetwarzanie danych?
Do pełnego pojęcia tego, kto podlega przepisom zawartym w RODO, warto zastanowić się nad tym, co rozumie się jako przetwarzanie danych. GDPR szczegółowo definiuje to pojęcie jako szeroko pojęte operacje (w tym: zbieranie, utrwalanie, organizowanie, adaptowanie, modyfikowanie, przeglądanie, wykorzystywanie, ujawnianie, przesyłanie lub niszczenie) nad danymi osobowymi, które stanowią część zbioru danych. Operacji tych można dokonywać w sposób zautomatyzowany, jak i niezautomatyzowany. Tak więc, przetwarzanie danych odbywa się zarówno wewnątrz systemów informatycznych, jak i poza nimi.
Czy wszystko jest w rękach Unii?
RODO jest podstawą do interpretacji prawnej procesu przetwarzania danych osobowych na terenie całej UE. Nie będzie już więcej potrzeby odwoływania się do przepisów danego państwa, aby być pewnym legalności swoich procesów przetwarzania; wszystko będzie zawarte w jednym, uniwersalnym dla każdego państwa dokumencie.
Nie oznacza to jednak, że pozbawiamy się suwerenności i samodzielności w ustalaniu przepisów prawnych. Każde państwo bowiem będzie posiadać własne organy nadzorcze. To znaczy, że organem, do którego referujemy, wdrażając przepisy, jest ten funkcjonujący w kraju, gdzie znajduje się baza organizacyjna firmy. W przypadku Polski jest to Ministerstwo Cyfryzacji, które 14 września br. opublikowało projekt nowej ustawy o ochronie danych osobowych (w skrócie NUODO).
Czy polska interpretacja przepisów będzie identyczna z unijnymi?
Już na tym etapie można się doszukać różnic pomiędzy oryginalnymi zapisami GDPR (General Data Protection Regulation) a tymi zawartymi w NUODO; polski projektodawca skorzystał bowiem ze swobody zapewnionej przez przepisy unijne, wyłączając zastosowanie rozporządzenia względem:
a) Działalności artystycznej,
b) Działalności literackiej,
c) Wypowiedzi akademickich,
d) Wszelkiego rodzaju działalność związana z tworzeniem materiałów prasowych – czyli redagowanie, przygotowywanie, publikowanie