Prawo - Analizy prawne

RODO - unijne rozporządzenie dotyczące ochrony danych osobowych

RODO - unijne rozporządzenie dotyczące ochrony danych osobowych

W dniu 25 maja 2018 roku w Polsce wchodzi w życie RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych, które wprowadza nowe zasady dotyczące ochrony danych osobowych. Do stosowanie zapisów rozporządzenia zobowiązane będą również wszystkie podmioty gospodarcze, które na potrzeby swojej działalności posiadają (przetwarzanie) dane osobowe (dane klientów, kontrahentów, pracowników, innych podmiotów) – niezależnie od rozmiaru prowadzonej działalności gospodarczej. Na podstawie rozporządzenia wszystkie podmioty przetwarzające dane osobowe (np. zapisywanie nazwisk, numerów nip oraz innych informacji niezbędnych do wystawienia faktury, dane dot. pracowników, klientów, innych kontrahentów, potencjalnych klientów) zobowiązane będą do stosowana środków ochrony tych danych osobowych. W tym celu podmioty te muszą posiadać przystosowane do nowych przepisów wewnętrzne regulaminy, zgody na przetwarzanie danych, zestawienia i inne wymagane rejestry i dokumenty świadczące o tym, że chronią one dane osobowe w należyty sposób.

Wskazać należy, iż rozporządzenie to będzie miało zastosowanie w odniesieniu do wszystkich podmiotów przetwarzających dane osobowe, w tym w szczególności do przedsiębiorców. Dane osobowe to wszystkie informacje odnoszące się do zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Z kolei przetwarzanie danych osobowych rozumiane jest szeroko: w zakresie tego pojęcia mieszczą się bowiem wszystkie operacje dokonywane na danych osobowych, w tym w szczególności zbieranie, przechowywaniem modyfikacja, jak również wiele innych czynność dotyczących danych osobowych. O konieczności stosowania RODO u przedsiębiorcy decyduje zatem wyłącznie fakt przetwarzania przez niego danych osobowych (np. zapisywania nazwisk, numerów nip oraz innych informacji niezbędnych do wystawienia faktury), nie zaś wielkość przedsiębiorcy, czy też okoliczność zatrudniania pracowników.

Najistotniejszą zmianą jest przyznanie organom powołanym do ochrony danych osobowych prawa do nakładania wysokich kar finansowych na administratorów danych osobowych, którzy będą naruszać przepisy rozporządzenia . W Polsce organem ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Powyższa zmiana ma największe znaczenie dla przedsiębiorców przetwarzających dane osobowe. Bowiem na podstawie przepisów rozporządzenia Generalny Inspektor Ochrony Danych Osobowych będzie uprawniony do nakładania kary pieniężnej, która może mieć wysokość nawet do 4% globalnego obrotu przedsiębiorstwa. Wskazać jednak należy, iż niezależnie od wysokości globalnego obrotu przedsiębiorstwa górna granica kary finansowej wynosi 20 mln Euro.

Wskazać należy, iż na podstawie obecnie obowiązujących przepisów dotyczących ochrony danych osobowych Generalny Inspektor Ochrony Danych osobowych ma prawo do nakładania niskich grzywien o charakterze przymuszającym na podmioty nieprzestrzegające przepisów dotyczących ochrony danych osobowych. Dlatego też wprowadzenie nowych wysokich kar pieniężnych spowoduje zwiększenie ryzyka finansowego dla podmiotów przetwarzających dane osobowe – w przypadku stwierdzenia podczas kontroli nieprzestrzegania nowych standardów prawnych dotyczących ochrony danych osobowych.

Poza wspomnianym powyżej wysokimi karami rozporządzenie wprowadza również wiele innych istotnych zmian dotyczących ochrony danych osobowych. Spośród tych zmian należy przede wszystkim wymienić:

- zmiany dotyczące zasad rejestracji zbiorów danych osobowych,

- zmiany dotyczące zasad powoływania, zakresu obowiązków i odpowiedzialności Inspektora Ochrony Danych Osobowych (w miejsce dotychczasowego Administratora Bezpieczeństwa Informacji),

- zmiany dotyczące obowiązku zgłoszenia stwierdzonych naruszeń przepisów ochrony danych osobowych,

- zmiany dotyczące tworzenia polityki ochrony danych osobowych w przedsiębiorstwie przetwarzającym dane osobowe,

wprowadzenie obowiązku uwzględniania ochrony danych osobowych już na poziomie projektowania produktów lub usług.

Mając na uwadze powyższe, wskazujemy, iż każdy przedsiębiorca niezależnie od rozmiaru prowadzonej przez siebie działalności gospodarczej będzie zobowiązany od 25 maja 2018 r. wprowadzić niezbędne zmiany organizacyjne w zakresie polityki ochrony danych osobowych celem zminimalizowana ryzyka działania sprzecznego z nowymi przepisami.

 

Adam Kuźma /Radca Prawny